Combo list : comprendre cette menace pour vos identifiants

Une combo list est un fichier texte contenant des millions, parfois des milliards, de couples identifiant/mot de passe collectés à partir de brèches de données, de logs d’infostealers ou de fuites agrégées depuis plusieurs sources. Ces listes constituent la matière première des attaques de credential stuffing et circulent activement sur les forums du dark web, les canaux Telegram et les marchés cybercriminels.

Comment ça fonctionne ?

Les combo lists sont créées par agrégation de données issues de multiples sources. La première source est constituée des brèches de bases de données : lorsqu’un site web est compromis, les tables d’utilisateurs contenant emails et mots de passe (parfois hashés, parfois en clair) sont extraites et mises en vente. La deuxième source, en forte croissance, provient des logs d’infostealers : les malwares comme RedLine ou LummaC2 volent les identifiants directement depuis les navigateurs des victimes, produisant des credentials en clair et à jour.

Les données brutes sont ensuite nettoyées, dédupliquées et formatées dans un format standardisé (généralement email:password ou url:email:password). Les attaquants compilent ces fichiers en collections massives qu’ils vendent ou partagent sur les forums underground. Certaines combo lists célèbres ont dépassé les 3 milliards d’entrées uniques.

Ces listes alimentent ensuite les outils de credential stuffing qui testent automatiquement les couples sur des centaines de services en ligne. Elles servent également de base pour des attaques de phishing ciblé, où l’attaquant utilise un ancien mot de passe connu pour crédibiliser son message.

Pourquoi c’est important ?

Les combo lists représentent une menace persistante car elles ne disparaissent jamais vraiment. Un mot de passe volé il y a cinq ans peut réapparaître dans une nouvelle compilation et être utilisé dans une attaque si l’utilisateur ne l’a pas changé. Le cycle de vie d’un identifiant compromis est potentiellement infini.

L’ampleur du problème est considérable : des milliards de couples email/mot de passe circulent sur le dark web, et ce chiffre augmente quotidiennement avec les nouvelles fuites. Pour les entreprises, chaque identifiant présent dans une combo list représente un point d’entrée potentiel dans leurs systèmes.

Le risque est particulièrement élevé pour les organisations dont les collaborateurs réutilisent leurs mots de passe professionnels sur des services personnels. Une fuite sur un site de e-commerce peut compromettre l’accès au VPN de l’entreprise si le même mot de passe est utilisé.

Comment Stealed vous protège

Stealed surveille en continu les sources où les combo lists sont publiées et échangées : canaux Telegram, forums cybercriminels et marchés du dark web. Chaque jour, la plateforme analyse plus de 100 millions de lignes de credentials pour détecter ceux qui correspondent à vos domaines surveillés.

Lorsqu’un identifiant de votre organisation apparaît dans une combo list ou un log de stealer, vous êtes alerté en temps réel via Slack, Teams ou webhook, avec le détail de l’identifiant exposé et la source de la fuite.

Pour aller plus loin : consultez notre guide complet sur les combo lists et le credential stuffing pour une analyse détaillée de l’écosystème des listes d’identifiants volés.

Créez un compte gratuitement pour vérifier si les identifiants de votre organisation circulent dans des combo lists.