Credential stuffing : comment les attaquants exploitent vos mots de passe

Le credential stuffing est une technique d’attaque automatisée qui consiste à tester massivement des couples identifiant/mot de passe volés sur de nombreux services en ligne. L’attaque exploite un comportement humain très répandu : la réutilisation du même mot de passe sur plusieurs comptes. Si un mot de passe fuité fonctionne sur un service, il a de bonnes chances de fonctionner ailleurs.

Comment ça fonctionne ?

Les attaquants utilisent des listes de millions de couples email/mot de passe, appelées combo lists, issues de brèches de données, de logs d’infostealers ou de fuites agrégées depuis plusieurs sources. Ces listes sont ensuite injectées dans des outils automatisés (bots) capables de tester des milliers de connexions par minute sur des sites cibles.

Les outils de credential stuffing utilisent des techniques sophistiquées pour contourner les protections : rotation de proxies résidentiels pour masquer l’origine des requêtes, simulation de comportement humain pour tromper les CAPTCHAs, et distribution des tentatives dans le temps pour éviter la détection par les systèmes de rate limiting.

Lorsqu’un couple identifiant/mot de passe fonctionne, l’attaquant prend le contrôle du compte. Il peut alors exfiltrer des données personnelles, effectuer des transactions frauduleuses, revendre l’accès à d’autres criminels ou utiliser le compte comme tremplin pour des attaques plus ciblées au sein de l’organisation.

Pourquoi c’est important ?

Selon un rapport d’Akamai, plus de 193 milliards de tentatives de credential stuffing ont été enregistrées en une seule année. Cette technique est l’une des attaques les plus rentables pour les cybercriminels car elle nécessite un investissement minimal : les combo lists coûtent quelques dollars et les outils d’automatisation sont disponibles gratuitement sur les forums underground.

Pour les entreprises, les conséquences sont multiples : compromission de comptes clients, accès non autorisé aux systèmes internes, pertes financières directes et atteinte à la réputation. Les secteurs les plus ciblés incluent le e-commerce, les services financiers, les plateformes SaaS et les services de streaming.

Le principal facteur de risque est la réutilisation des mots de passe. Des études montrent que plus de 60 % des utilisateurs réutilisent le même mot de passe sur au moins deux services différents. Chaque nouvelle fuite d’identifiants alimente donc directement les futures attaques de credential stuffing.

Comment Stealed vous protège

Stealed détecte les identifiants de vos collaborateurs dans les combo lists et les logs d’infostealers avant qu’ils ne soient exploités par des attaques de credential stuffing. En surveillant en temps réel les canaux Telegram, forums et marchés du dark web, Stealed vous alerte dès qu’un mot de passe associé à vos domaines est exposé.

Cette détection précoce vous permet de forcer un changement de mot de passe avant que l’attaque n’ait lieu, réduisant considérablement la fenêtre d’exposition.

Pour aller plus loin : consultez notre guide complet sur les combo lists et le credential stuffing pour comprendre l’ampleur du phénomène et les mesures de protection détaillées.

Créez un compte gratuitement pour surveiller vos domaines et détecter les identifiants compromis avant les attaquants.