Credential Stuffing : Comment les violations sur d'autres sites mènent à des connexions chez vous

Votre application peut avoir une architecture de sécurité à toute épreuve, des bases de données cryptées et des tests de pénétration réguliers. Pourtant, des attaquants peuvent toujours compromettre des comptes utilisateurs sans exploiter une seule vulnérabilité dans votre code. Le coupable ? Credential stuffing — une technique d’attaque qui exploite l’un des maillons faibles de la sécurité des applications : la réutilisation des mots de passe.

Comprendre la menace du Credential Stuffing

Le credential stuffing est une technique de cyberattaque où des acteurs malveillants utilisent des outils automatisés pour tester systématiquement de grandes listes de combinaisons de noms d’utilisateur et mots de passe volés contre vos points de connexion. Contrairement aux attaques par force brute qui essaient différentes combinaisons pour un seul compte, le credential stuffing exploite des identifiants réellement volés lors de violations de données sur d’autres plateformes.

Les chiffres sont alarmants. Des données récentes révèlent que les attaquants lancent environ 26 milliards de tentatives de credential stuffing chaque mois, soit une augmentation de près de 50 % en seulement 18 mois. Selon le rapport Verizon Data Breach Investigations 2025, 88 % des violations en 2024 impliquaient des identifiants volés ou obtenus par force brute. Plus précisément, les identifiants volés sont à l’origine de 22 % de toutes les violations de données l’an dernier.

La raison pour laquelle cette méthode reste si répandue est simple : les combinaisons de credentials fuitées coûtent extrêmement peu — souvent quelques centimes pour mille identifiants — et les outils automatisés ont éliminé la plupart des barrières techniques pour lancer ces attaques. Même avec un taux de réussite typique d’environ 0,1 %, le volume énorme d’identifiants disponibles rend le credential stuffing économiquement viable pour les attaquants.

Pourquoi les habitudes de mot de passe de vos utilisateurs sont votre problème

Le succès du credential stuffing repose sur un comportement humain persistant : la réutilisation des mots de passe. Malgré des décennies de campagnes de sensibilisation à la sécurité, les utilisateurs continuent d’utiliser les mêmes identifiants sur plusieurs services. Lorsqu’un service subit une violation de données, tous les autres où cet utilisateur a réutilisé le même mot de passe deviennent vulnérables.

Considérez ce scénario : un utilisateur crée un compte sur votre plateforme e-commerce avec l’adresse email user@example.com et le mot de passe “Summer2024!”. Sans le savoir, il a utilisé cette même combinaison sur un forum qui a ensuite subi une violation de données. La base de données compromise — contenant des millions de paires nom d’utilisateur/mot de passe — est vendue sur des marchés du dark web ou simplement divulguée publiquement. Les attaquants alimentent alors ces identifiants dans des outils automatisés qui tentent de se connecter à des milliers de services, y compris le vôtre.

La posture de sécurité de votre application devient aussi forte que celle de tous les autres services où vos utilisateurs ont des comptes. C’est la dure réalité du credential stuffing : vous défendez contre des violations qui ont eu lieu ailleurs, sur des infrastructures que vous ne contrôlez pas, par des utilisateurs prenant des décisions qui dépassent votre influence directe.

Comment fonctionnent les attaques de Credential Stuffing

Les attaques modernes de credential stuffing sont des opérations sophistiquées qui exploitent des outils et une infrastructure spécialisés. Comprendre la méthodologie d’attaque aide à développer des défenses efficaces.

L’infrastructure d’attaque

Les attaquants utilisent généralement des botnets — réseaux d’ordinateurs compromis — ou des services de proxy résidentiels pour répartir leurs tentatives de connexion sur des milliers d’adresses IP différentes. Cette distribution rend très difficile la détection et le blocage des attaques uniquement en se basant sur l’origine des requêtes. Certains utilisent jusqu’à 200 000 adresses IP différentes dans une seule campagne, chaque IP effectuant seulement quelques tentatives pour éviter la limitation de débit.

Outils automatisés de test de credentials

L’écosystème du credential stuffing comprend de nombreux outils conçus à cet effet, comme OpenBullet, SNIPR, et Sentry MBA. Ces applications offrent des interfaces conviviales pour charger des listes d’identifiants, configurer des séquences de connexion et gérer la rotation des proxies. Beaucoup intègrent des fonctionnalités spécifiquement conçues pour contourner les mesures de sécurité courantes, telles que :

• Résolution automatique de CAPTCHA via des services tiers
• Randomisation des empreintes de navigateur pour apparaître comme des appareils différents
• Délais de temporisation humains entre les requêtes
• Gestion de session pour gérer les flux d’authentification
• Reconnaissance de motifs de succès pour identifier les identifiants valides

Le processus d’attaque

Une attaque typique de credential stuffing suit ces étapes :

1. Acquisition des credentials : Les attaquants obtiennent des listes de noms d’utilisateur/mots de passe issus de violations précédentes, achetées sur des marchés du dark web ou téléchargées depuis des dépôts publics.

2. Sélection de la cible : Ils configurent leurs outils avec l’URL de votre point de connexion et identifient les paramètres nécessaires à l’authentification (champ nom d’utilisateur, champ mot de passe, tokens CSRF, etc.).

3. Configuration du proxy : Ils mettent en place des proxies résidentiels ou des réseaux d’appareils compromis pour répartir leurs requêtes sur de nombreuses IP.

4. Test automatisé : L’outil tente systématiquement chaque paire d’identifiants contre votre point de connexion, analysant les réponses pour distinguer les connexions réussies des échecs.

5. Accès aux comptes : Les comptes compromis avec succès sont compilés en listes pour une exploitation directe, une revente ou une utilisation dans d’autres attaques.

Impact réel

Les conséquences des attaques de credential stuffing réussies vont bien au-delà de la simple prise de contrôle de comptes. En 2024, Roku a subi deux attaques distinctes qui ont compromis 591 000 comptes clients. Il ne s’agissait pas de vulnérabilités théoriques ou d’exploits de preuve de concept — ce sont de vrais comptes clients accessibles par des parties non autorisées parce que les utilisateurs ont réutilisé des mots de passe issus d’autres services violés.

Le credential stuffing ne se limite pas à la connexion. Une fois qu’un attaquant a accès à un compte, il peut :

• Voler les informations de paiement stockées et effectuer des achats frauduleux
• Accéder à des données personnelles pour du vol d’identité
• Utiliser des points de fidélité ou crédits stockés avant détection
• Recueillir des renseignements sur l’organisation ciblée
• Passer à des attaques plus sophistiquées en utilisant un accès légitime
• Modifier les détails du compte pour maintenir un accès persistant
• Extraire des données pouvant servir à des attaques de social engineering sur d’autres utilisateurs

L’impact financier peut être considérable. Les organisations subissent des pertes directes dues à des transactions frauduleuses, des coûts liés à la réponse à incident et à la forensic, des amendes réglementaires pour non-respect des données, des compensations clients, et une atteinte à leur réputation à long terme, affectant la confiance et l’acquisition des utilisateurs.

Stratégies de défense côté développeur

Bien que vous ne puissiez pas contrôler si d’autres services sont compromis ou si vos utilisateurs réutilisent leurs mots de passe, vous pouvez mettre en place plusieurs couches de défense qui réduisent considérablement votre exposition aux attaques de credential stuffing.

Authentification multi-facteurs (MFA)

La MFA reste l’une des protections les plus efficaces contre le credential stuffing. Même si les attaquants possèdent des identifiants valides, ils ne peuvent généralement pas contourner un second facteur d’authentification correctement mis en œuvre. Le mot clé ici est « correctement » — l’efficacité de la MFA dépend fortement de la méthode utilisée.

Les mots de passe à usage unique basés sur le temps (TOTP) via des applications d’authentification offrent une protection solide. Les codes par SMS offrent une protection modérée mais sont vulnérables aux attaques de swapping de SIM. Les notifications push vers des appareils enregistrés équilibrent sécurité et commodité utilisateur. Les clés de sécurité matérielles offrent la meilleure protection, mais leur adoption est limitée par le coût et la complexité.

La stratégie d’implémentation est cruciale. Rendre la MFA obligatoire pour des actions à haut risque — comme changer de mot de passe, mettre à jour des méthodes de paiement ou accéder à des données sensibles — offre une protection essentielle même si les utilisateurs ne l’ont pas activée pour la connexion routinière. Envisagez une MFA basée sur le risque qui déclenche des défis d’authentification supplémentaires en cas d’indicateurs suspects comme des adresses IP inconnues, des scénarios de voyage impossible ou des comportements d’accès inhabituels.

Limitation de débit intelligente

Une limitation de débit efficace pour le credential stuffing nécessite une sophistication au-delà du simple comptage de requêtes. Les limites traditionnelles basées uniquement sur les adresses IP deviennent inefficaces lorsque les attaquants répartissent leurs attaques sur des milliers de proxies.

Mettez en œuvre une limitation de débit multidimensionnelle qui considère :

• Limites par IP : Fixez des seuils raisonnables pour les tentatives de connexion depuis une même IP, mais suffisamment élevés pour ne pas impacter les utilisateurs légitimes derrière un réseau partagé.

• Limites par compte : Restreignez le nombre d’échecs de connexion pour un même compte, indépendamment de l’IP source. Cela empêche les attaquants d’essayer le même compte depuis plusieurs IP.

• Vérifications de vélocité : Surveillez le taux global de requêtes d’authentification vers votre endpoint. Des pics soudains indiquent souvent des campagnes de credential stuffing.

• Analyse du taux d’échec : Suivez le ratio entre échecs et succès lors des tentatives d’authentification. Lors d’attaques de credential stuffing, le taux d’échec augmente fortement car la majorité des identifiants volés ne correspondent pas à vos utilisateurs.

Votre réponse à la limitation de débit doit être graduée. Les premiers dépassements de seuil peuvent déclencher des CAPTCHA plutôt que des blocages complets, permettant aux utilisateurs légitimes de continuer tout en arrêtant les outils automatisés. Les violations ultérieures peuvent entraîner le verrouillage temporaire du compte, avec envoi de notifications aux propriétaires légitimes.

API de vérification de violation de mot de passe

Une des mesures de défense les plus puissantes consiste à vérifier les mots de passe des utilisateurs dans des bases de données d’identifiants compromis. Des services comme Have I Been Pwned (HIBP) maintiennent des bases de données de milliards de mots de passe exposés lors de violations précédentes et proposent des API permettant de vérifier si un mot de passe a été compromis — sans jamais envoyer le mot de passe lui-même.

L’API Pwned Passwords de HIBP utilise un modèle de k-anonymat qui préserve la confidentialité du mot de passe. Voici comment cela fonctionne :

1. Hasher le mot de passe avec SHA-1
2. Envoyer uniquement les 5 premiers caractères du hash à l’API
3. L’API retourne tous les hashes dans sa base de données commençant par ces 5 caractères
4. Votre application vérifie si le hash complet apparaît dans la liste retournée

Cette approche garantit que l’API ne reçoit jamais le mot de passe réel ni le hash complet, protégeant la vie privée de l’utilisateur tout en permettant la vérification de violation.

Mettre en œuvre la vérification des violations lors de points stratégiques dans votre flux d’authentification offre plusieurs bénéfices de défense :

Pendant l’inscription : Empêchez les utilisateurs de créer des comptes avec des mots de passe connus comme compromis. Lorsqu’un utilisateur tente de s’inscrire avec un mot de passe compromis, affichez un message expliquant que le mot de passe est apparu dans une violation de données et ne peut pas être utilisé. Cela évite que des vulnérabilités entrent dans votre système.

Lors du changement de mot de passe : Appliquez la même vérification lors de la mise à jour du mot de passe par l’utilisateur. Cela empêche de réutiliser un autre mot de passe compromis.

Lors de la connexion : Si un utilisateur s’authentifie avec un mot de passe connu comme compromis, proposez un processus de réinitialisation obligatoire. Cette approche proactive comble les failles de sécurité avant qu’elles ne soient exploitées. Vous pouvez déclencher cette vérification à chaque connexion ou utiliser un échantillonnage où vous vérifiez périodiquement les hashes de mots de passe stockés dans la base de données.

Détection avancée de bots et analyse comportementale

Les outils modernes de credential stuffing tentent de mimétiser le comportement humain, mais des indicateurs subtils peuvent encore révéler une activité automatisée. La mise en œuvre d’une analyse comportementale ajoute une couche de défense supplémentaire.

Surveillez les motifs qui distinguent les utilisateurs humains des bots :

• Schémas de timing : Les humains ont une variance naturelle dans la vitesse de frappe et les pauses. Les bots montrent souvent une cohérence suspecte dans le timing entre les frappes ou une vitesse irréaliste dans la complétion des formulaires.

• Mouvements de souris et interactions : Les utilisateurs légitimes déplacent leur souris de manière erratique, cliquent sur divers éléments, et font parfois des corrections. Les bots se déplacent généralement directement vers les champs de formulaire avec une précision mécanique.

• Empreintes du navigateur : Bien que les attaquants puissent randomiser certains paramètres du navigateur, des combinaisons de user agent, résolution d’écran, polices installées, empreinte canvas, et paramètres WebGL révèlent souvent une activité de bot ou des changements suspects entre les sessions.

• Comportement de session : Les bots tentent souvent de se connecter immédiatement après le chargement de la page de connexion, alors que les humains prennent du temps pour observer la page, consulter éventuellement des gestionnaires de mots de passe, puis entrer leurs identifiants.

Envisagez d’appliquer des défis CAPTCHA de manière sélective en fonction du score de risque plutôt que de les afficher à tous les utilisateurs. N’affichez des CAPTCHA que lorsque les signaux comportementaux suggèrent une activité automatisée, afin de préserver l’expérience utilisateur pour les utilisateurs légitimes tout en défiant les requêtes suspectes.

Verrouillage de compte avec notification utilisateur

Lorsque votre système détecte une activité d’authentification suspecte — comme plusieurs tentatives échouées depuis différentes IP ou des tentatives avec un nom d’utilisateur correct mais un mot de passe incorrect — mettez en place des mesures de protection qui équilibrent sécurité et commodité.

Verrouillez temporairement le compte après un seuil défini d’activité suspecte, mais ne laissez pas l’utilisateur dans l’ignorance. Envoyez une notification immédiate par email à l’adresse enregistrée pour l’informer de l’activité suspecte et fournir un mécanisme simple pour retrouver l’accès si c’est le véritable propriétaire du compte. Cette notification a plusieurs objectifs : alerter l’utilisateur légitime d’une attaque potentielle, offrir une voie de récupération, et dissuader les attaquants qui réalisent que leur activité déclenche une alerte.

Systèmes de surveillance et détection

Une défense efficace nécessite une visibilité sur les schémas d’attaque dès leur apparition. Mettez en œuvre une journalisation et une surveillance complètes des événements d’authentification :

Enregistrez toutes les tentatives d’authentification avec suffisamment de détails pour une analyse forensic : horodatage, IP source, agent utilisateur, identifiant du compte (même pour les tentatives échouées), statut succès/échec, et toute mesure de sécurité déclenchée. Assurez-vous que ces logs sont stockés en toute sécurité avec des périodes de conservation appropriées, équilibrant sécurité et conformité.

Créez des tableaux de bord et des alertes qui mettent en évidence en temps réel les indicateurs de credential stuffing :

• Pics soudains de volume de trafic d’authentification
• Taux d’échec élevé sur la plateforme
• Plusieurs comptes ciblés depuis la même IP
• Distribution géographique inhabituelle des tentatives
• Haute vélocité des tentatives sur des comptes individuels
• Schémas de test séquentiel de comptes (tentatives avec des noms d’utilisateur similaires)

Les alertes automatisées permettent une réponse rapide. Lorsqu’un système de surveillance détecte une campagne de credential stuffing, vous pouvez appliquer des mesures défensives temporaires comme des exigences de CAPTCHA renforcées, des limites de débit plus strictes, ou une mise en œuvre d’MFA d’urgence pour les comptes à haute valeur.

En-têtes de sécurité et protections de la page de connexion

Mettez en œuvre les meilleures pratiques de sécurité pour vos points de connexion spécifiquement :

• Utilisez exclusivement HTTPS pour le trafic d’authentification afin d’empêcher l’interception des credentials
• Implémentez des tokens CSRF pour prévenir la falsification de requêtes inter-sites
• Définissez des politiques CORS appropriées pour empêcher le vol de credentials via des sites malveillants
• Utilisez des en-têtes de sécurité comme Content-Security-Policy pour empêcher les scripts de collecte de credentials

Envisagez d’appliquer des protections supplémentaires directement sur votre page de connexion. Des messages d’erreur génériques qui ne distinguent pas entre “nom d’utilisateur invalide” et “mot de passe invalide” empêchent les attaquants d’énumérer des comptes valides. La mise en place de champs honeypot visibles pour les bots mais pas pour les humains peut aider à identifier les soumissions automatisées.

Construire une stratégie de défense en profondeur

Aucune mesure unique ne garantit une protection complète contre le credential stuffing. La sécurité efficace nécessite la superposition de plusieurs mécanismes de défense qui se complètent.

Commencez par mettre en œuvre les défenses fondamentales : limitation de débit appropriée, vérification des mots de passe compromis, et surveillance complète. Ces mesures offrent une protection immédiate sans impacter significativement l’expérience utilisateur.

Ensuite, ajoutez une analyse comportementale et des défis CAPTCHA sélectifs ciblant l’activité suspecte tout en permettant aux utilisateurs légitimes de continuer normalement. Ces systèmes intelligents s’adaptent aux schémas d’attaque sans créer de friction pour les vrais utilisateurs.

Enfin, encouragez l’adoption de MFA via l’éducation des utilisateurs et des incitations. Bien que la MFA obligatoire offre la meilleure protection, la MFA optionnelle avec un taux d’adoption élevé réduit considérablement votre surface d’attaque.

Révisez régulièrement votre posture de sécurité en analysant les logs d’authentification, en surveillant les tendances industrielles en matière de méthodes d’attaque, et en réalisant des tests simulés de credential stuffing contre votre infrastructure pour identifier les faiblesses avant que les attaquants ne le fassent.

Conclusion

Le credential stuffing représente un défi fondamental en sécurité des applications : vos défenses doivent prendre en compte les échecs de sécurité sur des systèmes que vous ne contrôlez pas et les choix de mots de passe que vous ne pouvez pas directement imposer. La persistance de l’attaque repose sur son efficacité — elle fonctionne parce que les utilisateurs réutilisent leurs mots de passe, et ils continueront à le faire malgré les campagnes de sensibilisation.

En tant que développeurs et professionnels de la sécurité, nous devons accepter cette réalité et construire des défenses en conséquence. En mettant en œuvre l’authentification multi-facteurs, la limitation de débit intelligente, la vérification des mots de passe compromis, l’analyse comportementale, et une surveillance complète, vous pouvez réduire considérablement votre exposition aux attaques de credential stuffing même lorsque vos utilisateurs emploient des mots de passe faibles ou réutilisés.

La menace du credential stuffing continue d’évoluer. Les attaquants expérimentent désormais avec des outils pilotés par IA qui imitent mieux le comportement humain et s’adaptent aux mesures de défense en temps réel. Rester en avance nécessite une vigilance continue, des évaluations régulières de sécurité, et la volonté d’adopter de nouvelles technologies de défense à mesure qu’elles émergent.

La sécurité de votre application n’est réellement aussi forte que le mot de passe réutilisé le plus faible de vos utilisateurs — sauf si vous mettez en place des mesures de défense qui brisent cette chaîne de dépendance. Les outils et techniques existent pour protéger vos utilisateurs contre le credential stuffing. La question est : allez-vous les mettre en œuvre avant que les attaquants ne trouvent leur chemin ?