Le credential stuffing est-il la même chose qu'une attaque par force brute ?

Non. Une attaque par force brute génère des combinaisons de mots de passe au hasard ou à partir de dictionnaires, tandis que le credential stuffing utilise de vraies paires nom d'utilisateur/mot de passe déjà volées lors de violations de données antérieures. Le credential stuffing est généralement plus efficace, car il s'appuie sur des identifiants ayant déjà fonctionné quelque part.

Un VPN peut-il me protéger contre le credential stuffing ?

Pas directement. Un VPN chiffre votre trafic et masque votre adresse IP, mais il ne peut pas empêcher un attaquant d'utiliser des identifiants volés pour accéder à vos comptes. En revanche, un VPN peut réduire indirectement votre exposition en rendant plus difficile la création de profils reliant vos différents comptes en ligne.

Comment savoir si mes identifiants ont été compromis ?

Vous pouvez consulter des services comme HaveIBeenPwned, qui répertorient les adresses e-mail et mots de passe apparus dans des violations de données connues. De nombreux gestionnaires de mots de passe proposent également des fonctionnalités intégrées de surveillance des violations qui vous alertent si vos identifiants sont exposés.

Quelle est la meilleure façon de se protéger contre le credential stuffing ?

Utilisez un mot de passe unique et robuste pour chaque compte — un gestionnaire de mots de passe vous facilitera la tâche — et activez l'authentification à deux facteurs (2FA) partout où c'est possible. Ces deux mesures combinées éliminent l'essentiel du risque lié au credential stuffing, même si vos identifiants se retrouvent dans une base de données de violations.

Credential Stuffing

Credential Stuffing : quand une seule violation en entraîne beaucoup d'autres

Si vous avez déjà réutilisé un mot de passe sur plusieurs comptes — ce que la plupart des gens font — vous êtes une cible potentielle pour le credential stuffing. Il s'agit de l'une des méthodes d'attaque les plus courantes et les plus efficaces utilisées par les cybercriminels aujourd'hui, et elle exploite une habitude très humaine : privilégier la commodité à la sécurité.

En quoi ça consiste

Le credential stuffing est un type de cyberattaque automatisée dans lequel des pirates informatiques récupèrent de grandes listes de noms d'utilisateur et de mots de passe divulgués (généralement obtenus lors de violations de données antérieures) et les testent systématiquement sur des dizaines, voire des centaines de sites web différents. La logique est simple : si une personne a utilisé le même identifiant et le même mot de passe pour un forum de jeux vidéo et son compte bancaire en ligne, compromettre l'un revient à compromettre l'autre.

Contrairement aux attaques par force brute, qui tentent des mots de passe aléatoires ou basés sur des dictionnaires, le credential stuffing utilise de vraies identifiants qui ont déjà fait leurs preuves quelque part. Cela le rend nettement plus efficace et plus difficile à détecter.

Comment ça fonctionne

Le processus suit généralement un schéma prévisible :

Acquisition des données — Les attaquants achètent ou téléchargent des bases de données d'identifiants compromis sur des places de marché du dark web. Certaines listes contiennent des centaines de millions de paires nom d'utilisateur/mot de passe.
Automatisation — À l'aide d'outils spécialisés (parfois appelés « vérificateurs de comptes » ou frameworks de credential stuffing), les attaquants chargent les identifiants volés et les dirigent vers une page de connexion cible.
Attaque distribuée — Pour éviter de déclencher des limitations de débit ou des blocages d'adresse IP, les attaquants font transiter le trafic par des botnets ou un grand nombre de proxies résidentiels, donnant l'impression que les tentatives de connexion proviennent de milliers d'utilisateurs différents à travers le monde.
Collecte des comptes valides — Le logiciel signale toutes les connexions réussies, donnant aux attaquants accès à des comptes vérifiés. Ceux-ci sont ensuite soit exploités directement, soit revendus, soit utilisés à des fins de fraude ultérieure.

Les taux de réussite sont généralement faibles — souvent entre 0,1 % et 2 % — mais lorsqu'on teste des millions d'identifiants, même 0,5 % représente des milliers de comptes compromis.

Pourquoi c'est important pour les utilisateurs de VPN

Les utilisateurs de VPN ne sont pas à l'abri du credential stuffing — il existe même un aspect spécifique qu'il vaut la peine de connaître. Certains fournisseurs de VPN ont eux-mêmes été ciblés. Lors d'incidents passés, des attaques de credential stuffing contre des services VPN ont permis à des attaquants d'accéder aux comptes d'utilisateurs et, dans certains cas, à leurs appareils connectés ou à leurs configurations privées.

Par ailleurs, utiliser un VPN ne vous protège pas si vos identifiants sont déjà compromis. Un VPN masque votre adresse IP et chiffre votre trafic, mais il ne peut pas empêcher un attaquant de se connecter à votre compte Netflix, à votre messagerie ou à votre compte bancaire avec un mot de passe que vous avez réutilisé depuis un site compromis.

Cependant, un VPN peut contribuer à réduire votre exposition de manière indirecte. En masquant votre véritable adresse IP, il devient plus difficile pour les traqueurs et les courtiers en données de construire des profils reliant vos différents comptes en ligne — ce qui peut limiter l'étendue des dégâts lorsque des violations surviennent.

Exemples concrets

En 2020, des attaques de credential stuffing ont simultanément visé plusieurs fournisseurs de VPN et services de streaming vidéo, les attaquants testant des identifiants volés lors de violations sans rapport dans les secteurs du jeu vidéo et du commerce de détail.
Disney+ a connu une vague de détournements de comptes peu après son lancement — non pas en raison d'une violation des systèmes de Disney, mais parce que des utilisateurs avaient réutilisé des mots de passe provenant d'autres services compromis.
Les institutions financières font face quotidiennement à des millions de tentatives de credential stuffing, dont la plupart sont déjouées grâce à la limitation du débit et à l'authentification multifacteur.

Comment se protéger

La défense est simple, même si changer ses habitudes ne l'est pas :

Utilisez un mot de passe unique pour chaque compte. Un gestionnaire de mots de passe rend cela pratique.
Activez l'authentification à deux facteurs (2FA) partout où c'est possible. Même si un attaquant possède votre mot de passe, il n'aura pas votre second facteur.
Consultez des bases de données de violations comme HaveIBeenPwned pour vérifier si vos identifiants ont été exposés.
Surveillez les connexions à vos comptes afin de détecter des emplacements ou des appareils inconnus.

Le credential stuffing fonctionne parce que les gens réutilisent leurs mots de passe. Cessez de le faire, et l'attaque cesse largement de fonctionner contre vous.

Credential StuffingIntermédiaire