Skip to content
Glossaire

Credential stuffing

Le credential stuffing est une attaque automatisée qui consiste à tester des combinaisons identifiant/mot de passe volées lors de fuites de données sur d'autres services en ligne. L'attaquant exploite la réutilisation des mots de passe pour prendre le contrôle de comptes à grande échelle.

9 min de lecture Thomas Ferreira

Comment fonctionne le credential stuffing

Le credential stuffing repose sur un constat simple : les gens réutilisent leurs mots de passe. Quand un site est piraté et que sa base de données fuite, les attaquants récupèrent des millions de paires email/mot de passe. Ils les testent ensuite sur des dizaines d’autres services pour trouver les comptes où le même mot de passe fonctionne.

Le processus d’attaque

1. Récupération des identifiants volés

Les bases de données volées circulent sur les forums du dark web et les canaux Telegram spécialisés. Certaines sont gratuites, d’autres vendues quelques dizaines d’euros pour des millions de lignes. Les fuites massives comme celle de France Travail (43 millions d’enregistrements) ou de Collection #1 (773 millions d’emails) alimentent un stock d’identifiants qui ne cesse de grossir.

2. Automatisation des tests

L’attaquant utilise des outils automatisés (OpenBullet, SentryMBA, des scripts Python sur mesure) qui testent les identifiants volés contre des sites cibles. Ces outils tournent derrière des réseaux de proxys résidentiels pour contourner les blocages par IP. Un seul opérateur peut tester des centaines de milliers de combinaisons par heure.

3. Tri et exploitation

Les combinaisons qui fonctionnent sont appelées des “hits”. Selon le service compromis, l’attaquant peut :

  • Revendre les comptes valides sur des marketplaces (un compte Netflix ou Spotify piraté se vend 2-5 euros)
  • Accéder à des données sensibles si le hit concerne une messagerie professionnelle ou un service cloud
  • Lancer une attaque plus ciblée : phishing personnalisé, mouvement latéral dans le réseau de l’entreprise, déploiement d’un ransomware

Ce qui rend le credential stuffing redoutable, c’est son rapport effort/résultat. Avec un taux de succès de 0,1 à 2 %, une base de 10 millions d’identifiants donne entre 10 000 et 200 000 comptes compromis.

Exemples concrets en France

Les fuites de données en France alimentent directement le pipeline du credential stuffing. Chaque incident crée un nouveau stock d’identifiants exploitables.

France Travail (mars 2024) : 43 millions d’enregistrements exposés, incluant noms, dates de naissance, numéros de sécurité sociale, emails et adresses postales. Bien que les mots de passe n’aient pas fuité directement, les données personnelles permettent de deviner des mots de passe faibles (date de naissance, code postal) et de lancer du phishing ciblé pour récupérer les vrais identifiants.

Viamedis et Almerys (février 2024) : les données de 33 millions d’assurés sociaux compromises via des comptes de professionnels de santé piratés. L’attaque initiale a probablement exploité des identifiants volés ou du phishing ciblé contre les praticiens. Les numéros de sécurité sociale récupérés servent ensuite de levier pour des attaques secondaires.

Disney+ France (2020) : dans les jours suivant le lancement de Disney+ en France, des milliers de comptes ont été piratés par credential stuffing et revendus sur des forums. Les utilisateurs qui avaient recyclé leur mot de passe Netflix ou Amazon ont perdu l’accès à leur compte Disney+ en quelques heures. ZDNet a documenté le phénomène.

Dailymotion (2016) : la plateforme vidéo française a subi une fuite de 87,6 millions de comptes. Les identifiants ont circulé pendant des mois avant d’être exploités en masse contre d’autres services.

Le schéma est toujours le même : une fuite alimente d’autres attaques. Les 43 millions de France Travail seront utilisés pendant des années pour du credential stuffing et du phishing ciblé.

Les chiffres

Le credential stuffing est un phénomène massif, souvent sous-estimé car il est moins visible qu’un ransomware ou une fuite spectaculaire.

Ces chiffres montrent que le credential stuffing est un problème d’infrastructure, pas un problème ponctuel. Tant que les gens réutilisent leurs mots de passe, les attaquants ont un modèle économique rentable.

Credential stuffing et phishing

Le credential stuffing et le phishing ne sont pas des menaces isolées. Ils s’alimentent mutuellement dans un cycle continu.

Le phishing alimente le credential stuffing

Chaque campagne de phishing réussie ajoute de nouveaux identifiants au stock des attaquants. Un employé qui entre son mot de passe Microsoft 365 sur une fausse page de connexion fournit directement un couple email/mot de passe exploitable. Si ce même mot de passe est utilisé ailleurs, il sera testé par credential stuffing sur des dizaines d’autres services.

Les attaques de spear phishing sont encore plus efficaces : un email personnalisé imitant le service IT de l’entreprise, demandant de “vérifier votre compte suite à une activité suspecte”, a un taux de clic bien supérieur au phishing de masse.

Le credential stuffing facilite le phishing

Quand un attaquant prend le contrôle d’un compte email par credential stuffing, il dispose d’un vecteur de phishing redoutable : un vrai compte, avec un historique réel. Les emails envoyés depuis ce compte passent tous les filtres (SPF, DKIM, DMARC sont valides car le domaine est légitime). Les destinataires font confiance à l’expéditeur puisqu’ils le connaissent.

C’est le scénario de la fraude Viamedis/Almerys : des comptes de professionnels de santé compromis ont servi de point d’entrée pour accéder aux données de 33 millions de personnes.

Le cycle complet

  1. Phishing ou fuite de données produit des identifiants volés
  2. Credential stuffing teste ces identifiants sur d’autres services
  3. Les comptes compromis servent à lancer du phishing depuis des adresses légitimes
  4. Ce phishing de deuxième génération capture de nouveaux identifiants
  5. Retour à l’étape 2

Briser ce cycle demande d’agir sur les deux fronts : bloquer le phishing et rendre le credential stuffing inefficace.

Comment protéger votre entreprise

1. MFA sur tous les comptes

Le MFA (authentification multifacteur) est la mesure la plus efficace contre le credential stuffing. Même si un attaquant possède le bon mot de passe, il ne peut pas se connecter sans le deuxième facteur (code SMS, application d’authentification, clé physique).

Priorités de déploiement :

  • Microsoft 365 / Google Workspace (messagerie = cible n°1)
  • VPN et accès distants
  • Outils de gestion financière et comptabilité
  • Tous les comptes administrateur (serveurs, cloud, CRM)

Le MFA par application (Microsoft Authenticator, Google Authenticator) est préférable au SMS, qui reste vulnérable à l’interception par SIM swapping.

2. Gestionnaire de mots de passe

Un gestionnaire de mots de passe (Bitwarden, 1Password, Dashlane) élimine le problème à la racine : chaque compte a un mot de passe unique et aléatoire. Plus de réutilisation signifie que les identifiants volés sur un site ne fonctionnent nulle part ailleurs.

Pour une PME, le déploiement d’un gestionnaire de mots de passe d’entreprise coûte 3 à 8 euros par mois et par utilisateur. Comparé au coût d’un seul compte compromis, le retour sur investissement est immédiat.

3. Surveillance des fuites (breach monitoring)

Des services spécialisés surveillent en continu les fuites de données et vous alertent quand des identifiants liés à votre domaine apparaissent dans une base compromise.

Options accessibles aux PME :

  • Have I Been Pwned domain search (gratuit pour vérifier un domaine)
  • Services de threat intelligence qui scrutent le dark web pour vos emails d’entreprise
  • Rapports de sécurité Microsoft 365 qui signalent les connexions à risque

Quand une alerte tombe, le réflexe est simple : forcer le changement de mot de passe immédiat pour les comptes concernés et vérifier les connexions récentes.

4. Protection technique des applications

Si votre entreprise expose des interfaces de connexion (portail client, extranet fournisseur, application SaaS) :

  • Rate limiting : limiter le nombre de tentatives de connexion par IP et par compte
  • CAPTCHA progressif : déclencher un captcha après 3-5 échecs
  • Détection d’anomalies : alerter sur les connexions depuis un nouveau pays, un nouveau navigateur ou une IP suspecte
  • Blocage des proxys résidentiels connus utilisés par les outils de credential stuffing

5. Sensibilisation des équipes

Les employés doivent comprendre pourquoi la réutilisation de mots de passe est un risque direct pour l’entreprise. Un mot de passe personnel compromis peut ouvrir la porte du réseau professionnel si le même est utilisé pour le VPN ou la messagerie.

Points à couvrir en formation :

  • Un mot de passe = un compte, jamais de réutilisation
  • Savoir utiliser le gestionnaire de mots de passe fourni par l’entreprise
  • Reconnaître un email de phishing et le signaler (le phishing est le premier fournisseur d’identifiants volés)
  • Activer le MFA partout, y compris sur les comptes personnels

Vérifiez la configuration email de votre domaine avec notre vérificateur de sécurité email pour bloquer l’usurpation d’identité, point de départ du phishing qui alimente le credential stuffing.

Vérifier si vos identifiants ont fuité

Avant de mettre en place des protections, commencez par évaluer votre exposition actuelle.

Have I Been Pwned

Le service Have I Been Pwned créé par Troy Hunt recense plus de 14 milliards de comptes issus de 800+ fuites de données. Entrez votre adresse email pour savoir si elle figure dans une base compromise.

Pour les entreprises, la fonctionnalité domain search permet de vérifier toutes les adresses d’un domaine. Si votre domaine apparaît dans plusieurs fuites, les mots de passe concernés doivent être changés immédiatement, même s’ils datent de plusieurs années (les attaquants testent des bases anciennes en permanence).

Bonnes pratiques après une fuite détectée

  1. Changer le mot de passe du compte concerné et de tous les comptes utilisant le même mot de passe
  2. Activer le MFA sur les comptes qui ne l’ont pas encore
  3. Vérifier les connexions récentes et les règles de transfert email (les attaquants créent souvent des redirections silencieuses)
  4. Vérifier les applications tierces autorisées (OAuth) : révoquer celles que vous ne reconnaissez pas
  5. Migrer vers un gestionnaire de mots de passe si ce n’est pas déjà fait

Le credential stuffing est une menace silencieuse. Contrairement au ransomware qui se manifeste par un message de rançon, la prise de contrôle d’un compte peut rester invisible pendant des semaines. Le temps de détection moyen d’un compte compromis par credential stuffing est de 120 jours dans les organisations qui ne surveillent pas activement leurs journaux de connexion (IBM Cost of a Data Breach Report 2024). Plus la détection est rapide, plus les dégâts sont limités.

Questions fréquentes

Qu'est-ce que le credential stuffing ?

Le credential stuffing est une cyberattaque où des identifiants volés (email + mot de passe) lors d'une fuite de données sont testés automatiquement sur d'autres services. Si un employé utilise le même mot de passe sur LinkedIn et sur sa messagerie professionnelle, l'attaquant accède aux deux comptes avec le même identifiant.

Quelle est la différence entre credential stuffing et brute force ?

Le brute force teste des combinaisons aléatoires de mots de passe jusqu'à trouver le bon. Le credential stuffing utilise des identifiants réels déjà volés, ce qui rend l'attaque beaucoup plus efficace : au lieu de deviner, l'attaquant sait déjà que le mot de passe fonctionne quelque part.

Pourquoi le credential stuffing fonctionne-t-il si bien ?

Parce que 65 % des utilisateurs réutilisent le même mot de passe sur plusieurs comptes. Si un site e-commerce est piraté et que le mot de passe d'un employé fuite, ce même mot de passe ouvre potentiellement sa boîte email professionnelle, son VPN ou son accès cloud.

Comment savoir si mes identifiants ont fuité ?

Le service gratuit Have I Been Pwned (haveibeenpwned.com) recense plus de 14 milliards d'identifiants issus de fuites connues. Entrez votre adresse email pour vérifier si elle figure dans une ou plusieurs bases de données compromises. Pour les entreprises, des services de threat intelligence surveillent en continu les fuites liées à vos domaines.

Comment protéger mon entreprise contre le credential stuffing ?

Trois mesures prioritaires : activer le MFA (authentification multifacteur) sur tous les comptes professionnels, utiliser un gestionnaire de mots de passe pour éliminer la réutilisation, et surveiller les fuites d'identifiants liées à votre domaine avec des outils de breach monitoring.

Testez la sécurité email de votre entreprise

Notre outil gratuit analyse votre domaine et vous donne un score de protection contre le phishing en 30 secondes.

Tester mon domaine Voir tout le glossaire