Qu'est-ce que le credential stuffing ?
Le credential stuffing (bourrage d'identifiants) est une attaque automatisée dans laquelle des paires identifiant-mot de passe volées lors d'une fuite sont testées contre les pages de connexion d'autres services à très grande échelle, en exploitant le fait que les gens réutilisent le même mot de passe sur de nombreux sites.
Contrairement à la devinette de mots de passe, le credential stuffing n'essaie pas de combinaisons aléatoires : il rejoue des identifiants déjà connus comme valides quelque part, si bien que même un faible taux de réussite produit de nombreux comptes compromis sur une grande liste. C'est l'une des voies les plus courantes vers la prise de contrôle de compte et l'une des menaces automatisées au plus fort volume en ligne. Ce guide explique comment l'attaque fonctionne, pourquoi elle réussit si souvent, ses signes révélateurs et comment les défenses au niveau de l'appareil l'arrêtent là où les limites de débit et les mots de passe échouent.
Qu'est-ce que le credential stuffing ?
Le credential stuffing est le rejeu automatisé à grande échelle d'identifiants de connexion préalablement volés contre le point de terminaison d'authentification d'une cible, dans l'espoir que les utilisateurs aient réutilisé ces identifiants. C'est une attaque d'échelle et de réutilisation, non de ruse.
L'attaquant part d'une liste de paires réelles identifiant-mot de passe — souvent des millions — divulguées lors d'une brèche sans rapport. L'automatisation soumet chaque paire au formulaire de connexion de la cible. Partout où un utilisateur a réutilisé son mot de passe, la connexion réussit, et ce compte est désormais compromis. L'attaquant n'a besoin d'aucune connaissance d'une victime individuelle ; la liste divulguée et la réutilisation des mots de passe font tout le travail.
Cela distingue le credential stuffing des attaques par force brute, qui devinent les mots de passe d'un identifiant connu, et du password spraying, qui teste quelques mots de passe courants contre de nombreux comptes. Le credential stuffing utilise des paires complètes, déjà valides, ce qui explique pourquoi il réussit à des taux que la pure devinette n'approche jamais.
Comment fonctionne une attaque de credential stuffing ?
Une attaque de credential stuffing fonctionne en chargeant une liste d'identifiants divulgués dans l'automatisation, en répartissant les tentatives de connexion sur de nombreuses IP et de nombreux appareils pour contourner les limites de débit, et en collectant les paires qui réussissent en vue d'une monétisation ultérieure.
L'attaquant équipe l'automatisation — de simples scripts jusqu'aux navigateurs headless — avec la liste d'identifiants et la pointe vers le point de terminaison de connexion. Pour éviter la défense évidente consistant à bloquer une IP après trop d'échecs, le trafic est réparti sur des réseaux de proxy résidentiel et des user agents rotatifs, de sorte que chaque tentative semble provenir d'un utilisateur ordinaire différent.
Les connexions réussies sont enregistrées et séparées des échecs. Ces comptes validés sont ensuite exploités directement, vendus comme identifiants vérifiés ou transmis à une étape de monétisation qui en draine la valeur. Toute la chaîne est industrialisée : les outils, l'accès aux proxys et les listes d'identifiants sont tous facilement disponibles, ce qui explique pourquoi l'attaque est si répandue.
Pourquoi le credential stuffing réussit-il si souvent ?
Le credential stuffing réussit parce que la réutilisation des mots de passe est répandue, que les identifiants divulgués sont abondants et bon marché, et que l'automatisation et l'infrastructure de proxy nécessaires pour mener l'attaque sont banalisées. Chaque terme de l'équation favorise l'attaquant.
La réutilisation des mots de passe est la cause première. Lorsque le même e-mail et le même mot de passe déverrouillent les comptes d'une personne sur de nombreux services, une seule fuite les expose tous, et les attaquants n'ont qu'à trouver les services où la victime a réutilisé ses identifiants. La réutilisation transforme une fuite en passe-partout.
L'offre et l'outillage font le reste. D'énormes jeux de données d'identifiants circulent librement, les proxys résidentiels font paraître le trafic légitime, et des outils prêts à l'emploi automatisent tout le processus. Comme même un faible taux de réussite sur une liste massive produit des milliers de comptes, l'économie joue fortement en faveur de l'attaquant, ce qui explique précisément pourquoi les défenses doivent s'attaquer à cette économie.
Quels sont les signes d'une attaque de credential stuffing ?
Les signatures du credential stuffing sont un pic de tentatives de connexion, un taux d'échec inhabituellement élevé et des schémas de trafic qui révèlent l'automatisation malgré les efforts pour paraître humaine. Vus ensemble, ils sont difficiles à confondre avec une activité organique.
Le volume est le premier signe : une hausse soudaine des tentatives de connexion bien au-dessus de la base normale, souvent concentrée sur le point de terminaison d'authentification. Comme la plupart des identifiants rejoués ne correspondent pas, le taux d'échec grimpe à des niveaux qu'aucune population d'utilisateurs légitime ne produit — un ratio de réussite de connexion qui inverse ce que vous verriez normalement.
La composition du trafic trahit l'automatisation. Même répartis sur de nombreuses IP, les tentatives partagent des indices : empreintes TLS typiques de l'automatisation, origines de centre de données ou de proxy connu mêlées au bruit résidentiel, cadence mécanique et signaux d'appareil qui se répètent dans des sessions prétendument sans rapport. La corrélation au niveau de l'appareil expose l'unique campagne dissimulée derrière des milliers d'IP.
- Un pic marqué du volume de connexions contre le point de terminaison d'authentification.
- Un taux d'échec de connexion anormalement élevé à mesure que la plupart des paires rejouées échouent.
- Un trafic réparti sur de nombreuses IP qui partage néanmoins des caractéristiques d'appareil ou TLS.
- Des indices d'automatisation : origines de proxy et de centre de données, empreintes de bibliothèques de scripting et cadence mécanique.
Pourquoi les mots de passe et les limites de débit ne parviennent-ils pas à l'arrêter ?
Les mots de passe et les limites de débit par IP échouent parce que l'attaque utilise des identifiants valides et se répartit sur des milliers d'IP, déjouant les deux défenses par conception. Chacune a été bâtie pour un modèle de menace que le credential stuffing contourne délibérément.
Les politiques de mots de passe forts ne protègent que les comptes de votre propre service ; elles ne font rien contre un identifiant que l'utilisateur a réutilisé depuis un autre site qui a fui. Le mot de passe est valide, il passe donc toute vérification de robustesse et d'exactitude. La vulnérabilité réside dans une réutilisation que la plateforme ne peut ni voir ni contrôler.
La limitation de débit fondée sur l'IP supposait un attaquant opérant depuis une seule adresse, de sorte que bloquer après une rafale d'échecs l'arrêtait. Les réseaux de proxy résidentiel démolissent cette hypothèse en donnant à chaque tentative une IP fraîche et d'apparence légitime, maintenant chaque source sous le seuil. La limitation de débit par IP n'a tout simplement rien de durable à compter. L'identifiant durable que l'attaquant ne peut pas faire tourner à faible coût est l'appareil.
Comment l'intelligence des appareils arrête-t-elle le credential stuffing ?
L'intelligence des appareils arrête le credential stuffing en identifiant l'appareil derrière chaque tentative, de sorte que la limitation de débit et le blocage opèrent sur une identité durable qui survit à la rotation des IP, et en signalant l'automatisation dont dépend l'attaque. Elle contre directement l'évasion centrale de l'attaque.
Comme l'identité de l'appareil persiste à travers les IP, un unique appareil de fraude qui martèle la connexion est reconnaissable, quel que soit le nombre de proxys résidentiels derrière lesquels il se cache. Les limites de débit appliquées par appareil — et non par IP — ont enfin quelque chose de stable à compter, si bien que l'attaquant ne peut plus réinitialiser son budget en empruntant une autre adresse.
En outre, les signaux de bot et d'automatisation exposent les outils eux-mêmes : artefacts de navigateur headless, empreintes TLS de bibliothèques de scripting et indices comportementaux marquent le trafic comme automatisé, quels que soient les identifiants valides qu'il porte. Et comme le même appareil se répète d'un compte à l'autre, la corrélation d'appareils révèle toute la campagne, transformant des milliers de tentatives éparses en un unique attaquant identifiable que vous pouvez bloquer d'emblée.
Comment les entreprises peuvent-elles se défendre contre le credential stuffing ?
Les entreprises se défendent contre le credential stuffing avec une stratégie par couches : détection et limitation de débit au niveau de l'appareil, détection des bots sur le flux de connexion, authentification fondée sur le risque et surveillance des signatures de l'attaque. Les couches comblent les lacunes que chaque contrôle laisse seul.
Les défenses au niveau de l'appareil sont la pièce maîtresse, car elles neutralisent l'évasion par rotation d'IP qui rend l'attaque viable : limitation de débit et blocage par appareil plutôt que par adresse. La détection des bots ajoute un second front, en attrapant l'automatisation grâce aux signaux d'environnement, de réseau et de comportement, même lorsque les identifiants sont valides.
Autour de cela, l'authentification fondée sur le risque exige une vérification renforcée lorsqu'une connexion paraît suspecte, émoussant la valeur de tout identifiant qui passerait malgré tout, et la surveillance des pics de volume et des anomalies du taux d'échec donne l'alerte précoce d'une campagne en cours. Encourager des mots de passe uniques et le MFA réduit la réutilisation sous-jacente que l'attaque exploite. Ensemble, les couches font en sorte que l'économie de l'attaque cesse de fonctionner.
Un terme de cette page ne vous est pas familier ? Chaque concept ci-dessus est défini dans notre glossaire de la device intelligence.
Vous préférez une définition concise ? Voir Bot de credential stuffing dans le glossaire.
Questions fréquentes
Limitez le débit de l'appareil, pas de l'IP
TRACIO donne à chaque tentative une identité d'appareil persistante qui survit à la rotation des proxys, si bien que le credential stuffing ne peut pas réinitialiser son budget en changeant d'IP. Commencez gratuitement et coupez-le net.