Quelle différence entre credential stuffing et brute force ?

Le brute force teste systématiquement toutes les combinaisons possibles de mots de passe (ou une liste de mots de passe communs) contre un compte donné. Le credential stuffing utilise des couples identifiant+mot de passe déjà connus (volés lors de fuites précédentes) et les teste contre d'autres services. Le credential stuffing est beaucoup plus efficace car il exploite la réalité que les utilisateurs réutilisent leurs mots de passe : environ 65% des personnes réutilisent le même mot de passe sur plusieurs sites. Le taux de succès typique du credential stuffing est de 0,1 à 2% par liste — ce qui, sur des millions de tentatives, produit des milliers de comptes compromis.

Comment les attaquants obtiennent-ils les listes d'identifiants ?

Trois sources principales. Les fuites de données publiques et semi-publiques (Collection #1 de 2019 avec 773 millions d'adresses, fuites massives régulières). Les ventes sur le dark web où des bases de millions de comptes volés se négocient pour quelques centaines à quelques milliers de dollars. Les infostealers (RedLine, Raccoon, LummaC2, Vidar) qui collectent en continu des identifiants depuis des postes infectés et alimentent les marchés criminels. Les bases Combolists consolidées combinent ces sources en listes prêtes à l'emploi. Have I Been Pwned répertorie plus de 13 milliards de couples email/mot de passe compromis en 2026 — estimation probablement sous-évaluée.

La MFA suffit-elle à bloquer le credential stuffing ?

Largement mais pas totalement. La MFA bloque la grande majorité des tentatives de credential stuffing qui ne peuvent pas fournir le second facteur. Les études Microsoft montrent que la MFA bloque plus de 99% des attaques par compromission de compte, y compris le credential stuffing. Toutefois, certaines techniques permettent de contourner la MFA par SMS (SIM swap, interception OTP), et de plus en plus d'attaques utilisent des kits de phishing AitM (Adversary in the Middle) qui capturent la session MFA en temps réel. Pour une protection robuste, MFA résistant au phishing (FIDO2, passkeys) est recommandé. La MFA seule ne dispense pas de détecter et bloquer les tentatives massives de credential stuffing au niveau applicatif.

Quels secteurs sont les plus ciblés ?

Plusieurs secteurs concentrent les attaques. Le streaming et divertissement (Netflix, Disney+, Spotify) pour revente des comptes à petit prix. Le e-commerce et retail pour utilisation des comptes pour fraude (commandes, détournement de cashback). La banque et finance pour tentatives de fraude directe. Les plateformes avec économie de crédits ou points (Chick-fil-A, hotels chains, compagnies aériennes) où les comptes ont une valeur monnayable. Les plateformes de tests génétiques et santé (cas 23andMe 2023) pour les données revendables. Les services B2B (Slack, GitHub, Office 365) où un compte compromis permet des attaques ciblées ultérieures. Les forums et communautés anciens (LinkedIn, Adobe) restent des sources de combolists exploitées pendant des années.

Credential stuffing : définition, cas réels et protection face au bourrage d'identifiants

Famille: Attaque automatisée sur authentification
Taux de succès typique: 0,1 à 2% par liste
Volumétrie observée: Des millions à milliards de tentatives/jour sur les grandes plateformes
Couples compromis connus: 13 milliards+ (Have I Been Pwned, 2026)
Parade principale: MFA + détection comportementale + passkeys

01 — DéfinitionQu'est-ce que le credential stuffing ?

Le credential stuffing (littéralement « bourrage d'identifiants ») est une technique d'attaque automatisée qui consiste à tester massivement des couples identifiant + mot de passe, précédemment volés lors d'autres incidents, contre un service cible. L'attaquant mise sur le comportement bien documenté de réutilisation des mots de passe par les utilisateurs.

Contrairement au brute force traditionnel qui teste des combinaisons aléatoires ou des dictionnaires contre un compte, le credential stuffing utilise des identifiants déjà connus et valides sur un autre service. Le principe repose sur une constatation simple : si un utilisateur a utilisé marie.dupont@exemple.com avec le mot de passe MonChat2019! sur un forum compromis, il y a de fortes chances qu'il utilise le même couple sur son compte Amazon, Netflix, LinkedIn, PayPal ou banque en ligne.

Les études convergent : environ 65% des personnes réutilisent le même mot de passe sur plusieurs sites, et près de la moitié l'utilisent sur plus de cinq services. Cette réalité comportementale, combinée à des milliards d'identifiants publiquement disponibles suite à des fuites massives, fait du credential stuffing l'une des attaques les plus efficaces et les plus répandues du web moderne.

Le terme a été popularisé par la société Sumuri puis par Akamai et l'OWASP vers 2015-2016. Depuis, les grands fournisseurs cloud et éditeurs de sécurité publient des rapports trimestriels montrant des volumes impressionnants : plusieurs dizaines à centaines de milliards de tentatives par an observées sur les principales plateformes mondiales.

Le credential stuffing n'exploite aucune vulnérabilité technique. Il exploite exclusivement le comportement des utilisateurs qui réutilisent leurs mots de passe. C'est fondamentalement un problème humain qui demande à la fois des solutions techniques et éducatives.

02 — MécanismeComment fonctionne l'attaque

Les ingrédients de l'attaque

Une combolist : liste de couples email/mot de passe, de quelques milliers à plusieurs millions.
Un outil d'automatisation : logiciel capable d'envoyer massivement des tentatives de connexion. Les plus populaires sur le marché criminel : Sentry MBA (historique), OpenBullet, Silver Bullet, BlackBullet.
Une configuration spécifique au site cible : URL de login, paramètres POST, cookies requis, captcha à contourner.
Un pool de proxies : des milliers d'IP différentes pour masquer l'origine et éviter les blocages.
Des services de contournement CAPTCHA : 2Captcha, Anti-Captcha, qui utilisent des humains ou de l'IA pour résoudre les CAPTCHA en temps réel.

Déroulement typique

L'attaquant acquiert une combolist (achat sur forum criminel, téléchargement de fuites publiques, consolidation de plusieurs bases).
Il choisit un site cible et crée une configuration adaptée (fonction disponible dans des marketplaces dédiées).
Il lance l'outil automatisé avec son pool de proxies.
L'outil tente des millions de connexions en parallèle, à travers des milliers d'IP.
Pour chaque succès, l'outil enregistre : email, mot de passe, données accessibles (solde, profil, numéro de carte). Le résultat est appelé « hit » ou « valid ».
Les hits sont monétisés : utilisés directement, revendus individuellement ou en lots.

Échelle et rapidité

Les outils modernes permettent typiquement 1 000 à 10 000 tentatives par minute par attaquant. Avec une combolist de 10 millions et un taux de succès de 0,5%, un attaquant peut obtenir 50 000 comptes valides en quelques jours. À l'échelle de l'Internet, les grands services reçoivent des milliards de tentatives par jour.

Contournement des protections basiques

Rotation d'IP : chaque tentative provient d'une IP différente, rendant le blocage par IP inefficace.
User-Agent varié : simulation de différents navigateurs et appareils.
Headers réalistes : reproduction fidèle des en-têtes HTTP d'un vrai navigateur.
Pacing : temporisation pour paraître humain.
Contournement captcha : services automatisés (avec IA ou main-d'œuvre humaine).
Headless browsers : utilisation de Puppeteer, Playwright, Selenium pour simuler un vrai navigateur avec JavaScript.

Évolutions 2024-2026

Les techniques modernes incluent :

IA pour contourner les CAPTCHA : les modèles vision/langage résolvent rapidement les CAPTCHA modernes.
Emulation des empreintes de navigateur : polices, GPU, fuseaux horaires, résolution, tous imités pour échapper aux détections de bots.
Réseaux de bots résidentiels : IP de vrais particuliers (télévisions, routeurs compromis) revendues comme proxies résidentiels.
Tests sur API mobiles plutôt que web : les applications mobiles ont souvent des protections plus faibles que le site web.

03 — SourcesD'où viennent les combolists

Fuites de données d'entreprises

Chaque fuite massive de données ajoute des millions de couples au pool criminel. Quelques cas historiques :

Yahoo (2013-2014, révélé 2016) : 3 milliards de comptes. La plus grande fuite de l'histoire.
LinkedIn (2012, ressorti 2016) : 164 millions d'identifiants, utilisés dans d'innombrables attaques jusqu'à aujourd'hui.
Collection #1 (2019) : 773 millions d'adresses uniques, compilation de centaines de fuites antérieures.
Facebook (2019, ressorti 2021) : 533 millions de profils.
COMB (2021) : Compilation of Many Breaches, 3,2 milliards d'identifiants.
RockYou2024 (2024) : compilation de près de 10 milliards de mots de passe.

Les infostealers — la nouvelle source dominante

Depuis 2021-2022, les infostealers sont devenus la source principale d'identifiants frais. Ces malwares spécialisés infectent des postes personnels ou professionnels et collectent en continu :

Mots de passe sauvegardés dans les navigateurs.
Cookies de session (permettant de contourner la MFA).
Informations de carte bancaire.
Portefeuilles crypto.
Données système pour le ciblage.

Les infostealers dominants :

RedLine : leader du marché 2021-2023.
Raccoon Stealer : saisie partielle par les autorités en 2022.
LummaC2 : devenu dominant en 2024-2025.
Vidar, Mars, Rhadamanthys : acteurs secondaires.

Les « logs » volés par ces stealers sont vendus sur des marketplaces dédiées (Genesis Market avant sa fermeture par le FBI en 2023, Russian Market, 2easy) pour 5 à 500 € selon le profil de la victime (sauvegardes professionnelles valant plus).

Marchés criminels

Les combolists consolidées se vendent sur des forums et marketplaces :

Forums russophones historiques : XSS, Exploit.in.
Telegram : canaux dédiés à la vente de combolists.
Marketplaces sur Tor : avec escrow pour sécuriser les transactions.
Forums anglophones : RaidForums (saisi 2022), BreachForums (saisi 2023 et ressuscité plusieurs fois).

Ressources pour les défenseurs

Have I Been Pwned (haveibeenpwned.com) : base publique maintenue par Troy Hunt, agrège les fuites connues. Plus de 13 milliards de couples en 2026. Utilisé en backend par de nombreuses applications de sécurité.
Firefox Monitor : service Mozilla basé sur Have I Been Pwned, alerte les utilisateurs.
Google Password Checkup : intégré à Chrome et à Google Password Manager.
DeHashed, Leak-Lookup : services commerciaux pour professionnels de sécurité.
Have I Been Stealer Logs : extension de HIBP pour les données issues d'infostealers, lancée en 2024.

04 — ExemplesCas documentés récents

23andMe (octobre 2023)

L'une des attaques de credential stuffing les plus médiatisées récentes. Les attaquants ont compromis environ 14 000 comptes utilisateurs de la plateforme de tests génétiques via credential stuffing (réutilisation de mots de passe exposés lors d'autres fuites). Ces comptes ont servi de point d'entrée pour accéder, via la fonctionnalité « DNA Relatives », aux données de parenté de 6,9 millions d'utilisateurs supplémentaires. Les données incluaient nom, date de naissance, origines ethniques, parenté génétique. 23andMe a été fortement critiquée pour son absence de MFA obligatoire au moment des faits. Class action et enquêtes réglementaires ont suivi ; la société a rendu la MFA obligatoire en novembre 2023, et a fait face à des pertes financières majeures qui ont contribué à sa situation difficile fin 2024-2025.

PayPal (janvier 2023)

Environ 35 000 comptes PayPal compromis via credential stuffing entre décembre 2022 et janvier 2023. PayPal a envoyé des notifications officielles aux utilisateurs concernés, réinitialisé les mots de passe et offert deux ans de surveillance d'identité Equifax. L'incident illustre que même les plateformes financières matures restent vulnérables sans MFA obligatoire.

DraftKings (novembre 2022)

La plateforme de paris sportifs a subi une vague de credential stuffing qui a compromis environ 67 000 comptes utilisateurs. Les attaquants ont pu effectuer des retraits non autorisés pour un préjudice total estimé à 300 000 dollars avant détection. DraftKings a remboursé les utilisateurs et renforcé ses mécanismes de détection.

Norton Password Manager (décembre 2022 - janvier 2023)

Cas particulièrement préoccupant : ciblage du gestionnaire de mots de passe Norton LifeLock (ex-Symantec). Les attaquants ont utilisé des combolists contre le service de login. Plusieurs milliers de comptes compromis, donnant potentiellement accès à l'ensemble des mots de passe stockés par les victimes. Incident qui a fait basculer beaucoup d'utilisateurs vers des gestionnaires concurrents.

Disney+ (lancement novembre 2019)

Quelques heures après son lancement, Disney+ a subi des vagues massives de credential stuffing. Des milliers de comptes compromis ont été mis en vente sur les forums pour quelques dollars. Disney a nié initialement tout « piratage » de ses systèmes — correctement, puisque l'attaque ne visait pas Disney mais exploitait les réutilisations de mots de passe des utilisateurs. Cas emblématique pour expliquer la distinction entre fuite côté plateforme et credential stuffing.

Okta (octobre 2023)

Pas du credential stuffing au sens strict, mais un cas pédagogique lié. Un employé d'Okta s'est authentifié sur son compte Google personnel depuis un poste professionnel. Son ordinateur a été infecté par un infostealer qui a capturé les identifiants de son compte de service Okta. Les attaquants les ont réutilisés pour accéder au support Okta et compromettre les données de plusieurs grandes entreprises clientes. Cas qui montre comment les infostealers alimentent des attaques ultérieures très ciblées.

Chick-fil-A (début 2023)

Campagne de credential stuffing contre les comptes Chick-fil-A One (programme de fidélité). Les comptes compromis donnaient accès à des crédits alimentaires accumulés par les clients. Environ 71 000 comptes touchés, revendus sur forums criminels pour usage direct (commande de nourriture payée par la victime) ou revente. Illustre comment même des programmes de fidélité deviennent des cibles rentables.

05 — ImpactCe que font les attaquants des comptes compromis

Usage direct par l'attaquant

Banque et finance : virements frauduleux, changement de coordonnées bancaires, souscription de crédit.
E-commerce : commandes avec livraison vers une adresse contrôlée, utilisation de cashback accumulé.
Crypto : vidage de portefeuilles sur les plateformes d'échange.
Programmes de fidélité : conversion ou vente de points, miles aériens.
Services professionnels : accès à des documents sensibles, envoi d'emails frauduleux depuis un compte légitime.

Revente sur marchés

Comptes Netflix, Disney+, Spotify, ChatGPT Plus, Claude : 1 à 5 € pièce.
Comptes streaming sportif : 10 à 30 €.
Comptes de jeu (Steam, Epic Games, PlayStation) : 5 à 100 € selon le catalogue.
Comptes Amazon avec historique : 10 à 50 €.
Comptes banque ou finance : variable, parfois très élevé selon le solde.
Comptes entreprise (Slack, GitHub, Office 365) : 50 à 500 €, intéressants pour attaques ultérieures.

Pivot pour attaques ciblées

Un compte compromis peut être utilisé pour préparer des attaques plus élaborées :

Compte email personnel compromis → accès à des tokens de réinitialisation → prise de contrôle d'autres comptes.
Compte d'entreprise compromis → préparation de BEC ou fraude au président.
Accès aux emails → données pour du spear-phishing ciblé.
Compte avec MFA mal configurée → ajout de facteurs attaquant pour persistance.

Fraude à l'identité

Les informations accumulées (adresse, téléphone, IBAN, date de naissance) alimentent des fraudes à l'identité plus larges : souscription de crédit, détournement d'administration, fraude fiscale. Le dommage dépasse largement le périmètre du compte compromis initialement.

Impact réputationnel et réglementaire

Pour les plateformes victimes :

Notification obligatoire aux personnes concernées sous RGPD.
Amendes potentielles de la CNIL pour défaut de mesures de sécurité.
Classes actions aux États-Unis.
Impact sur la confiance utilisateur et donc sur le business.
Coûts de remédiation (notifications, monitoring, renforcement).

Le coût moyen d'un incident d'account takeover pour une entreprise est estimé à plusieurs millions d'euros selon les rapports Ponemon et Verizon, hors amendes.

06 — UtilisateurSe protéger en tant qu'individu

1. Utiliser un gestionnaire de mots de passe

Le plus efficace des réflexes. Permet d'avoir un mot de passe unique et long par service sans effort mémoriel.
Offres grand public recommandées : 1Password, Bitwarden (gratuit et open source), Dashlane, Proton Pass.
Gestionnaires intégrés : iCloud Keychain (Apple), Google Password Manager, Microsoft Authenticator avec password management.
Éviter les gestionnaires intégrés aux navigateurs sans chiffrement de bout en bout robuste.

2. Activer la MFA partout où c'est possible

Priorité absolue sur : email principal, banque, crypto, comptes professionnels, réseaux sociaux.
Préférer les applications TOTP (Google Authenticator, Microsoft Authenticator, Authy) au SMS.
Pour les comptes les plus sensibles, utiliser des clés de sécurité FIDO2 (YubiKey, Google Titan, Feitian).
Adopter les passkeys quand ils sont proposés — immunes au credential stuffing par conception.

3. Vérifier si vos identifiants ont fuité

Utiliser Have I Been Pwned (haveibeenpwned.com) pour vérifier vos adresses email.
S'abonner aux alertes pour être notifié des nouvelles fuites.
Configurer les alertes de Firefox Monitor ou Google Password Checkup.
Changer immédiatement les mots de passe concernés ET tous ceux identiques sur d'autres services.

4. Ne jamais réutiliser les mots de passe

C'est la mesure la plus simple et la plus efficace contre le credential stuffing.
Utiliser le gestionnaire de mots de passe pour générer un mot de passe unique par service.
Accorder une attention particulière aux comptes "pivots" : email principal, gestionnaire de mots de passe lui-même.
En cas d'ancien mot de passe connu pour avoir fuité, changer tous les comptes qui utilisaient ce mot de passe, pas seulement celui de la fuite.

5. Adopter les passkeys dès que possible

Les passkeys remplacent le couple login/mot de passe par de la cryptographie asymétrique.
Ils sont par conception immunes au credential stuffing : rien à voler car aucun secret partagé.
Déjà disponibles sur Apple, Google, Microsoft, de nombreux services (Amazon, eBay, PayPal, GitHub, etc.).
Transition progressive recommandée : commencer par les comptes les plus sensibles.

6. Hygiène de base contre les infostealers

Mettre à jour système, navigateurs et applications régulièrement.
Ne pas installer de logiciels piratés — source fréquente d'infostealers.
Éviter les extensions navigateur non vérifiées.
Méfier des téléchargements inhabituels (fausses mises à jour, faux installeurs trouvés via Google Ads).
Utiliser un antivirus à jour.

07 — EntrepriseProtéger sa plateforme et ses utilisateurs

Détection des attaques en cours

Taux d'échec anormal : surveillance en temps réel du ratio login réussi / login échoué. Un pic soudain est un signal classique de credential stuffing.
Distribution géographique : tentatives provenant de régions inhabituelles pour votre base utilisateurs.
Vitesse de tentatives : patterns non-humains (trop rapide, trop régulier).
Fingerprinting navigateur : détection des outils d'automatisation et des empreintes suspectes.
Réputation IP : listes noires de proxies, Tor, VPN commerciaux abusés.

Solutions techniques spécialisées

WAF modernes avec modules bot management : Cloudflare Bot Management, Akamai Bot Manager, Imperva, F5 Shape Security (racheté par F5), HUMAN Security, DataDome (acteur français).
MFA adaptative : déclencher une MFA supplémentaire quand des signaux de risque sont détectés.
CAPTCHA avancés : reCAPTCHA Enterprise, hCaptcha, Turnstile de Cloudflare.
Device fingerprinting : identification fiable des appareils connus vs inconnus.
Honeypots : faux endpoints ou fausses pages de login pour détecter les bots.

Mesures préventives côté authentification

Rendre la MFA obligatoire par défaut, ou au minimum fortement incitée via l'UX.
Déployer les passkeys en alternative aux mots de passe traditionnels.
Bloquer les mots de passe connus pour avoir fuité (intégration Have I Been Pwned API au moment du choix du mot de passe).
Imposer des exigences de mot de passe basées sur la longueur plutôt que sur la complexité artificielle (recommandation NIST 800-63B).
Rate limiting intelligent par compte, par IP, par device.

Détection comportementale post-connexion

Analyser le comportement après authentification : actions inhabituelles, accès à des fonctions sensibles, volume de données consultées.
Flagguer les changements de comportement : device nouveau, IP atypique, pattern d'utilisation différent.
Déclencher des vérifications supplémentaires pour les actions à risque (virement, changement d'adresse, export de données).
Alertes utilisateur automatiques pour les connexions depuis un nouvel appareil.

Processus et gouvernance

Politique de gestion des incidents de credential stuffing documentée.
Procédures de réinitialisation de masse en cas d'attaque détectée.
Communication aux utilisateurs prête et testée (notifications, emails, messages dans l'application).
Coordination avec les autorités (CNIL si données personnelles, dépôt de plainte si pertinent).
Revue régulière des tentatives bloquées pour détecter les campagnes persistantes.

Conformité réglementaire

Plusieurs réglementations imposent des mesures concrètes :

RGPD article 32 : mesures de sécurité appropriées, notifications CNIL en cas de compromission.
NIS2 : contrôles d'authentification renforcés pour les entités essentielles et importantes.
DORA : exigences spécifiques pour le secteur financier, reporting obligatoire.
PCI DSS : authentification forte pour l'accès aux données de carte.
HDS : pour les hébergeurs de données de santé en France.

08 — FAQQuestions fréquentes

Mon entreprise subit du credential stuffing massif, que faire immédiatement ?

Ordre d'action : (1) constater le pic via les logs d'authentification, (2) activer un rate limiting agressif et un CAPTCHA sur les IP suspectes, (3) pour les comptes ayant subi des tentatives répétées, forcer une réinitialisation de mot de passe, (4) notifier le RSSI et le DPO, (5) si l'attaque se poursuit, envisager une solution WAF avec bot management en urgence (Cloudflare, DataDome proposent des activations rapides), (6) communiquer aux utilisateurs touchés. Documenter l'ensemble pour la CNIL si des accès non autorisés sont avérés.

Le credential stuffing peut-il cibler les API ?

Oui, et de plus en plus. Les API mobiles et d'intégration sont souvent moins protégées que les interfaces web : pas de CAPTCHA, moins de fingerprinting, rate limiting plus permissif. Les attaquants ciblent activement les API mobiles où leur volume reste discret. La protection moderne doit couvrir tous les points d'authentification, pas uniquement le login web.

Les gestionnaires de mots de passe sont-ils eux-mêmes vulnérables ?

Oui en théorie — le cas Norton de 2022-2023 l'a démontré. Mais ils restent infiniment meilleurs que la réutilisation de mots de passe. Recommandations : choisir un gestionnaire avec chiffrement zero-knowledge (le fournisseur ne peut pas déchiffrer vos données), activer une MFA forte (idéalement FIDO2) sur le compte, utiliser un mot de passe maître long et unique, vérifier régulièrement l'absence de fuite de votre email sur HIBP.

Pourquoi certains sites refusent-ils les mots de passe trop longs ?

Problème historique qui persiste sur certains sites. Raisons habituelles : bases de données anciennes avec champ de longueur limitée, pratiques héritées qui considèrent faussement les longs mots de passe comme coûteux. C'est un signal de maturité faible — les recommandations modernes (NIST 800-63B, ANSSI) encouragent au contraire les longs mots de passe. Les sites qui imposent des longueurs maximales serrées méritent généralement une MFA obligatoire comme compensation.

Le credential stuffing diminue-t-il avec l'adoption des passkeys ?

Oui, lentement mais sûrement. Les passkeys sont par conception immunes au credential stuffing — il n'y a pas de secret partagé à voler ou à rejouer. À mesure que l'adoption progresse (Apple, Google, Microsoft, Amazon, PayPal, nombreux acteurs ont activé les passkeys en 2023-2026), l'efficacité du credential stuffing diminue sur les services concernés. Mais la transition prendra plusieurs années — les mots de passe resteront un vecteur majeur jusqu'en 2030 au moins.