Qu'est-ce que le "credential stuffing" ? Tout ce qu'il faut savoir !

Dans ce guide rapide, nous abordons les bases du credential stuffing, les attaques de credential stuffing et la manière de prévenir une attaque de credential stuffing.

Félicitations pour votre présence ici : Vous êtes sur le point d'élever votre sécurité en ligne à un tout autre niveau ! Aujourd'hui, vous apprendrez tout ce qu'il faut savoir sur les attaques de type "credential stuffing". Dans le cadre de cette cyberattaque très répandue, des attaquants malveillants utilisent des identifiants de connexion obtenus à la suite de violations de données pour s'introduire dans d'autres comptes. Comme les gens réutilisent leurs mots de passe, il s'agit d'une attaque très efficace, mais contre laquelle vous pouvez facilement vous protéger !


La plupart d’entre nous ont créé des comptes en ligne et utilisé le même mot de passe ou nom d’utilisateur pour quelques-uns d’entre eux, si ce n’est pour tous. Et maintenant, on vous a probablement dit ou averti de créer des mots de passe différents pour chaque compte en ligne que vous possédez, et de vous assurer qu’ils contiennent des majuscules, des minuscules, des chiffres et même des symboles. L’une des principales raisons de le faire est d’éviter de participer à une attaque de type “credential stuffing” (bourrage de données d’identification).

Qu’est-ce qu’une attaque par saturation ?

Une attaque par bourrage d’identifiants se produit lorsque des pirates volent de grandes quantités d’identifiants de connexion à un service (impliqué dans une violation de données) et utilisent ces identifiants pour tenter de pénétrer dans vos comptes sur d’autres plates-formes en ligne. Dans ce guide, nous répondons à des questions telles que “qu’est-ce que le credential stuffing ?” et “qu’est-ce qu’une attaque par credential stuffing ?”, et nous examinons les moyens de vous protéger contre ce type d’attaque.

Table des matières :

Le bourrage d’informations est un type de cyberattaque qui se produit lorsque des quantités massives d’informations d’identification des utilisateurs, telles que les noms d’utilisateur, les mots de passe et les adresses électroniques, sont extraites d’un ensemble de données et utilisées pour se connecter à d’autres services à l’aide d’outils automatisés. Mais comment les pirates informatiques s’y prennent-ils pour s’emparer de vos informations d’identification ? Les pirates essaient d’obtenir des listes de mots de passe, d’adresses électroniques et de noms d’utilisateur (identifiants) à partir des violations de données qui se produisent et les utilisent pour tenter de se connecter à de nombreux autres comptes - c’est l’une des raisons pour lesquelles il est si important d’utiliser des mots de passe forts et différents pour chaque compte en ligne que vous possédez. Si vous utilisez le même mot de passe faible, comme [nom1234], vous risquez d’être victime d’une attaque par “credential stuffing”.

Selon un rapport de Digital Shadows, il y a actuellement plus de 15 milliards d’identifiants volés sur l’internet. La facilité et la disponibilité en masse de ces informations d’identification, ainsi que les outils intelligents de bourrage d’informations d’identification qui utilisent des robots pour passer les protections de connexion courantes, ont fait du bourrage d’informations d’identification l’une des techniques les plus couramment utilisées pour accéder aux comptes des utilisateurs.

Comment se déroule une attaque par “credential stuffing

  1. Les attaquants malveillants obtiennent des mots de passe et des noms d’utilisateur à la suite d’une attaque par hameçonnage, d’une intrusion sur un site web ou d’un site de dépôt de mots de passe.
  2. Ces informations d’identification volées sont testées sur des sites web tels que des sites de médias sociaux ou des banques en ligne à l’aide de robots et d’outils automatisés.
  3. Si les informations d’identification correspondent à celles d’un autre site, le pirate aura réussi à accéder à un autre compte d’utilisateur.

Anatomy of a credential stuffing attack.

Une attaque par bourrage d’identifiants se produit lorsque des pirates obtiennent des identifiants d’utilisateurs à la suite d’une atteinte à la protection des données. Ils tentent ensuite d’accéder aux autres comptes de l’utilisateur à l’aide des données volées.

Attaques récentes de credential stuffing

- Norton LifeLock - En 2023, le gestionnaire de mots de passe Norton Lifelock a été victime d’une attaque par saturation des données d’identification au cours de laquelle des pirates ont utilisé des données d’identification volées pour accéder à des comptes d’utilisateurs. Plus de 925 000 personnes ont été visées.

- Zoom - En 2020, des attaquants ont tenté d’accéder aux comptes d’utilisateurs de Zoom en utilisant des données précédemment divulguées lors de brèches antérieures. Plus de 500 000 comptes Zoom ont été compromis lors de cette attaque et vendus sur le dark web.

- Nintendo - En 2020, la société mondiale de jeux et de divertissements Nintendo a été victime d’une attaque qui a touché 160 000 comptes Nintendo.

Au fil des ans, de nombreuses violations de données ont fait scandale dans diverses multinationales, comme LinkedIn en 2021, Yahoo en 2014 et 2017 (mieux vaut envisager de supprimer votre compte Yahoo), et Facebook en 2019 - Facebook sait tellement de choses sur vous que cette affaire est particulièrement grave. Si vous voulez savoir si vos données ont été divulguées, vous pouvez consulter le site de Cyber News qui vérifie les fuites de données personnelles ou celui de HaveIBeenPwned.

Mais que peut faire un pirate une fois qu’il a réussi à pirater mon compte ?

Une fois qu’un pirate a obtenu vos identifiants de connexion pour un compte, qui peuvent également fonctionner sur un autre de vos comptes, il peut faire toute une série de choses.

- S’approprier des valeurs ou des crédits stockés ou effectuer des achats.

- Accéder à des informations sensibles telles que des messages privés, des photos, des documents ou même des numéros de carte de crédit.

- Envoyer des spams et des messages d’hameçonnage à partir de votre compte.

- Prendre vos informations d’identification et les vendre ou les échanger avec d’autres attaquants.

Les attaques par bourrage d’identifiants constituent une cybermenace sérieuse car elles ouvrent la voie à de nombreuses autres attaques par lesquelles des acteurs malveillants peuvent vous nuire : vol d’identité, attaques de phishing ciblées, ou simplement accès à votre compte PayPal ou Amazon et utilisation de vos données de paiement à des fins personnelles.

Attaque par saturation ou attaque par force brute - quelle est la différence ?

Selon l’OWASP, le credential stuffing est un sous-ensemble des attaques par force brute, bien qu’en réalité l’attaque par credential stuffing soit très différente d’une attaque par force brute traditionnelle. Lors d’une attaque par force brute, les attaquants tentent de deviner les mots de passe, sans contexte ni indices préalables. Une attaque par force brute utilise des caractères et des chiffres mélangés ou des suggestions de mots de passe courants pour tenter d’accéder à des comptes. Ce type d’attaque est similaire - mais pas identique - au credential stuffing, dans lequel les attaquants utilisent des données réelles volées lors d’une atteinte à la protection des données.

Pour vous protéger contre les attaques par force brute, il est conseillé d’utiliser des mots de passe forts, composés de caractères majuscules et minuscules, de chiffres et de caractères spéciaux. Malheureusement, la force de votre mot de passe ne joue pas un rôle dans la protection contre une attaque de type “credential stuffing” - la meilleure façon de l’éviter est d’utiliser des mots de passe différents pour chaque compte que vous possédez.

Comment se protéger d’une attaque par “credential stuffing” ?

La principale raison pour laquelle les attaques de credential stuffing réussissent est que les utilisateurs utilisent les mêmes mots de passe pour plusieurs comptes - oui, c’est le moment de mettre à jour vos mots de passe ! Heureusement pour vous, nous avons un guide sur la façon de créer et de mémoriser des mots de passe forts.

L’une des façons les plus simples de mettre à jour tous vos mots de passe avec des mots de passe uniques et forts serait d’utiliser un gestionnaire de mots de passe qui a également un générateur de mots de passe intégré comme KeePassXC. De cette manière, tous vos mots de passe seront stockés en toute sécurité et vous n’aurez qu’à vous souvenir de l’identifiant du gestionnaire de mots de passe pour accéder à toutes vos informations d’identification. L’utilisation d’un gestionnaire de mots de passe a deux revers de la médaille, comme l’a montré l’attaque de Norton Lifelock Password Manager par ” credential stuffing ” (bourrage de mots de passe) : Si le gestionnaire de mots de passe est victime d’une fuite ou d’une violation de données, tous les mots de passe qui y sont stockés risquent d’être victimes d’une attaque de type “credential stuffing” (bourrage d’informations d’identification). C’est pourquoi il est essentiel de n’utiliser qu’un gestionnaire de mots de passe qui utilise le cryptage pour protéger vos mots de passe et dont le code est publié en open source, comme Bitwarden ou KeePass. Si vous choisissez l’une de nos meilleures recommandations en matière de mots de passe, la probabilité que vos mots de passe stockés dans l’application fassent l’objet d’une violation de données est proche de zéro : Ces applications sécurisent vos mots de passe avec votre propre clé de cryptage ; ainsi, vous seul pouvez décrypter vos mots de passe. Même si une violation de données se produit, l’attaquant ne sera pas en mesure de siphonner vos mots de passe.

En résumé, pour éviter d’être victime d’une attaque de type “credential stuffing”, vous devez avoir des mots de passe différents, uniques et forts pour chaque compte.

Ne soyez pas victime d’une nouvelle violation des données de Yahoo !

Si vous utilisez la messagerie Yahoo !, il y a de fortes chances que vous ayez été victime d’une violation de données. En 2013, une violation massive de données a touché les 3 milliards de comptes d’utilisateurs, suivie d’une autre violation en 2014 où plus de 500 millions de comptes d’utilisateurs de Yahoo ! Mail ont été compromis. Il est temps d’abandonner Yahoo ! et d’opter pour une alternative plus respectueuse de la vie privée comme Tuta Mail.

Si vous souhaitez supprimer votre compte Yahoo !, voici un guide étape par étape sur la manière de supprimer votre compte Yahoo ! et si vous souhaitez passer à un fournisseur de messagerie électronique respectueux de la vie privée qui n’a pas fait l’objet d’une violation de données, nous vous recommandons Tuta Mail. Découvrez comment Tuta Mail et Yahoo ! Mail se comparent en consultant notre guide Yahoo vs Tuta Mail.

Dans le monde en ligne d’aujourd’hui, la protection de la vie privée devient de plus en plus difficile et hors de portée pour les utilisateurs du web. Vous voulez créer un nouveau compte de messagerie avec Gmail ? Ou acheter une chemise en ligne ? Vous devrez d’abord leur fournir une liste d’informations privées ! Ce n’est pas ainsi que l’internet devrait être.

Malheureusement, les grandes entreprises technologiques comme Microsoft, Google et Meta sont tellement avides de pouvoir, d’argent et de données qu’elles collectent vos informations privées, vous suivent à la trace via leurs applications et vendent vos données à des annonceurs pour accroître leurs profits. En retour, vous êtes ciblés par la publicité et vous ne bénéficiez pas de la protection de la vie privée que vous méritez. L’un des principaux problèmes est que, pour utiliser ces différents services en ligne, vous devez toujours communiquer vos données personnelles, comme votre numéro de téléphone portable ou votre adresse électronique. Par conséquent, si l’un de ces services fait l’objet d’une violation de données, il est fort probable que vos informations privées ne soient plus aussi privées que par le passé !

Nous vous recommandons d’opter pour un fournisseur de messagerie électronique respectueux de la vie privée, comme Tuta Mail, qui ne demande pas d’informations privées lors de la création d’un compte. Avec Tuta Mail, vous pouvez vous inscrire de manière anonyme, c’est gratuit et toute votre boîte aux lettres est cryptée de bout en bout.

Tuta est un service de messagerie et de calendrier construit en Allemagne, sous les strictes lois GDPR de l’UE. Mais au-delà de cela, Tuta est entièrement open source et adhère à des protocoles de confidentialité et de sécurité très stricts. Tuta Mail est un leader en termes de confidentialité et de sécurité des emails, si ce n’est le fournisseur d’email le plus sécurisé au monde.

Créez votre compte Tuta Mail gratuit aujourd’hui, pour profiter de la confidentialité en ligne que vous méritez.