Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 009

Enumeration de comptes

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que Enumeration de comptes ?

Enumeration de comptesAttaque qui exploite les differences de reponse d'une application pour determiner quels comptes, e-mails ou numeros existent sur la cible.


L'enumeration de comptes exploite les differences de comportement d'une application selon qu'un compte existe ou non : messages d'erreur distincts lors de la connexion, de l'inscription ou de la reinitialisation de mot de passe, variations de temps, ou codes de statut HTTP differents. En sondant de nombreux identifiants candidats, l'attaquant constitue une liste de comptes valides qu'il pourra ensuite cibler par phishing, credential stuffing ou password spraying.

La vulnerabilite est frequente sur les formulaires de connexion ("utilisateur inconnu" vs "mot de passe incorrect"), de reinitialisation de mot de passe ("verifiez votre e-mail" vs "compte introuvable") et d'inscription ("e-mail deja utilise"). Elle est rarement le but final : l'enumeration est une etape de reconnaissance qui affine les attaques ulterieures en supprimant les conjectures. Un exemple recent et concret est CVE-2025-69413 dans Gitea (corrige dans 1.25.2) : le point de terminaison /api/v1/user renvoyait des reponses distinguables pour les noms d'utilisateur valides et invalides, permettant aux attaquants de cartographier les comptes reels avant un credential stuffing ou un spear-phishing.

Meme lorsque les messages d'erreur sont uniformes, le temps peut fuiter : les systemes qui ne hachent le mot de passe fourni que lorsque l'utilisateur existe repondent de maniere mesurablement plus rapide pour les comptes inconnus. Les defenses robustes combinent donc des messages generiques et identiques ; des chemins de code a temps constant (toujours executer un hachage factice) ; des notifications generiques de reinitialisation de mot de passe et d'inscription ; du rate limiting par IP et par compte ; du CAPTCHA en cas d'abus ; et de la MFA pour attenuer les attaques en aval. Le cas de test WSTG-IDNT-04 d'OWASP codifie la facon de le verifier.

flowchart TD
  A[L'attaquant soumet un identifiant candidat] --> B{Le compte existe-t-il ?}
  B -->|Oui| C["Signal distinct :<br/>mot de passe incorrect / hachage lent / 200"]
  B -->|Non| D["Signal distinct :<br/>utilisateur inconnu / reponse rapide / 404"]
  C --> E[Marquer l'identifiant VALIDE]
  D --> F[Marquer l'identifiant invalide]
  E --> G[Construire la liste des comptes valides]
  G --> H[Credential stuffing / phishing / password spraying]
  C -.message uniforme + temps constant.-> I[Signaux identiques : enumeration bloquee]
  D -.message uniforme + temps constant.-> I

Exemples

  1. 01

    Un formulaire d'inscription indiquant 'cet e-mail est deja utilise', permettant de collecter des e-mails valides.

  2. 02

    Temps de reponse differents sur /login entre utilisateurs connus et inconnus, utilises pour batir une liste de comptes.

Questions fréquentes

Qu'est-ce que Enumeration de comptes ?

Attaque qui exploite les differences de reponse d'une application pour determiner quels comptes, e-mails ou numeros existent sur la cible. Cette notion relève de la catégorie Identité et accès en cybersécurité.

Que signifie Enumeration de comptes ?

Attaque qui exploite les differences de reponse d'une application pour determiner quels comptes, e-mails ou numeros existent sur la cible.

Comment se défendre contre Enumeration de comptes ?

Les défenses contre Enumeration de comptes combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de Enumeration de comptes ?

Noms alternatifs courants : Enumeration d'utilisateurs, Enumeration d'identifiants.

Termes liés