Bourrage d'identifiants
Qu'est-ce que Bourrage d'identifiants ?
Bourrage d'identifiantsAttaque automatisée qui rejoue d'énormes listes de couples identifiant/mot de passe issues d'une fuite contre d'autres services, exploitant la réutilisation des mots de passe.
Le credential stuffing tire parti d'énormes combolists d'identifiants dérobés lors de fuites passées. Le terme a été forgé en 2011 par Sumit Agarwal, et l'OWASP le répertorie comme menace automatisée OAT-008. Les attaquants injectent ces combolists dans des frameworks d'automatisation (Sentry MBA, OpenBullet, Snipr, scripts maison) qui font tourner des proxys résidentiels, résolvent des CAPTCHAs et lissent les requêtes pour échapper aux limites de débit. Comme beaucoup d'utilisateurs réutilisent leurs mots de passe d'un site à l'autre, même un taux de succès faible (souvent 0,1–2 %) produit de grands volumes de prises de contrôle, ensuite monétisées par la fraude, l'écoulement de cartes-cadeaux ou la revente d'identifiants.
La technique se distingue nettement de la force brute : elle ne devine pas les mots de passe, elle rejoue ceux dont on sait déjà qu'ils sont valides quelque part. La fuite de 23andMe en 2023 en est un cas d'école — les attaquants ont utilisé des identifiants réutilisés pour se connecter à environ 14 000 comptes, puis ont rebondi via la fonctionnalité « DNA Relatives » pour aspirer les données de près de 7 millions de personnes, dont aucun compte n'avait été directement compromis. Des campagnes similaires frappent depuis des années les plateformes de streaming, de e-commerce et financières.
Les défenses comprennent le MFA (idéalement résistant au phishing, FIDO2/passkeys), le filtrage des mots de passe compromis face à des corpus comme Have I Been Pwned, l'empreinte de l'appareil, la gestion des bots, la détection des voyages impossibles et des anomalies de vélocité, ainsi que le throttling progressif ou les défis renforcés sur les connexions suspectes.
flowchart LR
A[Combolists de fuites<br/>couples identifiant:mot de passe] --> B[Outil d'automatisation<br/>OpenBullet / Sentry MBA]
B --> C[Rotation de proxys résidentiels<br/>+ résolution de CAPTCHAs]
C --> D[Rejeu des connexions sur<br/>de nombreux sites cibles]
D --> E{Mot de passe réutilisé ?}
E -->|Non| F[Échec de connexion]
E -->|Oui| G[Prise de contrôle du compte]
G --> H[Fraude / revente / vol de données]● Exemples
- 01
Des bots tentent de se connecter à un service de streaming avec des combolists issues de forums sans lien, pour revendre des comptes valides.
- 02
Un retailer constate un pic de connexions venant d'IP résidentielles sur des milliers de comptes après une fuite tierce.
● Questions fréquentes
Qu'est-ce que Bourrage d'identifiants ?
Attaque automatisée qui rejoue d'énormes listes de couples identifiant/mot de passe issues d'une fuite contre d'autres services, exploitant la réutilisation des mots de passe. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Bourrage d'identifiants ?
Attaque automatisée qui rejoue d'énormes listes de couples identifiant/mot de passe issues d'une fuite contre d'autres services, exploitant la réutilisation des mots de passe.
Comment se défendre contre Bourrage d'identifiants ?
Les défenses contre Bourrage d'identifiants combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Bourrage d'identifiants ?
Noms alternatifs courants : Réutilisation d'identifiants, Account checking.