« Se connecter »
Essai gratuit

Comment prévenir les attaques de type "Credential Stuffing" sur votre site web ?

captcha.eu

Les attaques de type "Credential stuffing" utilisent de vrais mots de passe volés lors de brèches antérieures, et non des suppositions. Elles sont donc plus rapides, plus difficiles à détecter et plus dommageables que les attaques par force brute. Ce guide présente les six moyens de défense qui permettent de les arrêter, ce qu'il faut faire si une attaque est déjà en cours et quels sont les points de terminaison à protéger en priorité.

Temps de lecture estimé : 16 minutes

Essayez CAPTCHA.eu gratuitement - sans carte de crédit
Voir toutes les intégrations

En bref

Ce qui le différencie

Les attaquants utilisent des mots de passe réels et fonctionnels provenant de violations antérieures, et non des suppositions aléatoires. Les tentatives de connexion semblent légitimes en apparence

Les raisons de son succès

Environ 85% des utilisateurs réutilisent leurs mots de passe sur plusieurs services. Même un taux de réussite de 0,1% sur un milliard d'identifiants donne un million de comptes compromis.

La défense unique la plus forte

MFA. Il empêche la prise de contrôle d'un compte même lorsque l'attaquant possède le bon mot de passe. Les données de Microsoft montrent qu'il bloque plus de 99% des attaques automatisées de compromission de compte.

Pourquoi le CAPTCHA a-t-il sa place ici ?

Les CAPTCHA à l'épreuve du travail arrêtent les robots avant qu'ils n'atteignent votre logique de connexion et augmentent le coût de chaque tentative, que les informations d'identification soient valides ou non.

Ce que couvre ce guide

Comment fonctionne le "credential stuffing" ?

Chaque grande violation de données produit un effet secondaire : une liste de noms d'utilisateur et de mots de passe se retrouve sur le dark web. Les attaquants achètent ces listes à bas prix, parfois pour quelques dollars par million d'enregistrements, et les testent ensuite automatiquement contre d'autres services. La logique est simple : si une personne a utilisé le même courriel et le même mot de passe pour un site de vente au détail violé et pour son compte bancaire, le pirate a maintenant accès aux deux.

Une campagne typique de credential stuffing se déroule comme suit :

  1. Acquérir des informations d'identification. Les attaquants achètent ou téléchargent des bases de données d'intrusion sur des places de marché du dark web. Les listes contenant des milliards de paires nom d'utilisateur/mot de passe sont largement disponibles et bon marché.
  2. Préparer la liste. Des outils enrichissent les données brutes, les dédupliquent et les formatent pour des tests automatisés sur plusieurs sites cibles.
  3. Lancer des tentatives de connexion distribuées. Les robots soumettent des demandes de connexion sur des milliers d'adresses IP simultanément, en utilisant de vraies signatures de navigateur pour se fondre dans le trafic normal. Chaque adresse IP n'envoie qu'une poignée de demandes, ce qui permet de rester en deçà des seuils de limitation du débit.
  4. Collecter les succès de manière silencieuse. Lorsqu'une connexion réussit, le robot l'enregistre. L'attaquant vend alors les informations d'identification, prend le contrôle du compte, draine la valeur stockée ou l'utilise comme base pour d'autres attaques.

Le détail essentiel est que l'attaquant n'a jamais besoin de deviner. Il rejoue des mots de passe qui ont déjà fonctionné ailleurs. Cela change tout quant à l'aspect de l'attaque et à la manière de la détecter.

Remplissage de données d'identification ou force brute : quelle est la différence ?

Les deux attaques visent les formulaires de connexion et utilisent l'automatisation. En dehors de cela, il s'agit de problèmes très différents qui requièrent des défenses différentes.

La façon la plus simple de comprendre la différence

La force brute, c'est comme si un serrurier essayait toutes les combinaisons de clés possibles sur votre serrure. Cela prend du temps, fait du bruit et est évident. L'usurpation d'identité est le fait d'une personne qui a trouvé votre clé dans une boîte d'objets trouvés et qui l'essaie discrètement sur votre porte. La clé semble réelle parce qu'elle l'est. La seule question est de savoir si vous avez changé la serrure après la violation initiale.

ASPECT
LE BOURRAGE DE CR?ANCES
BRUTE FORCE
Source du mot de passe
Mots de passe réels volés lors de brèches antérieures
Estimations générées : combinaisons aléatoires, dictionnaires
Taux de réussite
Faible par tentative (~0,1%), mais énorme à l'échelle
Très faible ; dépend fortement de la force du mot de passe
Vitesse
Très rapide ; réparti sur des milliers d'adresses IP
Plus lent ; déclenche des blocages et des limites de taux rapidement
Difficulté de détection
Difficile : les demandes ressemblent à des connexions d'utilisateurs normales
Plus facile : plusieurs tentatives infructueuses sur un même compte se remarquent
La politique en matière de mots de passe est-elle utile ?
Non : l'attaquant dispose déjà d'un mot de passe fonctionnel.
Oui : des mots de passe plus longs et plus complexes ralentissent l'attaque
Défense primaire
MFA, CAPTCHA, filtrage des mots de passe frauduleux
Blocage de compte, limitation de taux, CAPTCHA, MFA

La ligne la plus importante est l'avant-dernière. Les politiques de mots de passe forts protègent bien contre la force brute parce qu'elles rendent la devinette plus difficile. En revanche, elles n'offrent pratiquement aucune protection contre le "credential stuffing", car l'attaquant n'est pas en train de deviner. Il possède déjà votre mot de passe. C'est pourquoi ces deux attaques nécessitent une réflexion différente, même si elles ont des défenses communes.

Pour un examen plus approfondi de la force brute en particulier, voir notre guide sur la force brute. comment prévenir les attaques par force brute.

Pourquoi l'usurpation d'identité est-elle si difficile à détecter ?

Il s'agit là du principal défi. Lorsqu'une attaque par force brute est lancée, elle laisse des traces évidentes : des dizaines ou des centaines de tentatives de connexion infructueuses contre le même compte à partir de la même adresse IP. Vos journaux s'allument. Les outils de surveillance émettent des alertes.

Le credential stuffing ne laisse pratiquement aucune trace. L'attaquant répartit les demandes sur des milliers d'adresses IP différentes. Chaque adresse IP n'envoie qu'une ou deux demandes. Les informations d'identification sont correctes, de sorte que de nombreuses tentatives aboutissent immédiatement. Il n'y a pas d'échecs répétés sur le même compte. Le trafic ressemble exactement à celui d'utilisateurs normaux se connectant à partir de différents endroits.

Il en résulte que de nombreuses attaques de type "credential stuffing" passent inaperçues pendant des mois. Dans l'affaire 23andMe, les attaquants ont passé cinq mois à l'intérieur de la plateforme avant que l'entreprise ne découvre ce qui s'était passé. Elle ne l'a découvert que lorsque des données volées ont été mises en vente sur un forum de pirates informatiques, et non parce qu'un contrôle interne a détecté quoi que ce soit.

Le coût caché des attaques réussies

Selon le rapport d'IBM sur le coût d'une violation de données en 2025, les violations coûtent en moyenne $4,44 millions à l'échelle mondiale et il faut en moyenne 241 jours pour les identifier et les contenir. Les dommages financiers comprennent la correction des fraudes, la notification aux clients, les amendes réglementaires et l'atteinte à la réputation, en plus des pertes directes liées aux comptes compromis.

Un exemple concret : 23andMe

En octobre 2023, la société de tests génétiques 23andMe a révélé une attaque par bourrage d'identifiants qui a finalement exposé les données personnelles d'environ 6,9 millions d'utilisateurs. L'ampleur de la violation en fait l'une des études de cas les plus claires sur la façon dont le bourrage d'identifiants peut s'aggraver bien au-delà de la compromission initiale.

Étude de cas : 23andMe (2023)

Les attaquants ont obtenu des listes d'informations d'identification provenant de violations de données antérieures sans rapport et les ont utilisées pour accéder à des comptes 23andMe dont les propriétaires avaient réutilisé les mots de passe. Environ 14 000 comptes ont été directement compromis par cette méthode. Cependant, la fonction “DNA Relatives” de 23andMe, qui permet aux utilisateurs de partager des données génétiques d'ascendance avec des profils connectés, a amplifié la violation de manière spectaculaire. En accédant à 14 000 comptes, l'attaquant a pu récupérer les données connectées de 5,5 millions de profils supplémentaires et les données de l'arbre généalogique de 1,4 million d'autres. Aucun de ces utilisateurs supplémentaires n'a vu son compte directement compromis. Leurs données ont été exposées simplement parce qu'un utilisateur connecté avait réutilisé un mot de passe.

L'écart de détection de cinq mois (l'attaque s'est déroulée d'avril à septembre 2023 et n'a été découverte que lorsque les données volées sont apparues sur BreachForums) met en évidence l'échec de la surveillance qui permet au bourrage d'informations d'identification de se dérouler silencieusement. Par la suite, 23andMe a rendu obligatoire la réinitialisation des mots de passe et a introduit la vérification en deux étapes. L'entreprise a dû faire face à un règlement de recours collectif de $30 millions d'euros et s'est placée sous la protection du chapitre 11 de la loi sur les faillites en mars 2025. Les régulateurs du Royaume-Uni et du Canada ont constaté l'absence de contrôles de surveillance adéquats.

La faille de 23andMe illustre trois leçons qui s'appliquent à presque tous les sites web disposant de comptes d'utilisateurs. Premièrement, les mots de passe de vos utilisateurs provenant d'autres sites mettent votre plateforme en danger, même si vous n'avez jamais été victime d'une violation. Deuxièmement, les fonctionnalités de la plateforme qui relient les comptes peuvent multiplier l'impact d'une seule connexion compromise. Troisièmement, si vous ne surveillez pas les bons signaux, vous ne saurez pas qu'une attaque est en cours jusqu'à ce que quelqu'un d'autre vous le dise.

Six défenses efficaces

  • Authentification multifactorielle

    L'AMF est la défense la plus efficace contre le bourrage d'identifiants. La raison est structurelle : même si un attaquant possède le nom d'utilisateur et le mot de passe corrects, l'AMF exige une deuxième étape de vérification (un code temporel, une notification push ou une clé matérielle) que l'attaquant ne possède pas. L'analyse de Microsoft des incidents de compromission de comptes a révélé que l'AMF aurait permis d'empêcher plus de 99% d'entre eux. Ce chiffre s'applique directement au credential stuffing, car l'ensemble du modèle d'attaque repose sur le fait qu'un mot de passe volé suffit pour se connecter. Pour les exploitants de sites web, la priorité est simple : rendre l'AFM obligatoire pour les comptes d'administrateur et les comptes à privilèges élevés, et la proposer à tous les utilisateurs. Si vous ne pouvez pas imposer l'AFM à chaque utilisateur, déployez-la pour les actions à haut risque : modifications des détails du compte, flux de paiement et réinitialisation du mot de passe. Les clés FIDO2 et les applications d'authentification sont désormais largement prises en charge et réduisent les frictions qui ont historiquement rendu l'AMF impopulaire auprès des utilisateurs.

L'AMF à elle seule n'arrête pas le trafic de l'attaque

Le MFA empêche la prise de contrôle des comptes, mais il n'empêche pas les robots de soumettre des tentatives de connexion. Des milliers de tentatives bloquées par l'AFM continuent d'atteindre votre serveur, de consommer des ressources et de générer du bruit dans vos journaux. C'est pourquoi l'AMF est plus efficace lorsqu'elle est combinée aux couches suivantes.

  • CAPTCHA à l'épreuve des faits sur les flux de connexion et d'authentification

    Le CAPTCHA agit à un point différent de la chaîne d'attaque que le MFA. Plutôt que de bloquer la prise de contrôle d'un compte après une connexion réussie, le CAPTCHA augmente le coût de chaque tentative de connexion avant qu'elle n'atteigne votre logique d'authentification. Cela est très important pour le credential stuffing, où les attaquants s'appuient sur la soumission de millions de requêtes de manière peu coûteuse et automatique. Le type de CAPTCHA a son importance. Outils de résolution alimentés par l'IA et services de résolution humaine”. Les CAPTCHA visuels traditionnels (grilles d'images, cases à cocher “Je ne suis pas un robot”) sont de plus en plus contournés par des outils de résolution alimentés par l'IA et des services de résolution humaine. Face à un attaquant disposant de ressources suffisantes et menant une vaste campagne de credential stuffing, un CAPTCHA visuel offre moins de protection qu'il n'y paraît. Le CAPTCHA de preuve de travail est structurellement différent. Au lieu de présenter une énigme visuelle, il demande au navigateur d'effectuer un petit calcul cryptographique avant que la demande de connexion puisse être traitée. Pour un utilisateur réel, ce calcul est invisible en arrière-plan. Pour un robot qui soumet des milliers de tentatives de connexion par minute, chaque tentative nécessite désormais un travail de calcul, ce qui augmente le coût indépendamment de la capacité de l'attaquant à résoudre les problèmes d'image. L'OWASP Credential Stuffing Prevention Cheat Sheet identifie le CAPTCHA comme l'un des contrôles clés pour ralentir les attaques de credential stuffing, en notant spécifiquement son rôle dans l'augmentation du coût et de la durée des tentatives de connexion automatisées.

CAPTCHA.eu arrête les robots avant qu'ils n'atteignent votre logique de connexion

Vérification invisible de la preuve de travail à chaque tentative de connexion. Pas de puzzle d'images. Pas de cookies. Toutes les données sont traitées en Autriche conformément à la législation de l'UE. Certifié WACA Silver par TÜV Austria selon WCAG 2.2 AA.

Démarrer l'essai gratuit
Voir comment fonctionne l'abus de connexion

  • Filtrage des mots de passe frauduleux

    Ce moyen de défense est sous-utilisé et très efficace. Lorsqu'un utilisateur crée un compte ou modifie son mot de passe, votre système vérifie le nouveau mot de passe par rapport à une base de données d'informations d'identification connues pour avoir été exposées lors d'atteintes à la protection des données antérieures. S'il trouve une correspondance, il rejette le mot de passe et demande à l'utilisateur d'en choisir un autre. L'enquête menée par le procureur général de l'État de New York sur le bourrage d'informations d'identification a montré que le filtrage des mots de passe découverts était l'un des contrôles les plus efficaces à la disposition des opérateurs, notamment parce qu'il empêche les utilisateurs de créer des comptes avec des mots de passe qui circulent déjà dans les bases de données des pirates. Le service Have I Been Pwned propose une API gratuite exactement dans ce but, vous permettant de vérifier les mots de passe par rapport à des milliards d'informations d'identification connues sans transmettre le mot de passe réel. Ce contrôle ne permet pas d'arrêter une attaque déjà en cours, mais il réduit considérablement votre exposition au fil du temps en éliminant vos comptes les plus vulnérables avant que les attaquants ne les atteignent.

  • Limitation du débit et détection des anomalies

    La limitation standard du taux d'IP (blocage d'une IP après un nombre déterminé de tentatives de connexion infructueuses) est moins efficace contre le bourrage d'identifiants que contre la force brute, car chaque IP dans une campagne de bourrage n'effectue généralement qu'une ou deux requêtes. Cependant, la limitation de taux joue encore un rôle important lorsqu'elle est appliquée de manière réfléchie. L'approche la plus efficace combine des seuils par compte et une détection globale des anomalies. Les seuils par compte signalent lorsque le même compte reçoit des tentatives de connexion provenant de nombreuses IP différentes dans une courte fenêtre. La détection globale des anomalies permet de repérer les cas où votre point de connexion reçoit soudainement un trafic nettement supérieur à la valeur de référence, même si aucun compte ou IP individuel ne se comporte de manière suspecte. Ensemble, ces modèles permettent de détecter les campagnes distribuées qui échappent à une simple limitation des taux d'IP. D'autres signaux méritent d'être surveillés : les tentatives de connexion qui proviennent d'un proxy connu ou d'une plage d'IP d'un fournisseur d'hébergement, les connexions à partir d'emplacements géographiques inhabituels pour des comptes existants, et les connexions réussies immédiatement suivies de changements dans les détails du compte. L'OWASP Credential Stuffing Cheat Sheet recommande de combiner plusieurs signaux plutôt que de se fier à un seul seuil.

  • Messages d'erreur cohérents en cas d'échec de la connexion

    Il s'agit d'un petit détail qui a plus d'importance qu'il n'y paraît. Si votre page de connexion renvoie des messages différents selon que le mot de passe est erroné ou que le compte n'existe pas, les pirates peuvent utiliser ces différences pour déterminer quels noms d'utilisateur de leur liste sont des comptes réels. Un changement simple : renvoyez toujours le même message générique, que le nom d'utilisateur existe ou que le mot de passe soit erroné. Le message “L'adresse électronique ou le mot de passe est incorrect” ne révèle rien. Le message “Nous n'avons pas pu trouver de compte avec cette adresse électronique” est un cadeau pour un attaquant qui construit une liste de noms d'utilisateur validés. La même logique s'applique aux flux de réinitialisation de mot de passe. Le fait de renvoyer des réponses différentes selon que l'adresse électronique est valide ou non permet aux pirates d'énumérer votre base d'utilisateurs sans aucun identifiant de connexion.

  • Notification et suivi des utilisateurs

    Même si toutes les mesures susmentionnées sont en place, certaines attaques réussiront. Une détection rapide permet de limiter les dégâts. Les signaux de surveillance les plus efficaces pour le credential stuffing sont différents de ceux pour la force brute. Il s'agit d'une augmentation générale du volume de connexions sans augmentation correspondante des connexions réussies, de connexions réussies à partir d'emplacements géographiques ou d'appareils inconnus pour des comptes établis, de changements dans les détails du compte (adresse électronique, mot de passe, adresse de livraison) peu après la connexion, et de taux élevés de demandes de réinitialisation de mot de passe. Notifiez immédiatement les utilisateurs lorsque leur compte est connecté à partir d'un nouvel appareil ou d'un nouvel emplacement. Donnez aux utilisateurs une visibilité sur leur historique de connexion récent. S'ils peuvent voir qu'une personne d'un autre pays s'est connectée à 3 heures du matin, ils peuvent agir avant que l'attaquant ne fasse des dégâts durables. Cela permet également de transférer une partie de la charge de détection de votre équipe de sécurité à vos utilisateurs, ce qui est plus efficace qu'une simple surveillance centralisée.

Par où commencer : quels sont les points finaux à protéger en priorité ?

Appliquez d'abord ces mesures de défense à vos flux les plus risqués. Les formulaires de connexion sont la cible principale, car une connexion réussie par " credential stuffing " donne immédiatement à l'attaquant un accès complet au compte. Après la connexion, donnez la priorité aux flux de réinitialisation de mot de passe, où des réponses différentes pour les adresses électroniques valides et non valides permettent aux attaquants d'énumérer des comptes réels sans avoir besoin d'informations d'identification. Ensuite, les points de terminaison d'authentification API, qui ne bénéficient souvent pas des protections appliquées aux formulaires de connexion web. Enfin, les formulaires d'inscription, pour lesquels un remplissage réussi peut créer des comptes faux ou clonés. Protégez-les dans cet ordre et vous couvrirez la grande majorité de la surface d'attaque du credential stuffing.

Si une attaque est déjà en cours : mesures immédiates

La détection d'une attaque de credential stuffing en cours nécessite des signaux différents de ceux auxquels on pourrait s'attendre. Comme les demandes individuelles semblent normales, les signes les plus évidents sont les modèles de volume : un pic soudain dans le trafic de connexion, un ratio inhabituel de connexions réussies par rapport aux connexions échouées, ou la création de nouveaux comptes avec des modèles qui suggèrent l'automatisation (noms d'utilisateur séquentiels, signatures de navigateur identiques, enregistrements en masse dans une courte fenêtre).

Si vous identifiez une attaque active, cette séquence limite les dégâts :

  • Activez ou renforcez immédiatement le CAPTCHA.

    Même le déploiement d'un CAPTCHA à valeur probante au milieu d'une attaque augmente le coût pour les robots qui soumettent encore des tentatives et peut ralentir ou arrêter la campagne en quelques minutes.

  • Appliquer un géo-blocage ou un blocage de proxy temporaire sur le point de connexion.

    Le trafic de credential stuffing passe souvent par des gammes de fournisseurs d'hébergement et des proxys ouverts. Cloudflare et d'autres services similaires publient des listes d'adresses IP pour ces derniers. Les bloquer est imparfait mais permet de gagner du temps.

  • Forcer la MFA ou la réauthentification sur les comptes présentant une activité anormale.

    Tout compte ayant reçu une connexion réussie à partir d'un lieu ou d'un appareil inhabituel doit être contesté avant que la session ne se poursuive.

  • Réinitialiser les mots de passe pour les comptes présentant des connexions suspectes.

    Notifiez les utilisateurs concernés en leur donnant des instructions claires. Soyez précis : expliquez-leur que leurs informations d'identification ont peut-être été exposées lors d'une violation antérieure ailleurs et qu'ils ne doivent pas utiliser le même mot de passe pour d'autres services.

  • Vérifier s'il y a des activités en aval dans les comptes compromis.

    Les modifications des détails du compte, les ajouts de méthodes de paiement, les échanges de valeurs stockées et les exportations de données sont les actions qu'un pirate entreprend après s'être introduit dans le système. Examinez ces actions dans la fenêtre qui entoure l'attaque.

  • Conservez vos journaux pendant toute la durée de la fenêtre d'attaque.

    En vertu du GDPR et du NIS2, vous pouvez avoir des obligations de notification si des données personnelles ont été consultées. Les journaux bruts sont la base de toute réponse à un incident ou de tout dépôt réglementaire.

Ajoutez CAPTCHA.eu à votre flux de connexion en quelques minutes

WordPress, TYPO3, Keycloak, Magento, et piles personnalisées. Hébergé en Autriche, sans cookie, pas de puzzle pour les vrais utilisateurs. 100 demandes gratuites pour commencer.

Démarrer l'essai gratuit
Voir toutes les intégrations

La dimension européenne : pourquoi le bourrage de données d'identification est un problème lié au GDPR

Pour les exploitants de sites web européens, une attaque réussie de "credential stuffing" n'est pas seulement un incident de sécurité. En vertu du GDPR, l'accès non autorisé à des données personnelles dans des comptes d'utilisateurs constitue une violation de données personnelles et déclenche une obligation de notification de 72 heures à votre autorité de surveillance, ainsi qu'une notification potentielle aux utilisateurs concernés. L'affaire 23andMe a donné lieu à des enquêtes réglementaires de l'Information Commissioner's Office du Royaume-Uni et du Commissariat à la protection de la vie privée du Canada, en partie parce que l'échec de la détection a empêché la notification de la violation en temps utile.

Cela a une incidence directe sur la façon dont vous envisagez les défenses contre le bourrage d'informations d'identification. Le déploiement de CAPTCHA et de MFA n'est pas seulement une décision de sécurité. Cela fait également partie de votre obligation au titre de l'article 32 du GDPR de mettre en œuvre des “mesures techniques appropriées” pour protéger les données à caractère personnel. Si vous ne le faites pas, et que vous subissez par la suite une violation, vous vous retrouverez dans une position difficile lors de l'examen réglementaire.

Le choix du CAPTCHA a également des implications en termes de conformité. Les services CAPTCHA traditionnels installent généralement des cookies de suivi sur les pages de connexion, ce qui déclenche des exigences de consentement en matière de protection de la vie privée et ajoute de la complexité à votre configuration de gestion du consentement. CAPTCHA.eu fonctionne sans cookies par architecture, ce qui élimine entièrement la question de la conformité pour les opérateurs qui veulent une protection des robots sans surcharge de consentement sur les flux d'authentification.

Questions fréquemment posées

Qu'est-ce que le "credential stuffing" en termes simples ?

On parle de "credential stuffing" lorsque des pirates utilisent des noms d'utilisateur et des mots de passe volés sur un site web et les essaient automatiquement sur d'autres sites web. Cela fonctionne parce que de nombreuses personnes réutilisent le même mot de passe sur plusieurs services. L'attaquant ne devine pas. Il utilise de vraies informations d'identification qui ont déjà fonctionné ailleurs.

En quoi le bourrage de données d'identification diffère-t-il d'une attaque par force brute ?

Les attaques par force brute devinent les mots de passe par essais et erreurs, en essayant des combinaisons jusqu'à ce que l'une d'entre elles fonctionne. Le "credential stuffing" utilise des mots de passe connus et fonctionnels provenant de brèches antérieures. L'attaque par force brute est facile à détecter parce qu'elle génère de nombreuses tentatives de connexion infructueuses. Le bourrage d'identifiants est beaucoup plus difficile à repérer parce que les identifiants sont corrects et que le trafic ressemble à celui d'utilisateurs légitimes qui se connectent.

Les CAPTCHA empêchent-ils le bourrage d'identité ?

Oui, mais le type de CAPTCHA est important. Les CAPTCHA traditionnels basés sur des images sont de plus en plus souvent contournés par des outils de résolution alimentés par l'IA. Les CAPTCHA à preuve de travail sont plus efficaces car ils nécessitent un calcul cryptographique pour chaque tentative de connexion, ce qui augmente le coût d'une campagne de bourrage à grande échelle, quelle que soit la capacité de reconnaissance d'images de l'attaquant. Le CAPTCHA fonctionne mieux comme une couche parmi d'autres, combinée à l'AMF et à la détection d'anomalies.

Quel est le moyen de défense le plus efficace contre le bourrage d'identité ?

Le MFA est le contrôle le plus efficace car il empêche la prise de contrôle d'un compte même lorsque l'attaquant possède le bon mot de passe. Au-delà de l'AMF, la combinaison la plus efficace est la suivante : CAPTCHA à l'épreuve du travail sur les terminaux de connexion, vérification des mots de passe frauduleux lors de l'enregistrement et du changement de mot de passe, et surveillance des anomalies pour les schémas de connexion inhabituels. Aucune couche n'est suffisante à elle seule.

Comment savoir si mon site web fait l'objet d'une attaque de type "credential stuffing" ?

Contrairement à la force brute, le credential stuffing ne génère pas de pics d'échecs de connexion évidents sur des comptes individuels. Les signaux les plus clairs sont les suivants : une augmentation générale du volume de connexions sans augmentation correspondante de l'activité des pages, des connexions réussies à partir de lieux ou d'appareils inhabituels pour des comptes établis, des modifications des détails du compte peu après la connexion, et des taux élevés de demandes de réinitialisation de mot de passe. Les tableaux de bord CAPTCHA modernes fournissent des données sur le volume de vérification qui permettent de détecter rapidement des schémas de trafic inhabituels.

Le credential stuffing est-il un problème de GDPR pour les sites web européens ?

Oui. Si une attaque par saturation des données d'identification entraîne un accès non autorisé aux données du compte de l'utilisateur, il s'agit d'une violation de données à caractère personnel au sens du GDPR. Elle déclenche une obligation de notification dans les 72 heures à votre autorité de contrôle et, éventuellement, aux utilisateurs concernés. Le déploiement de contrôles techniques appropriés, y compris CAPTCHA et MFA, fait partie de votre obligation au titre de l'article 32 du GDPR de protéger les données à caractère personnel par des mesures techniques appropriées.

Une politique de mots de passe forts permet-elle d'éviter le bourrage d'identité ?

La politique en matière de mots de passe protège contre la force brute en rendant la devinette plus difficile. En revanche, elle n'offre pratiquement aucune protection contre le bourrage d'informations. L'attaquant dispose déjà d'un mot de passe fonctionnel. Ce qui est utile, c'est le filtrage des mots de passe déjà divulgués (en empêchant les utilisateurs de définir des mots de passe qui ont déjà été divulgués lors de violations antérieures) et l'AMF (qui fait qu'un mot de passe correct ne suffit pas à lui seul).

Quels flux dois-je privilégier pour la protection contre le credential stuffing ?

Les formulaires de connexion sont la cible principale. Mais protégez également : les flux de réinitialisation de mot de passe (où des réponses différentes pour les courriels valides et invalides permettent aux attaquants de valider les noms d'utilisateur), les formulaires d'inscription (où la même logique s'applique), et les points de terminaison d'authentification API (qui manquent souvent des protections appliquées aux formulaires de connexion web). Établissez des priorités dans cet ordre.

Lecture associée

Sources primaires

Aide-mémoire de l'OWASP sur la prévention du bourrage d'identitéRecommandations en matière de défense en couches et conseils en matière de détection
Procureur général de l'État de New York : Guide à l'intention des entreprises en cas d'attaques par bourrage de documents d'identité (Credential Stuffing Attacks)les résultats des enquêtes réglementaires et les recommandations en matière de contrôle
Microsoft Security Blog : Le MFA bloque plus de 99,9% des attaques de compromission de compte
Est-ce que j'ai été pwné ? Pwned Passwords APIOutil gratuit recommandé pour la détection des mots de passe frauduleux lors de l'enregistrement et du changement de mot de passe
Rapport d'IBM sur le coût d'une violation de données 2025: $4.44M coût moyen d'une violation au niveau mondial, 241 jours de délai moyen pour identifier et contenir la violation
Rapport 2025 de Verizon sur les enquêtes en cas de violation de donnéesLes informations d'identification volées sont à l'origine d'environ un tiers de l'ensemble des violations ; 88% des violations relevant de schémas de piratage impliquent l'utilisation d'informations d'identification volées.
23andMe Form 8-K/A SEC filing, décembre 2023Source primaire confirmant que 14 000 comptes ont été compromis par le biais d'un bourrage d'identité et que 6,9 millions d'utilisateurs ont été touchés par la fonction "DNA Relatives".

Messages récents

fr_FRFrench
en_USEnglish de_DEGerman es_ESSpanish nl_NLDutch it_ITItalian fr_FRFrench