Credential stuffing (attaque informatique)


Le credential stuffing (ou bourrage d’identifiant) consiste à réaliser, à l’aide de logiciels ou de façon manuelle, des tentatives d’authentification massives sur des sites et services web à partir de couples identifiants/mots de passe (généralement, une adresse électronique et un mot de passe).

Elle est due à différents facteurs :

  1. L’identifiant d’un utilisateur correspond souvent à son adresse électronique, notamment sur le web.
  2. Les utilisateurs se servent souvent des mêmes couples identifiants et mot de passe sur plusieurs sites, sans renouveler leur mot de passe.
  3. Des listes contenant des centaines de millions de ces couples email/mot de passe sont disponibles au sein du web caché (dark web) suite à des violations de données.

Si le credential stuffing ne permet pas forcément et facilement de cibler un compte en particulier, il permet en revanche :

  • de trouver des couples identifiant/mot de passe valides (un faible pourcentage de plusieurs centaines de millions de comptes représente tout de même un volume de données qui peuvent être compromises) ;
  • de déjouer les mesures de sécurité les plus simples. En effet, les attaquants recourent généralement à une architecture distribuée (réseaux de machines zombies ou botnets) afin de ne pas être détectés. Ils peuvent également utiliser des machines ayant la capacité d’outrepasser les mesures de sécurité basiques telles que la résolution des CAPTCHA les plus simples.

Ce type d’attaque se rapproche de celui par force brute (bruteforce attack) dont le taux de réussite est limité aujourd’hui.

Plus d'informations sur cette attaque.