Credential stuffing

Le « credential stuffing » est une pratique qui consiste à utiliser les identifiants volés d'un compte pour accéder de manière automatisée à plusieurs comptes sur divers sites. Cet exploit peut permettre aux pirates et à ceux qui achètent les identifiants volés d'accéder non seulement aux comptes sur les sites piratés, mais également à tous les comptes pour lesquels la victime utilise le même mot de passe.

Après s'être approprié les identifiants de plusieurs sites, le pirate peut vendre une liste d'identifiants utilisateur, de mots de passe et d'adresses email. Il est fréquent de voir ces listes mises en vente sur le marché noir ou le « dark Web ». Quoi qu'il en soit, le détenteur des identifiants du compte essaiera probablement de les rentabiliser au maximum.

Même si un seul compte a été piraté, cela peut compromettre la sécurité d'autres sites utilisés par la victime car ses identifiants sont saisis de manière automatisée sur plusieurs sites. Souvent, le pirate s'attaque à plusieurs comptes avant que la victime ne s'en rende compte.

Le « credential stuffing » est une menace sérieuse, aussi bien pour le grand public que pour les entreprises, qui risquent fort de perdre de l'argent de manière directe ou indirecte. Au Royaume-Uni, dans le secteur de la vente au détail, il semblerait que plus de 90 pour cent des connexions proviendraient d'attaques de « credential stuffing » plutôt que d'utilisateurs authentiques. La suppression de ces connexions pourrait réduire de manière significative le « credential stuffing ».

Il est recommandé aux utilisateurs finals de créer des mots de passe différents et suffisamment complexes pour chaque site. Quant aux fournisseurs de sites ou de services, ils peuvent combattre les attaques de « credential stuffing » à l'aide d'outils tels que Blackfish de Shape Security ou Fortiguard de Fortinet.