Credential Stuffing

Le credential stuffing est une attaque automatisée consistant à tester des combinaisons login/mot de passe issues de fuites de données précédentes (combolists) sur des services tiers. Elle exploite la réutilisation massive des mots de passe par les utilisateurs : si Alice utilise le même password sur LinkedIn (fuité en 2012) et sur sa banque, l'attaquant prend l'argent.

Les combolists circulent sur les forums underground (BreachForums, Telegram) ou sont compilées (RockYou2021 : 8,4 milliards de mots de passe). Les outils d'attaque : Sentry MBA, OpenBullet 2, Snipr, Account Hitman. Ces outils gèrent les proxies (résidentiels via Bright Data, IPRoyal), les captchas (2Captcha, AntiCaptcha, services IA), et l'évasion de fingerprinting (FlareSolverr, undetected-chromedriver). Volumes typiques : des millions de tentatives/jour sur les grandes plateformes.

La différence avec le password spray : credential stuffing utilise des couples spécifiques user:pass connus, password spray teste un mot de passe générique sur N comptes. Mitigations : (1) MFA (la défense la plus efficace) ; (2) détection comportementale (Akamai Account Protector, Cloudflare Bot Management, hCaptcha Enterprise) ; (3) check contre Have I Been Pwned API au login/signup ; (4) rate limiting agressif et challenge-response ; (5) device fingerprinting persistant ; (6) notifications utilisateur sur nouveaux devices/locations. OWASP Automated Threats (OAT-008) couvre le credential stuffing.