Pourquoi la réutilisation ouvre la porte au credential stuffing ?

Utiliser le même mot de passe sur plusieurs services, c’est gagner quelques secondes… mais risquer de perdre le contrôle de toute sa vie numérique. Cette mauvaise habitude crée un terrain idéal pour le bourrage d’identifiants (credential stuffing) : les cybercriminels récupèrent des listes d’identifiants déjà divulgués (login + mot de passe) et les testent automatiquement sur des plateformes en ligne. Si vous recyclez vos accès, une seule combinaison peut suffire à ouvrir plusieurs portes, même entre des services totalement différents.

Le credential stuffing, c’est un peu comme si quelqu’un trouvait une clé universelle capable d’ouvrir votre maison, votre bureau et votre coffre-fort en une seule fois. Et cette “clé” est souvent facile à obtenir : elle provient de fuites anciennes, de forums clandestins ou de places de marché criminelles. Les attaquants peuvent aussi déployer des infostealers, des malwares spécialisés qui aspirent les identifiants directement depuis des appareils infectés et des navigateurs compromis.

Pourquoi le credential stuffing est aussi dangereux ?

Si cette technique fonctionne aussi bien, c’est parce qu’elle capitalise sur un comportement ultra courant : la réutilisation de mots de passe, y compris sur les comptes les plus sensibles (banque, email, réseaux sociaux, e-commerce). D’après une enquête relayée par NordPass, 62 % des Américains reconnaissent réutiliser leurs mots de passe « souvent » ou « toujours ».

Dès qu’un attaquant récupère vos identifiants sur un site, il peut les essayer sur une multitude d’autres plateformes. Pour industrialiser le processus, il s’appuie sur des bots et des outils automatisés capables de soumettre ces identifiants via formulaires de connexion ou API. Pour rester sous les radars, ces outils peuvent faire tourner les adresses IP et imiter le comportement normal d’un utilisateur.

Contrairement aux attaques par force brute, où l’objectif est de deviner un mot de passe à partir de modèles courants ou d’essais aléatoires, le credential stuffing est bien plus direct : il réutilise des identifiants déjà valides, exposés parfois depuis des années. Et comme il y a moins d’échecs de connexion répétés, les mécanismes de détection classiques se déclenchent moins facilement, ce qui rend l’attaque plus silencieuse.

Même si la technique existe depuis longtemps, plusieurs évolutions l’ont rendue encore plus efficace. Les infostealers se sont massivement répandus, capturant les identifiants directement depuis les navigateurs, et pouvant même fragiliser certains usages liés aux gestionnaires de mots de passe. En parallèle, les attaquants utilisent des scripts de plus en plus sophistiqués (parfois dopés à l’IA) capables de simuler un comportement humain et de contourner des protections anti-bots basiques, tout en testant des identifiants à grande échelle.

Exemples concrets : l’ampleur des attaques

Cas PayPal (2022)

En 2022, PayPal a indiqué qu’environ 35 000 comptes clients avaient été compromis via du credential stuffing. La plateforme n’avait pas été piratée directement : les attaquants ont simplement utilisé des identifiants issus d’anciennes fuites et ont accédé aux comptes d’utilisateurs ayant réutilisé les mêmes mots de passe sur plusieurs services.

Cas Snowflake (2024)

La vague d’attaques de 2024 visant des clients de Snowflake illustre une autre facette du problème. Le service n’a pas été compromis au niveau infrastructure, mais l’incident a tout de même touché environ 165 organisations clientes. Des attaquants ont utilisé des identifiants volés auparavant via un malware pour accéder à plusieurs environnements Snowflake d’entreprise. Certaines victimes ont ensuite reçu des tentatives de chantage ou de rançon après exfiltration de données.

Comment se protéger ?

Voici des mesures simples mais efficaces à appliquer au quotidien, et la première est clairement la plus importante :

  • Ne réutilisez jamais un mot de passe entre plusieurs sites ou services. Un gestionnaire de mots de passe permet de générer et stocker des mots de passe uniques et robustes pour chaque compte.
  • Activez la double authentification (2FA) dès que possible. Même si un attaquant possède votre mot de passe, il ne pourra pas se connecter sans le second facteur.
  • Surveillez les fuites avec des services comme haveibeenpwned.com afin de vérifier si vos adresses ou identifiants ont déjà circulé. Si c’est le cas, changez immédiatement vos mots de passe, en priorité sur les comptes contenant des données sensibles.

Comment protéger son organisation ?

Aujourd’hui, le credential stuffing est l’un des principaux leviers de prise de contrôle de comptes, de fraude et de vol massif de données dans des secteurs comme le retail, la finance, le SaaS ou la santé. Beaucoup d’organisations reposent encore principalement sur les mots de passe, et même lorsque la 2FA existe, elle n’est pas toujours imposée par défaut. Pour limiter l’impact, les entreprises doivent mettre en place des contrôles comme la limitation des tentatives de connexion, des restrictions réseau (allowlist / IP whitelist), une supervision des connexions suspectes et des solutions anti-bots (CAPTCHA) capables de bloquer l’automatisation abusive.

Le passwordless change la donne… mais pas partout

De plus en plus d’entreprises adoptent des mécanismes d’authentification sans mot de passe (comme les passkeys), ce qui rend le credential stuffing largement inefficace. Mais l’adoption reste inégale, et les habitudes sont tenaces : il n’est donc pas surprenant que cette technique continue d’offrir un excellent retour sur investissement aux attaquants, avec un effort minimal.

Des identifiants qui restent valides pendant des années

Le problème est aussi alimenté par un facteur simple : des millions d’identifiants fuités restent exploitables très longtemps, notamment lorsque les utilisateurs ne changent jamais leurs mots de passe. Résultat : le credential stuffing est une méthode peu coûteuse, hautement scalable, et durablement efficace pour les cybercriminels.

Conclusion

Le credential stuffing est une attaque étonnamment simple, peu chère et très facile à industrialiser. Son efficacité vient du fait qu’elle exploite nos propres mauvaises pratiques et contourne des protections devenues insuffisantes. Tant qu’on dépend encore des mots de passe, le risque de compromission peut être fortement réduit avec une hygiène stricte : mots de passe uniques, 2FA, et surveillance des fuites. Ce n’est pas un “bonus sécurité” : c’est un standard de base.