Français 
English 
Русский 
简体中文 
Português do Brasil 
Español 
Türkçe 
Polski 
Tiếng Việt 
한국어 
Nederlands 
Italiano 
日本語 
Eesti 
Čeština 
മലയാളം 
Bahasa Melayu 
हिन्दी 
اردو 
Bahasa Indonesia 
Internet sécuriséLe credential stuffing est une technique de cyberattaque automatisée dans laquelle un programme informatique ou un pirate informatique tente d'accéder à un système ou à un service en utilisant une liste de combinaisons de noms d'utilisateur et/ou de mots de passe. Il s'agit d'un type d'attaque par force brute, une attaque théorique non autorisée qui consiste à tenter systématiquement plusieurs mots de passe ou phrases secrètes jusqu'à ce que le bon soit découvert.
Le credential stuffing repose en grande partie sur des listes d’identifiants précédemment volés (généralement des adresses e-mail et des mots de passe), achetées illégalement ou autrement acquises. L'attaquant tente ensuite de réutiliser ces informations d'identification sur d'autres sites du Web, dans l'espoir de pouvoir accéder à davantage de comptes et de services. Dans de nombreux cas, les utilisateurs réutilisent la même combinaison nom d’utilisateur/mot de passe sur plusieurs sites Web, ou s’appuient uniquement sur des mots de passe faibles.
Ce vecteur d'attaque est possible en raison du grand nombre de bases de données compromises disponibles sur le Web, souvent acquises via d'autres cyberattaques telles que des violations de données. En conséquence, les organisations dont les informations d’identification sont exposées sont particulièrement vulnérables au credential stuffing.
L'impact des attaques réussies de credential stuffing peut être grave, allant des pertes financières dues au vol de fonds sur des comptes ciblés ou à des achats frauduleux, à la destruction de données sensibles critiques par le biais de violations de données. De plus, de nombreux comptes disposent de paramètres de sécurité supplémentaires tels que l'authentification à deux facteurs (2FA) ou l'authentification multifacteur (MFA) qui ne sont pas toujours activés, ce qui les expose au credential stuffing.
Les organisations et les individus peuvent se protéger contre le credential stuffing en changeant régulièrement leurs mots de passe, en utilisant des mots de passe forts comportant une combinaison de caractères, en utilisant un gestionnaire de mots de passe pour générer des mots de passe aléatoires et en activant l'authentification à deux facteurs (2FA) afin que toute tentative avec un mauvais mot de passe soit bloquée. bloqué immédiatement pendant que l'utilisateur reçoit une notification sur son appareil lié. En outre, la réinitialisation des mots de passe doit être empêchée à partir d'adresses e-mail « bourrées » connues. En outre, les organisations doivent garantir que des systèmes réguliers de surveillance de la sécurité et de détection des intrusions sont en place.
