Le bourrage d’identifiants : fonctionnement et conseils pour s’en prémunir

Les attaques par bourrage d’identifiants – ou « credential stuffing » – sont en hausse, et cela n’est pas près de s’arrêter. Tant que les utilisateurs continuent de réutiliser leurs mots de passe et que les hackers peuvent accéder facilement aux données, la menace subsistera. Selon des rapports récents, le volume d’identifiants compromis aurait d’ailleurs augmenté de 160 % en 2025, ce qui indique que la tâche est encore plus facile pour les hackers aujourd’hui.

Pour se protéger et ne pas devenir la prochaine victime d’une attaque par bourrage d’identifiants, l’idéal est de comprendre comment elles fonctionnent. Dans cet article, nous allons vous expliquer ce qu’est le bourrage d’identifiants, comment il fonctionne généralement, et ce que votre entreprise peut faire pour détecter ce type d’attaque et s’en prémunir.

Qu’est-ce que le bourrage d’identifiants ?

Le bourrage d’identifiants – ou « credential stuffing » – est un type de cyberattaque dans lequel les hackers utilisent des combinaisons identifiant-mot de passe volées, généralement issues de violations de données antérieures, pour tenter de se connecter à d’autres comptes sur différentes plateformes.

Cette méthode repose sur l’hypothèse selon laquelle beaucoup d’utilisateurs réutilisent les mêmes identifiants sur plusieurs comptes. Par exemple, ils peuvent utiliser un même nom d’utilisateur et un même mot de passe pour faire des achats sur Internet et pour consulter leur banque en ligne. Cela signifie que si un hacker met la main sur les identifiants utilisés sur une plateforme, il pourra souvent accéder à d’autres plateformes sans avoir besoin de pirater ou deviner les mots de passe.

Malheureusement, réutiliser un mot de passe est une pratique extrêmement courante. Une étude menée par Bitwarden a révélé que 72 % de participants de la génération Z (la fameuse ‘Gen Z’) avaient avoué qu’ils réutilisaient leurs mots de passe, et que 35 % d’entre eux ne mettaient rarement (voire jamais) à jour leurs mots de passe après une violation de données. Pour les hackers, c’est une véritable mine d’opportunités qui leur permet de tirer parti des identifiants compromis.

Le bourrage d’identifiants correspond-il à une attaque par force brute ?

Le bourrage d’identifiants est généralement classé comme une sous-catégorie des attaques par force brute, notamment par l’OWASP. Cependant, ces deux types d’attaque sont à distinguer.

Dans les attaques par force brute classiques, les hackers tentent de deviner des mots de passe en essayant toutes les combinaisons possibles (ou en passant par des attaques par dictionnaire) à l’aide de bots jusqu’à ce qu’ils réussissent. Le bourrage d’identifiants, lui, consiste à utiliser des identifiants connus et valides compromis lors de violations de données. L’idée de ‘force brute’ concerne l’automatisation et l’échelle des attaques, mais pas le fait de deviner les mots de passe.

Ainsi, si ces deux types d’attaque passent par des tentatives de connexion automatisées, le bourrage d’identifiants est bien plus efficace et plus difficile à détecter s’il n’est pas correctement atténué.

Pulvérisation de mots de passe VS. bourrage d’identifiants

On confond souvent ces deux types d’attaque, qui fonctionnent pourtant de façons fondamentalement différentes. Le bourrage d’identifiants cible de nombreux comptes avec des identifiants valides connus, tandis que la pulvérisation de mots de passe cible un grand nombre de comptes à l’aide d’un petit nombre de mots de passe faibles courants (comme Motdepasse1).

Ces deux types d’attaque permettent de contourner les mécanismes de détection classiques, mais le bourrage d’identifiants est tout particulièrement dangereux parce qu’il se base sur de vrais identifiants auxquels les utilisateurs font confiance.

Comment fonctionne une attaque par bourrage d’identifiants ?

Généralement, une attaque par bourrage d’identifiants suit un processus direct, mais efficace :

1. Acquisition de données : Pour le hacker, la première étape consiste à obtenir des identifiants compromis via des violations antérieures. Souvent, il les achète sur le dark web ou les trouve dans des bases de données en open source. 
2. Identification des cibles : Le hacker choisit des applications ou des services cibles sur lesquels tester les identifiants obtenus. Souvent, il s’agit de plateformes à forte valeur : portails bancaire, de e-commerce ou d’entreprises. 
3. Automatisation et outillage : Les hackers configurent des bots ou des outils de bourrage d’identifiants automatisés pour lancer des tentatives de connexion massives sur plusieurs sites à l’aide de la liste d’identifiants volés. 
4. Test d’identifiants : Les bots tentent de se connecter en espérant tomber sur les bons identifiants. 
5. Exploitation : Les connexions réussies leur permettent de commettre des actes de fraude financière, des vols de données, des mouvements latéraux, ou encore de vendre les identifiants fonctionnels.  l logins can lead to financial fraud, data theft, further lateral movement, or the sale of valid credentials.

Cette méthode attire les hackers parce qu’elle leur demande peu d’efforts et peut être transposée à l’infini, surtout lorsque les entreprises sont dépourvues de systèmes de protection de base du type limitation des requêtes ou authentification multifactorielle.

D’après les statistiques, le taux de réussite des attaques par bourrage d’identifiants se situe entre 0,1 % et 2 %. Ce chiffre peut paraître faible, mais par rapport à l’échelle à laquelle ces attaques ont lieu, cela peut représenter des centaines ou des milliers de comptes compromis.

Exemples réels d’attaques par bourrage d’identifiants

Le bourrage d’identifiants est au cœur de nombreuses violations de haute volée qui ont eu lieu ces dernières années. Voici quelques cas notables :

• Roku (2024) : Roku a subi deux grandes attaques par bourrage d’identifiants qui ont touché près de 591 000 comptes en tout. Les hackers ont utilisé des identifiants volés issus d’autres sites pour accéder aux comptes Roku et ont effectué des achats non autorisés, ce qui a poussé Roku à mettre en place une authentification à deux facteurs sur tous les comptes. 
• PayPal (2023) : En 2023, la plateforme de paiement PayPal a annoncé que 35 000 comptes avaient été compromis lors d’une attaque par bourrage d’identifiants perpétrée à l’aide d’identifiants récupérés à la suite d’une fuite de données antérieure.  
• Zoom (2020) : Plus de 500 000 identifiants Zoom ont été retrouvés en vente sur le dark web en 2020. Les identifiants avaient été récupérés via un bourrage d’identifiants, les hackers ayant ciblé Zoom après l’adoption généralisée du télétravail. 

Dans chacun de ces cas, le problème de base ne relevait pas d’une faille dans le système de stockage de mots de passe du système, mais bien de la réutilisation de mots de passe compromis par des utilisateurs sur différents comptes.

Comment détecter le bourrage d’identifiants ?

Le bourrage d’identifiants peut être très difficile à détecter car il exploite de véritables identifiants de connexion et imite le comportement d’un utilisateur tout à fait légitime. Cela dit, on peut repérer certains schémas, qui peuvent paraître inoffensifs en surface, mais révéler des comportements malveillants à grande échelle.

Quelques signes courants qui doivent vous alerter :

• Tendances de connexion inhabituelles : Un pic soudain d’échecs de tentatives de connexion depuis différentes régions géographiques dans un court laps de temps est un indicateur classique d’activité suspecte. 
• Hausse de l’activité de bots : Détection de comportements de bots automatiques, tels que des demandes de connexion très rapides, l’utilisation de différents agents utilisateurs, ou des tentatives de contourner les tests CAPTCHA, qui accompagnent souvent le bourrage d’identifiants. 
• Volume élevé de comptes bloqués : Une hausse du nombre d’utilisateurs qui ne parviennent plus à accéder à leur compte suite à des tentatives de connexion échouées peut indiquer la réalisation de tests automatiques d’identifiants. 
• Achats non autorisés ou activités inhabituelles sur le compte : Ces phénomènes indiquent généralement qu’un bourrage d’identifiants a été opéré et que les hackers ont réussi à accéder au compte.

Comment se prémunir des attaques par bourrage d’identifiants ?

Lutter contre le bourrage d’identifiants peut être une tâche délicate, mais il existe des mesures à prendre pour vous aider à protéger votre entreprise.

1. Mettre en place l’authentification multifactorielle (MFA) :

Mettre en place la MFA sur tous les comptes est l’une des méthodes les plus efficaces pour empêcher les attaques par bourrage d’identifiants. Demander à l’utilisateur de confirmer son identité par un second moyen ajoute une barrière critique capable d’empêcher les hackers d’accéder aux comptes, même s’ils ont réussi à obtenir des identifiants fonctionnels.

2. Éduquer les utilisateurs aux bonnes pratiques en matière de mots de passe :

Dispenser à ses employés des formations régulières sur l’importance d’utiliser des mots de passe uniques forts d’un compte à l’autre, et sur les risques associés à la réutilisation de mots de passe.

3. Assurer une veille des identifiants compromis :

Identifier et remédier aux identifiants compromis avant qu’ils ne soient utilisés est capital pour lutter contre le bourrage d’identifiants. Avec Specops Password Auditor, vous bénéficiez d’un audit gratuit en lecture seule de votre Active Directory, qui contrôle les comptes et les mots de passe à l’aide d’une base d’1 milliard d’identifiants vulnérables obtenus via des violations de données. Téléchargez notre solution dès aujourd’hui pour détecter les mots de passe faibles et ceux qui ont été compromis.

4. Mettre en place une limitation des requêtes :

Définir des limites pour le nombre de tentatives de connexion rattachées à une même adresse IP ou à un même compte sur un intervalle donné. Cette solution peut ralentir ou bloquer les attaques par bourrage d’identifiants automatisé avant qu’elles puissent se répandre.

5. Bloquer l’automatisation et les bots suspects :

S’aider d’outils de détection de bots et d’atténuation comme les tests CAPTCHA, le browser fingerprinting ou l’analyse comportementale pour identifier et bloquer les tentatives de connexion automatiques. Ces technologies permettent de distinguer les utilisateurs légitimes des bots malveillants qui cherchent à exploiter des identifiants volés.

Empêcher les utilisateurs de choisir des mots de passe compromis

Les attaques par bourrage d’identifiants raffolent des mots de passe faibles et compromis : pour les arrêter, cela commence par des politiques de mots de passe fortes.

Specops Password Policy renforce vos défenses en mettant en place des règles de mots de passe sur mesure et en bloquant l’utilisation de mots de passe compromis en temps réel. Permettant l’accès à une base de données de plus de quatre milliards de mots de passe compromis connus, le système alerte automatiquement l’utilisateur lorsque l’un de ses mots de passe figure dans les listes d’attaque actives et le guide pour créer des alternatives sûres et conformes à la réglementation.

Protégez votre entreprise contre le bourrage d’identifiants grâce à la mise en œuvre de politiques de mots de passe plus intelligentes. Testez Specops Password Policy gratuitement dès aujourd’hui.