Publié par Darknet.org.uk, cet article propose une analyse du credential stuffing en 2025, décrivant la chaîne allant des malwares infostealers à la revente de combolists, jusqu’aux attaques d’Account Takeover (ATO) automatisées à l’échelle industrielle.

Credential stuffing : principal vecteur d’intrusion dans les entreprises

Contexte

Les identifiants compromis sont désormais le moyen d’accès initial le plus fiable pour pénétrer les réseaux d’entreprise.

Selon le Verizon Data Breach Investigations Report (DBIR) 2025 :

  • 22 % des violations de données confirmées commencent par des identifiants compromis
  • c’est le vecteur d’accès initial le plus courant pour la troisième année consécutive

Le credential stuffing, qui consiste à tester automatiquement des combinaisons identifiant/mot de passe volées sur de nombreux services, est aujourd’hui peu coûteux, facile à automatiser et très rentable.

Le fonctionnement du credential stuffing

Le credential stuffing consiste à :

  1. récupérer des identifiants volés
  2. tester automatiquement ces identifiants sur des milliers de services
  3. identifier les comptes où les mots de passe ont été réutilisés

Cette technique est efficace car la réutilisation de mots de passe reste massive.

Selon Verizon :

  • seulement 49 % des mots de passe utilisés par un utilisateur sont uniques

Autrement dit, si un mot de passe est compromis sur un service, il y a environ 50 % de chances qu’il fonctionne ailleurs.

La chaîne d’approvisionnement des identifiants volés

Le credential stuffing repose sur un véritable écosystème criminel.

1. Malware infostealers

Des malwares spécialisés volent les données des navigateurs :

Exemples :

  • Lumma
  • RedLine
  • StealC
  • Acreed

Ces malwares récupèrent notamment :

  • mots de passe enregistrés
  • cookies de session
  • tokens OAuth
  • données d’autocomplétion

2. Création de combolists

Les données volées sont regroupées dans des fichiers appelés :

Combolists

Format typique :

e m a i l : p a s s w o r d

Ces listes sont :

  • nettoyées
  • classées
  • revendues sur le dark web.

3. Marché des identifiants

Les combolists circulent sur :

  • forums du dark web
  • Telegram
  • communautés spécialisées

Les identifiants récents provenant d’infostealers sont plus chers car ils ont un taux de réussite plus élevé.

Outils utilisés pour les attaques

Les frameworks les plus utilisés sont :

  • OpenBullet
  • SilverBullet

Fonctionnalités :

  • chargement de combolists
  • rotation de proxies résidentiels
  • simulation de trafic navigateur
  • enregistrement automatique des comptes compromis.

Les attaquants utilisent également des configs, qui décrivent :

  • le flux d’authentification d’un service cible
  • les paramètres nécessaires pour tester les comptes.

Études de cas (2025)

Attaque contre les fonds de retraite australiens

En mars 2025, plusieurs fonds de retraite ont été attaqués :

  • AustralianSuper
  • Rest Super
  • Hostplus
  • Australian Retirement Trust
  • Insignia Financial

Résultat :

  • plus de 20 000 comptes compromis
  • environ 500 000 AUD volés

Cause principale :

  • MFA disponible mais non obligatoire.

Attaque contre The North Face

En avril 2025, une attaque contre la boutique en ligne The North Face a permis aux attaquants d’accéder à :

  • noms
  • emails
  • adresses
  • historique d’achat
  • dates de naissance.

Les données de paiement n’ont pas été exposées car elles étaient gérées par un prestataire tiers.

Incident Change Healthcare

En 2024, le ransomware ALPHV/BlackCat a compromis Change Healthcare via :

  • des identifiants Citrix volés
  • un portail d’accès distant sans MFA

Conséquences :

  • interruption massive du système de paiement médical américain
  • 22 millions de dollars de rançon
  • environ 872 millions de dollars de perturbations.

Techniques d’évasion

Les attaquants contournent les protections classiques en :

  • utilisant des proxies résidentiels
  • distribuant les tentatives sur des milliers d’adresses IP
  • contournant les CAPTCHA via des services de résolution
  • imitant le comportement d’un navigateur réel.

Détection

Dans le framework MITRE ATT&CK, le credential stuffing est référencé sous :

T 1 1 1 0 . 0 0 4 B r u t e F o r c e : C r e d e n t i a l S t u f f i n g

Signaux d’alerte :

  • tentatives de connexion provenant de nombreux pays
  • échecs d’authentification répartis sur de nombreuses IP
  • connexions depuis des proxys résidentiels
  • nouveaux navigateurs ou appareils inconnus.

Selon Verizon :

  • environ 19 % des tentatives d’authentification sur les systèmes SSO sont frauduleuses.

Réponse réglementaire

L’affaire 23andMe illustre les conséquences réglementaires.

En 2023 :

  • environ 6,9 millions de comptes compromis
  • attaque via credential stuffing.

Sanction :

  • 2,31 millions de livres d’amende par l’autorité britannique (ICO)

La raison principale :

  • absence de MFA obligatoire.

Mesures de protection

MFA résistant au phishing

Les méthodes les plus efficaces :

  • clés de sécurité matérielles
  • passkeys WebAuthn

Les MFA basés sur :

  • SMS
  • TOTP

restent vulnérables aux attaques Adversary-in-the-Middle (AiTM).

Mesures recommandées

  1. MFA obligatoire pour tous les accès externes
  2. filtrage des mots de passe compromis
  3. limitation du taux de connexion
  4. verrouillage progressif des comptes
  5. détection comportementale des bots
  6. surveillance des marchés de données volées.

Conclusion

Le credential stuffing continuera d’exister car :

  • la réutilisation des mots de passe persiste
  • les infostealers prolifèrent
  • les combolists se multiplient.

L’objectif pour les organisations n’est pas d’éliminer totalement la menace, mais de :

  • augmenter le coût des attaques
  • détecter rapidement les intrusions

Dans un contexte où 22 % des violations commencent par un identifiant valide, la gestion de l’authentification doit être considérée comme une priorité stratégique de sécurité.

Type d’article: analyse de menace. But principal: décrire comment l’écosystème du credential stuffing s’est structuré en 2025 et comment il permet des ATO à l’échelle industrielle.

🧠 TTPs et IOCs détectés

TTPs

T1078 - Valid Accounts, T1081 - Credentials in Files, T1213 - Data from Information Repositories, T1071 - Application Layer Protocol, T1589 - Gather Victim Identity Information, T1203 - Exploitation for Client Execution

IOCs

Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.

🔗 Source originale : https://www.darknet.org.uk/2026/03/credential-stuffing-in-2025-how-combolists-infostealers-and-account-takeover-became-an-industry/

🖴 Archive : https://web.archive.org/web/20260312081343/https://www.darknet.org.uk/2026/03/credential-stuffing-in-2025-how-combolists-infostealers-and-account-takeover-became-an-industry/