How do hackers get lists of username and password combinations to use in credential stuffing attacks?

Hackers obtain credential lists primarily from publicly disclosed data breaches—when companies experience security incidents, the stolen data is often shared on dark web forums or sold to other criminals. These breach databases are compiled and organized by username and password, making them valuable commodities in the cybercriminal underground. Additionally, credentials may come from malware-infected devices that logged keystrokes, purchased from other hackers, or scraped from public sources like LinkedIn profiles combined with passwords from previous breaches.

If I use a strong password, am I protected from credential stuffing attacks?

A strong password protects you only if it's unique and not already in a breach database. Credential stuffing attacks don't involve guessing—they use stolen credentials, so password strength is irrelevant if that exact username-password combination was leaked elsewhere. However, if attackers only have your username (without your password), a strong unique password becomes your actual defense. This is why both password uniqueness and strength matter: uniqueness protects against credential stuffing, and strength protects if attackers try brute-force attacks.

How quickly can a credential stuffing attack compromise my account?

Modern credential stuffing attacks can test thousands of stolen credentials per minute using automated tools and distributed servers. If your credentials are in the attacker's database, your account could be compromised within minutes to hours of the attack beginning. Attackers typically scan and organize successful logins in real-time, allowing them to identify valuable accounts immediately. This rapid timeline means you may not discover the compromise until days or weeks later when you notice suspicious account activity or receive fraud alerts.

If my password wasn't in a breach, can I still be affected by credential stuffing?

If your specific password wasn't in a breach, you're protected from credential stuffing—but most people aren't in that position. The reality is that billions of credentials from hundreds of major breaches are actively being used in credential stuffing campaigns right now. Even if you've created a strong unique password, you could still be vulnerable if any of your other accounts were breached, because attackers often test variations and mutations of known passwords. You should assume that some of your credentials are in use somewhere unless you actively monitor breach databases.

What should I do immediately if I discover my account was compromised through credential stuffing?

First, change the password for the compromised account to something completely new and unique, then enable multi-factor authentication if it's not already active. Second, check your account activity history and revoke access to any connected apps, devices, or sessions you don't recognize. Third, change the passwords for any other accounts using the same or similar credentials. Finally, monitor the compromised account and associated email for suspicious activity for the next 30-90 days, watch your credit reports for fraudulent accounts, and contact your bank and credit card companies to flag potential fraud.

Risque élevé Perte moyenne: $5,000 Durée typique: 1-30 days

Attaques par remplissage de identifiants : Comment les pirates exploitent vos mots de passe

Le remplissage de identifiants est une attaque automatisée où les pirates utilisent des combinaisons de noms d'utilisateur et de mots de passe volés pour accéder sans autorisation à vos comptes sur plusieurs sites web et services. L'attaque fonctionne parce que nombreuses personnes réutilisent le même mot de passe sur différentes plateformes—quand une entreprise subit une fuite de données, les criminels compilent les identifiants divulgués et utilisent des logiciels spécialisés pour tester rapidement ces mêmes combinaisons de connexion sur des centaines d'autres sites. Selon le rapport 2024 de Verizon sur les enquêtes de violation de données, la compromission des identifiants est impliquée dans plus de 40 % des violations de données, ce qui en fait l'un des vecteurs d'attaque les plus courants. Une seule attaque par remplissage de identifiants peut tester des millions de combinaisons de connexion en quelques heures, avec des taux de succès entre 0,1 % et 2 % selon la qualité de la base de données de mots de passe de l'attaquant. Cela signifie que sur une liste d'un million d'identifiants volés, les attaquants pourraient réussir à accéder à 1 000 à 20 000 comptes—et ces comptes contiennent généralement des informations financières, des données personnelles ou l'accès à des systèmes plus sensibles. Le danger du remplissage de identifiants dépasse la compromission initiale du compte. Une fois que les attaquants accèdent à votre compte de messagerie, ils peuvent demander des réinitialisations de mot de passe sur vos comptes bancaires, de réseaux sociaux et de cryptomonnaies. S'ils accèdent à votre messagerie professionnelle via vos identifiants LinkedIn, ils obtiennent un point d'ancrage pour l'espionnage industriel ou le déploiement de ransomware. Le Centre de plaintes relatives aux crimes sur Internet du FBI a reçu en 2023 plus de 14 000 signalements liés à la compromission d'identifiants, entraînant des pertes dépassant 137 millions de dollars. L'attaque est particulièrement insidieuse car les victimes ne réalisent souvent qu'elles ont été compromises que lorsque des débits frauduleux apparaissent sur leurs comptes ou qu'elles remarquent des modifications non autorisées sur leurs informations de profil. Les violations à grande échelle comme celles affectant LinkedIn (700 millions de comptes), Yahoo (3 milliards de comptes) et de nombreuses chaînes de vente au détail ont créé d'énormes bases de données d'identifiants que les criminels exploitent activement.

Tactiques courantes Comment l'identifier Comment se protéger Cas réels Où signaler

Tactiques courantes

• Obtenir des listes d'identifiants volés sur les marchés du dark web ou à partir de violations de données antérieures, puis utiliser des outils automatisés comme Sentry MBA ou OpenBullet pour tester rapidement ces identifiants contre les portails de connexion des banques, fournisseurs de messagerie, plateformes de réseaux sociaux et sites de commerce électronique.
• Utiliser des serveurs proxy rotatifs et des adresses IP résidentielles pour distribuer les demandes sur plusieurs plages d'adresses IP, contournant les mesures de sécurité de limitation de débit standard qui signaleraient normalement les tentatives de connexion rapides d'une seule source.
• Tester d'abord les identifiants sur des sites moins protégés comme les comptes de forum ou les détaillants avant de cibler les cibles à forte valeur comme la messagerie et les comptes bancaires, permettant de vérifier lesquels des identifiants fonctionnent toujours avant de cibler les comptes financièrement précieux.
• Implémenter des variations ou mutations légères des mots de passe volés lors de l'attaque, comme ajouter des suffixes courants comme « 123 » ou « ! » pour tenir compte des utilisateurs qui ont légèrement modifié leurs mots de passe après une violation.
• Surveiller l'accès réussi aux comptes pour identifier lesquels des identifiants fournissent les informations les plus précieuses, puis soit vendre ces identifiants actifs vérifiés sur le dark web, soit les utiliser pour des attaques secondaires comme la prise de contrôle de compte ou l'usurpation d'identité.
• Lancer les attaques pendant les heures creuses ou les programmer sur des périodes prolongées pour éviter de déclencher des alertes de sécurité qui seraient générées par un grand nombre de tentatives de connexion simultanées échouées.

Comment l'identifier

Vous recevez une notification indiquant que quelqu'un s'est connecté à votre compte depuis un lieu ou un appareil inconnu, ou vous voyez une activité de connexion à des moments où vous n'étiez pas en ligne.
Votre compte de messagerie contient des notifications de réinitialisation de mot de passe ou des tentatives de récupération de compte que vous n'avez pas initiées, indiquant que quelqu'un essaie d'accéder à votre compte.
Vous remarquez une activité inhabituelle telle que des informations de profil modifiées, des achats non autorisés, des paramètres de sécurité modifiés ou des applications ou appareils connectés inconnus sur votre compte.
Les comptes financiers affichent des transactions non autorisées, ou votre banque vous alerte sur des tentatives de connexion suspectes même si vous utilisez des mots de passe forts et uniques.
Vous recevez des alertes de votre fournisseur de messagerie concernant une activité suspecte, des tentatives de connexion échouées depuis plusieurs emplacements ou des demandes de modification de votre mot de passe provenant de sources que vous n'avez pas reconnues.
Vos comptes de réseaux sociaux ont été utilisés pour envoyer des messages non sollicités ou des demandes d'ami à vos contacts, un signe que quelqu'un d'autre a le contrôle de vos identifiants de connexion.

Comment se protéger

Créez des mots de passe uniques et complexes pour chaque compte en ligne en utilisant un gestionnaire de mots de passe comme Bitwarden, 1Password ou Dashlane—évitez de réutiliser les mots de passe sur les sites, car c'est ce qui permet aux attaques par remplissage de identifiants de réussir.
Activez l'authentification multifacteur (MFA) sur tous les comptes qui la supportent, en particulier les comptes de messagerie, bancaires, de cryptomonnaies et de réseaux sociaux ; utilisez des applications d'authentification comme Google Authenticator ou Authy plutôt que l'authentification par SMS si possible, car l'authentification par SMS est vulnérable à l'usurpation de carte SIM.
Surveillez régulièrement vos comptes pour détecter une activité suspecte et configurez des alertes de compte pour les connexions depuis de nouveaux appareils ou emplacements ; la plupart des grandes plateformes vous permettent de consulter les sessions actives et de déconnecter les appareils inconnus.
Placez une alerte de fraude ou un gel de crédit auprès d'Equifax, Experian et TransUnion pour empêcher les attaquants d'ouvrir de nouveaux comptes à votre nom s'ils obtiennent vos informations personnelles lors d'une compromission.
Vérifiez si votre adresse e-mail apparaît dans les violations de données connues en utilisant haveibeenpwned.com et researchbreaches.com ; si trouvée dans des violations, modifiez immédiatement le mot de passe de ce compte et de tous les autres utilisant les mêmes identifiants.
Maintenez vos appareils à jour avec les derniers correctifs de sécurité et utilisez un logiciel antivirus réputé pour empêcher les enregistreurs de frappe ou les malveillances de vol d'identifiants de capturer vos mots de passe avant qu'ils n'atteignent le site web ciblé.

Cas réels

Les identifiants LinkedIn d'une développeuse de logiciels ont été exposés lors d'une violation en 2021, mais elle n'a pas mis à jour son mot de passe. Des mois plus tard, les attaquants ont utilisé son nom d'utilisateur et son mot de passe divulgués pour accéder à son compte LinkedIn, puis ont utilisé le processus de récupération de compte pour réinitialiser son mot de passe Gmail. Une fois dans sa messagerie, ils ont réinitialisé ses mots de passe AWS, GitHub et bancaires, accédant à l'infrastructure cloud de son entreprise et à ses économies personnelles. Elle a découvert la violation quand l'équipe de sécurité de son entreprise a détecté des modèles d'accès AWS inhabituels, révélant que l'attaque avait déjà causé 8 000 dollars de frais cloud frauduleux et exposé du code de projet confidentiel.

Un responsable de magasin de détail a réutilisé le même mot de passe sur son compte professionnel, sa messagerie et son système bancaire personnel. Quand le détaillant a subi une violation de données exposant 50 000 identifiants d'employés, les attaquants ont immédiatement testé ces identifiants contre des sites bancaires populaires. Le compte bancaire du responsable a été accédé en moins de 12 heures, et les fraudeurs ont transféré 4 200 dollars vers des échanges de cryptomonnaies avant que le système de détection de fraude de la banque ne déclenche un blocage sur les transactions supplémentaires. L'enquête a révélé que les attaquants ont testé les identifiants sur 47 sites différents, accédant avec succès à ses comptes de messagerie et PayPal.

Une propriétaire de commerce électronique a remarqué des contrechargements inhabituels sur son compte marchand et a découvert que les attaquants avaient accédé à sa messagerie par remplissage de identifiants. En utilisant l'accès à sa messagerie, ils se sont connectés au panneau d'administration de sa plateforme de commerce électronique et ont modifié les prix des produits, redirigé les paiements des clients vers des comptes contrôlés par les attaquants et volé les informations de paiement des clients. Sur une période de 5 jours avant qu'elle ne remarque la fraude, les attaquants ont traité 23 000 dollars de transactions détournées et compromis les données de paiement pour plus de 300 clients, entraînant une responsabilité importante et des dommages réputationnels.

Où signaler — France

Canaux officiels de votre région pour signaler cette escroquerie.

Cybermalveillance.gouv.fr

Cybercriminalité

Plateforme officielle d'assistance aux victimes d'actes de cybermalveillance.

Visiter →

Pharos (signalement)

Signalement

Signalement officiel des contenus et comportements illicites en ligne.

Visiter →

Info Escroqueries

Numéro vert

Numéro vert national pour les victimes d'escroqueries (du lundi au vendredi).

0805 805 817

DGCCRF SignalConso

Protection des consommateurs

Signalement des problèmes rencontrés avec une entreprise.

Visiter →

Vous pensez avoir rencontré cette arnaque ?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), attaques par remplissage de identifiants : comment les pirates exploitent vos mots de passe is described at https://scamlens.org/fr/encyclopedia/credential-stuffing.

https://scamlens.org/fr/encyclopedia/credential-stuffing

Commencer ici

Vérification de sécurité

Renseignement

Outils et rapports

Services premium

Extension et API

Attaques par remplissage de identifiants : Comment les pirates exploitent vos mots de passe

Tactiques courantes

Comment l'identifier

Comment se protéger

Cas réels

Où signaler — France

Cybermalveillance.gouv.fr

Pharos (signalement)

Info Escroqueries

DGCCRF SignalConso

Vous pensez avoir rencontré cette arnaque ?

How to cite this guide