Aller au contenu principal Activer le contraste adaptéDésactiver le contraste adapté
Fermer
  2. Aide
  2. Aide
Investir à 0€ de frais de courtage sur plus de 45 000 produits
Découvrir Boursomarkets

Credential stuffing : quelle est cette cyberattaque récente subie par une grande enseigne ?
information fournie par BoursoBank 08/02/2025 à 08:00

(Mécanismes et dessous d'une nouvelle forme de cyberattaque intitulée "credential stuffing" - Crédit photo : Adobe Stock)

(Mécanismes et dessous d'une nouvelle forme de cyberattaque intitulée "credential stuffing" - Crédit photo : Adobe Stock)

Les techniques des cybermalfaiteurs n'en finissent pas de se sophistiquer aux dépens des systèmes d'information théoriquement sécurisés des entreprises et de leurs clients finaux. Voici une nouvelle cyberattaque qui met à mal une nouvelle fois les informations personnelles et les données bancaires confiées à des tiers, notamment pour des besoins commerciaux ou marketing. Décryptage.

En quoi consiste le credential stuffing ?

On parle de credential stuffing ou «bourrage d'identifiants» quand des cybermalfaiteurs utilisent des fuites de données antérieures pour se connecter à d'autres portails, sites ou plateformes à partir par exemple des binômes suivants : noms + identifiants ou noms + mots de passe, subtilisés précédemment.

En faisant tourner des scripts et bots sur des sites Internet populaires (commerçants ou non), ils tentent la connexion à la place de l'individu en essayant des combinaisons de données ayant une forte probabilité de similitudes avec d'autres sites.

À l'origine de ce phénomène, on trouve donc souvent une négligence de l'utilisateur au niveau du choix ou du renouvellement de ses mots de passe, souvent trop simples à deviner ou trop semblables entre eux sur les différents sites d'e-commerce, de services ou d'abonnements en ligne qu'il fréquente.

Quelle est la tendance en matière de cyberprotection ? Selon des chiffres récents de la FBF (1), trois quarts des Français recourent à un mot de passe exclusif pour l'accès à leur espace bancaire (en baisse constante depuis 2022). De plus, ils sont de plus en plus nombreux à enregistrer leurs données bancaires sur les sites marchands qu'ils visitent pour gagner du temps lors de leurs transactions, avec 31% de répondants (vs 27% en 2022 et 26% en 2023).

Quelles sont les conséquences d'un credential stuffing réussi ?

Plus les tentatives de connexions sont massives, plus la probabilité de deviner des données confidentielles sera forte. Au final, c'est l'ampleur de l'attaque constatée en nombre de victimes finales qui donne une première indication de son pouvoir de nuisance.

Quels sont les différents types de risques auxquels sont exposées les victimes de credential stuffing ?

Les risques liés au credential stuffing sont multiples, avec par exemple :

  • Connexion sans autorisation à des comptes ou espaces clients personnels.
  • Usurpation d'identité pouvant conduire à une atteinte à la réputation.
  • Aspiration de données bancaires confidentielles - telles que l'IBAN - même si cette première étape de récupération ne suffit pas à réaliser dans la foulée une fraude mais peut faciliter les scénarios de phishing ou d'ingénierie sociale ultérieurs.
  • Propagation de logiciels malveillants sur le poste ou le smartphone de la victime.

Existe-t-il plusieurs niveaux de risques liés au credential stuffing ?

Les données détournées ou volées sont de plusieurs natures selon leur disponibilité et peuvent s'avérer problématiques quand elles permettent d'identifier et de mieux connaître la personne : adresse postale, adresse email, numéro de téléphone, civilité, nom, âge, sexe, csp, nombre et âge des enfants, et IBAN. Ce dernier élément est celui-qui se monétise immédiatement dans le «dark web» avec un potentiel élevé de fraudes bancaires à la clé.

Quel est le cas récent qui a affecté les clients d'une grande enseigne ? Ce sont 20.000 clients du site Seconde Main by Kiabi dont des données personnelles et l'IBAN ont été dérobés par des hackers. S'agissant d'une attaque visant le site secondaire de la marque, elle n'a a priori pas concerné le site principal Kiabi.com (2). Des mesures ont été immédiatement prises par l'enseigne notamment pour masquer par une fonctionnalité les IBAN récupérés, réinitialiser automatiquement les mots de passe des clients et informer chaque personne impactée conformément à la réglementation. En novembre dernier, c'était l'enseigne française de surgelés Picard qui avait fait les frais d'une telle cyberattaque avec 45.000 clients de son programme de fidélité touchés (3).

Comment limiter les impacts d'un credential stuffing ?

Face à l'intelligence employée par les cybermalfaiteurs, voici les 6 recommandations à suivre pour limiter les risques et réduire leur portée en cas de survenance d'une cyberattaque du type credential stuffing :

1) Choisir des mots de passe uniques et complexes pour chaque site, et non une suite logique facile à mémoriser comme sa date de naissance ou son nom de famille ! De plus, changer régulièrement ses mots de passe pour casser une éventuelle boucle de cybermalveillance.
2)  N'enregistrer ses coordonnées bancaires qu'auprès de certains tiers de confiance, que quand cela est nécessaire.
3)  Demander une suppression définitive de toutes ses données personnelles (avec mail de confirmation), en cas de désabonnement à un service.
4)  Surveiller toute activité suspecte qui apparaîtrait sur son compte bancaire (ex : débit inexpliqué, ajout d'un bénéficiaire inconnu etc.).
5)  Lire attentivement les conditions générales de vente lors des achats en ligne avant de les accepter.
6)  En cas d'incident avéré (détecté soi-même ou signalé par un organisme ou un professionnel), il est important de déclarer la cyberfraude, en précisant, autant que possible, le site sur lequel il est survenu et d'en faire part à votre banquier pour un blocage momentané du compte bancaire.

Le fait de s'informer permet déjà d'être en alerte sur les différents types de cyberattaques. En fixant des barrières au niveau de ses données de connexion, il est possible de les contrer en évitant une duplication évidente des informations entre plusieurs sites. En parallèle, les consommateurs doivent renforcer leur vigilance sur leurs usages en matière de transmission des données bancaires à des tiers, qui ne doit pas se banaliser.

À lire aussi
Fraude bancaire : 6 méthodes fréquemment utilisées par les arnaqueurs

Le blocage téléphonique des fraudeurs arrive : sera-t-il suffisant pour éviter les arnaques ?

Mule bancaire : méfiez-vous de cette arnaque qui se répand…

(1) https://www.fbf.fr/uploads/2024/09/Rapport-Harris-Les-Franc%CC%A7ais-et-la-cyberse%CC%81curite%CC%81-FBF-Vague-3.pdf (page 12)
(2) https://www.boursorama.com/actualite-economique/actualites/cyberattaque-sur-le-site-de-seconde-main-de-kiabi-des-iban-derobes-8d9ae714d9347834b3ce0ec4df194a42
(3) https://www.usine-digitale.fr/article/kiabi-touche-par-une-cyberattaque-les-coordonnees-bancaires-de-20-000-clients-derobees.N2225770

Ségolène Marquier
Ségolène Marquier

Ségolène Marquier

Boursorama

rédactrice web

https://www.boursobank.com
Voir tous ses articles
Arnaques et escroqueries

1 commentaire

  • 08 février 08:16

    AMELI cyberattaque 500 000 patients récupérés...

Signaler le commentaire

Fermer

A lire aussi

  • La défense anti-aérienne israélienne intercepte des missiles tirés depuis l'Iran au-dessus de Tel-Aviv le 15 juin 2025 ( AFP / Jalaa MAREY )
    Dix morts en Israël dans les tirs de missiles iraniens, sites bombardés à Téhéran
    information fournie par AFP 15.06.2025 09:42 

    L'Iran a tiré dimanche avant l'aube des salves de missiles contre Israël tuant 10 personnes, à l'heure où l'aviation israélienne a bombardé des sites liés au nucléaire et des dépôts de carburant à Téhéran, au 3e jour d'un conflit inédit entre les deux pays ennemis. ... Lire la suite

  • Le feu qui s'était déclaré sur un site de traitement de déchets classé Seveso à Rognac, dans les Bouches-du-Rhône, est désormais éteint ( AFP / Lou Benoist )
    Feu éteint sur un site classé Seveso dans les Bouches-du-Rhône
    information fournie par AFP 15.06.2025 08:31 

    Le feu qui s'était déclaré sur un site de traitement de déchets classé Seveso à Rognac, dans les Bouches-du-Rhône, est désormais éteint, selon la préfecture qui n'a pas relevé de toxicité dans l'air mais une pollution dans l'étang de Berre. L'incendie s'était déclenché ... Lire la suite

  • Certaines applications permettent de gagner de l’argent tout en contribuant à la transition énergétique. ( crédit photo : Getty Images )
    Vazy, l’application qui récompense votre mobilité douce
    information fournie par Le Particulier pour Conso 15.06.2025 08:30 

    Avec la montée en puissance des comportements écoresponsables, l’application Vazy séduit les utilisateurs soucieux de leur impact environnemental tout en cherchant à gagner des récompenses. Comment optimiser ses gains? Comment éviter les bugs fréquents de l’application ... Lire la suite

  • Une palmeraie dévastée par le passage du cyclone Chido à Handrema, à Mayotte, le 19 décembre 2024 ( AFP / DIMITAR DILKOFF )
    Six mois après Chido, la végétation repousse fragilement à Mayotte
    information fournie par AFP 15.06.2025 08:25 

    Les ylangs-ylangs embaument à nouveau la parcelle agroforestière d'Hassani Soulaïmana, à Mayotte. "C'était inespéré", souffle cet exploitant, six mois après le passage du cyclone Chido qui a dévasté son terrain à Ouangani, dans le centre de ce territoire ultramarin ... Lire la suite

Pages les plus populaires

L'offre BoursoBank