Si le nombre d’incidents de fuite de données explose, qu’en est-il de la quantité d’identifiants dérobés ?
Cyberattaques : les 5 phases du vol d’identité

En 2020, on note 2 millions d’enregistrements, soit +234 % par rapport à 2019. Les identifiants dérobés alimentent les attaques de « bourrage d’identifiants » – credentials stuffing.
La protection des mots de passe
Les mauvaises pratiques sont en cause selon F5. Au cours des trois dernières années, le stockage des mots de passe en texte en clair (degré zéro de la protection) a été responsable d’un grand nombre de fuites d’identifiants (42,6 %).
Dans 20 %, c’est l’usage de l’algorithme SHA-1 sans ajout de « sel » (valeur unique ajoutée au mot de passe pour en changer le hash par rapport à celui existant dans les dictionnaires utilisés par les pirates).
L’algorithme bcrypt arrive en position N° 3 avec 16,7 %.
Pour optimiser les attaques, les attaquants utilisent le fuzzing : processus de recherche d’erreurs dynamique testant régulièrement les réponses des pages d’authentification avec des entrées modifiées.
Les cinq phases du vol d’identité
Découvrons les cinq phases dans le cycle de vie des identifiants dérobés, identifiées dans le rapport 2021 Credential Stuffing de F5.
- L’approche silencieuse
Les identifiants compromis ont été utilisés de manière furtive jusqu’à un mois avant l’annonce publique. En moyenne, chaque identifiant était alors utilisé 15 à 20 fois par jour dans des attaques sur les quatre sites web.
Téléchargez cette ressource

État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
- La montée en puissance
Dans les 30 jours avant l’annonce publique, les identifiants circulent sur le DarkWeb et les attaquants accèdent aux informations. Le nombre d’attaques par jour augmente régulièrement.
- Le Blitz
Lorsque les informations d’identification sont publiques, les « script kiddies » et autres amateurs les ont utilisés sur des sites populaires. La première semaine est particulièrement active, chaque compte étant utilisé en moyenne plus de 130 fois par jour.
- Le régime de croisière
Après le premier mois, l’activité tombe à 28 attaques par nom d’utilisateur et par jour. Cet équilibre est plus élevé que le statu quo initial (15 attaques pendant la phase d’approche silencieuse). Les attaquants novices continuent de cibler des entreprises de premier plan avec des identifiants périmés.
- La réincarnation
Après avoir surexploité les identifiants volés sur la plupart des sites web principaux, certains criminels reconditionnent ceux valides pour prolonger leur rentabilité.
Source – 2021 Credentials Stuffing Report F5
Les articles les plus consultés
- Cybercriminalité : des attaques de plus en plus sophistiquées
- La fraude à l’identité numérique : les gestes qui sauvent
- Cybersécurité : Techniques de cartographie Active Directory avec BloodHound
- Cybersécurité : comment évaluer sa cyber maturité !
- Vol de propriété intellectuelle: détecter les copies de répertoires