Vol de credentials : comment les pirates volent tes accès et comment t’en protéger
Le vol de credentials (identifiants) est le point de départ de la majorité des intrusions informatiques. Qu’il s’agisse de ton compte Gmail, des accès administrateur de ta PME, ou des identifiants d’un client hébergé sur ton serveur — une fois que quelqu’un a un couple nom d’utilisateur/mot de passe valide, il est à l’intérieur. Ce guide explique les méthodes utilisées et, surtout, comment t’en protéger.
Méthode #1 : Credential Stuffing
C’est la méthode la plus massivement utilisée, et la raison principale pour laquelle la réutilisation des mots de passe est si dangereuse.
Comment ça marche :
- Des milliards de couples email/mot de passe sont disponibles sur le dark web (issus de fuites passées — LinkedIn 2016, Adobe 2013, Desjardins 2019, etc.)
- Des outils automatisés testent ces couples sur des dizaines de services populaires : Gmail, Outlook, Amazon, Netflix, banques, etc.
- Si tu utilises le même mot de passe sur plusieurs services, l’attaquant entre dès qu’il trouve un service où ça fonctionne
Statistique : des études montrent que 0,5 à 2% des tentatives de credential stuffing réussissent. Sur des milliards de comptes testés, ça représente des millions d’accès compromis.
Défense : mot de passe unique pour chaque service (gestionnaire de mots de passe) + 2FA. Le credential stuffing est inefficace contre ces deux mesures combinées.
Méthode #2 : Phishing de credentials
Un faux email dirige la victime vers une page qui imite parfaitement la page de connexion d’un service réel. Elle entre ses identifiants. L’attaquant les récupère.
Les variantes modernes :
Reverse proxy phishing (Adversary-in-the-Middle — AitM) : des outils comme Evilginx agissent comme proxy entre toi et le vrai site. Tu vois le vrai site, tu entres tes vrais identifiants, mais le proxy intercepte aussi les tokens de session. Ça contourne même le 2FA basé sur TOTP.
Browser-in-the-Browser (BitB) : l’attaquant génère une fausse fenêtre de navigateur dans la page web, imitant parfaitement une fenêtre d’authentification Chrome/Firefox. Tu entres tes identifiants dans ce qui ressemble à une vraie fenêtre de connexion.
Défense : passkeys et clés de sécurité physiques (FIDO2) sont les seules défenses efficaces contre les attaques AitM — la clé vérifie cryptographiquement le domaine et refuse de s’authentifier sur un proxy.
Méthode #3 : Keyloggers et infostealers
Un malware installé sur ton ordinateur (via une pièce jointe d’email malveillante, un faux logiciel téléchargé, un site web compromis) enregistre tout ce que tu tapes — y compris tes mots de passe au moment où tu les entres.
Les infostealers sont une catégorie plus avancée qui vole activement les credentials sauvegardés dans ton navigateur, ton gestionnaire de mots de passe (s’il est déverrouillé), les cookies de session, et parfois les seeds TOTP.
Des familles de malware comme Redline Stealer, Vidar, Raccoon sont vendues comme des services (MaaS — Malware as a Service) pour quelques centaines de dollars sur des forums criminels.
Défense :
- Garder son système et ses logiciels à jour (les malwares exploitent souvent des vulnérabilités connues)
- Ne pas télécharger de logiciels de sources non fiables
- Utiliser un gestionnaire de mots de passe avec base chiffrée (les infostealers peuvent voler les mots de passe sauvegardés dans le navigateur, mais pas une base Bitwarden chiffrée avec un mot de passe principal fort)
- Antivirus/EDR actif
Méthode #4 : Brute Force et Password Spraying
Brute force : essayer toutes les combinaisons possibles jusqu’à trouver le bon mot de passe. Efficace sur des mots de passe courts (< 8 caractères) avec suffisamment de puissance de calcul. Sur des mots de passe longs et aléatoires, c’est impossible en pratique.
Dictionary attack : utiliser des listes de mots courants, de mots de passe populaires, et de leurs variantes (P@ssw0rd, motdepasse123, etc.). Efficace sur les mots de passe “humains”.
Password spraying : au lieu de tester des milliers de mots de passe sur un compte (ce qui déclenche un verrouillage), tester un ou deux mots de passe courants contre des milliers de comptes. Passe sous le radar des systèmes de détection.
Défense : mots de passe longs et aléatoires (les gestionnaires de mots de passe génèrent 20+ caractères aléatoires) + verrouillage de compte après tentatives échouées + 2FA.
Méthode #5 : Man-in-the-Middle (MitM) sur réseau non sécurisé
Sur un réseau WiFi non chiffré ou un réseau WiFi contrôlé par l’attaquant, il est possible d’intercepter le trafic non chiffré. Si tu te connectes à un site HTTP (sans HTTPS), tes identifiants sont visibles en clair.
HTTPS chiffre le trafic et empêche cette interception — mais seulement si HTTPS est correctement implémenté et si le certificat est valide.
Défense : toujours vérifier que le site utilise HTTPS (cadenas dans la barre d’adresse). Utiliser un VPN sur les WiFi publics. Ne jamais entrer des credentials importants sur un réseau non fiable.
Méthode #6 : Ingénierie sociale directe
Parfois les attaquants appellent simplement. Ils se font passer pour le support technique de Microsoft, pour ton fournisseur internet, pour un collègue qui a perdu son accès.
“Bonjour, je suis du support IT, on a un problème avec votre compte. Pour le résoudre, j’ai besoin de votre mot de passe temporairement.”
Aucune organisation légitime ne te demandera jamais ton mot de passe.
Méthode #7 : Accès physique
Un clavier physique (keylogger hardware) branché entre le clavier et l’ordinateur enregistre toutes les frappes. Un attaquant avec un accès physique à ton bureau pendant quelques secondes peut l’installer.
Les rubber duckies (clés USB piégées) se font passer pour un clavier et injectent des commandes malveillantes au moment où tu les branches.
Défense : ne jamais brancher des clés USB inconnues. Verrouille ton ordinateur quand tu t’en absentes (Windows + L / Cmd + Ctrl + Q sur Mac).
Le tableau de bord des défenses
| Menace | Défense principale |
|---|---|
| Credential stuffing | Mot de passe unique par service + gestionnaire |
| Phishing standard | 2FA TOTP ou clé physique |
| Phishing AitM | Passkeys ou YubiKey (FIDO2) |
| Keyloggers/infostealers | Antivirus, mises à jour, ne pas télécharger n’importe quoi |
| Brute force | Mot de passe long et aléatoire (16+ caractères) |
| MitM WiFi | HTTPS + VPN sur WiFi public |
| Ingénierie sociale | Formation, procédures de vérification |
| Accès physique | Verrouillage automatique, vigilance matériel USB |
Pour les PME : la priorité sur les accès critiques
Les comptes à protéger en priorité dans une PME :
- Email d’entreprise — clé de voûte pour la réinitialisation de tout
- Accès aux outils de facturation et comptabilité
- Panneaux d’administration (hébergement web, DNS, domaine)
- Accès RDP et VPN — souvent exploités directement depuis internet
- Comptes cloud (AWS, Azure, Google Cloud) — un accès compromis peut coûter des milliers en ressources et entraîner une violation de données
Tu veux qu’un professionnel évalue la résistance de tes systèmes au vol de credentials ? Test de pénétration, audit des politiques de mots de passe, simulation de phishing — contacte-moi à khalid@sequr.ca.
Voir aussi : L’IA au service des pirates : comment le phishing a changé en 2026 — Gestionnaire de mots de passe : lequel choisir — 2FA : guide complet
