Skip to content

Distinguez le credential stuffing du password spraying, en précisant comment chacun apparaît dans les journaux.

Réponse courte

Le credential stuffing rejoue des paires identifiant:mot de passe connues issues de fuites tierces, en pariant sur la réutilisation des mots de passe — taux de réussite élevé par tentative, souvent réparti sur de nombreuses IP et machines pour paraître humain. Le password spraying essaie un ou deux mots de passe courants (comme Winter2026!) sur de nombreux comptes afin de rester sous les seuils de verrouillage. Le stuffing exploite la réutilisation ; le spraying exploite les mots de passe partagés faibles. La MFA déjoue les deux.

Les deux attaques visent la prise de contrôle de comptes via l'authentification, mais elles exploitent des faiblesses différentes et laissent des empreintes différentes. Les recruteurs posent cette question pour voir si vous raisonnez sur l'économie de l'attaquant et les signaux de détection, et pas seulement sur « beaucoup d'échecs de connexion ».

Credential stuffing

L'attaquant part de paires identifiant:mot de passe valides récupérées dans la fuite de quelqu'un d'autre (les combolists qui circulent à partir d'anciens dumps). Il les rejoue contre votre service, en pariant que les utilisateurs réutilisent leurs mots de passe. Parce que les paires sont réelles ailleurs, le taux de réussite par tentative est bien supérieur à de la devinette. Les campagnes sophistiquées passent par des botnets, des proxys résidentiels et des user agents tournants, de sorte que chaque connexion ressemble à une tentative normale et individuellement valide — c'est précisément ce qui les rend difficiles à attraper.

Password spraying

Ici, l'attaquant a des identifiants mais pas les mots de passe, alors il devine. Pour éviter de déclencher le verrouillage de compte, il essaie seulement un ou deux mots de passe très courants (Winter2026!, Password1) sur une longue liste de comptes, puis attend avant le tour suivant. Chaque compte ne voit qu'un échec ou deux, donc les règles naïves « N échecs = alerte » passent à côté. Le signal est l'ampleur : de nombreux comptes distincts échouent sur le même mot de passe depuis la même source dans le temps.

Détection et défense

Pour le spraying, comptez les comptes distincts visés par source sur une fenêtre. Pour le stuffing, cherchez une vélocité impossible, des pics soudains de volume de connexions, un appareil/une géolocalisation atypiques pour un compte, et des taux de réussite élevés depuis une nouvelle infrastructure ; les services de mots de passe compromis et de détection de bots aident. Le contrôle le plus efficace pour les deux est la MFA, complétée par le blocage des mots de passe connus comme compromis et la limitation de débit.

Pourquoi c'est important

Une bonne réponse identifie la cause racine de chacun — réutilisation contre mots de passe partagés faibles — nomme les formes différentes dans les journaux, et conclut sur la MFA et les contrôles d'hygiène des identifiants. Cela montre que vous défendez au niveau de la cause, et pas seulement du symptôme.

Questions de suivi probables

  • Pourquoi répartir le credential stuffing sur de nombreuses IP le rend-il difficile à détecter ?
  • Quel contrôle unique réduit le plus l'impact des deux attaques ?
  • Comment repéreriez-vous le credential stuffing si chaque connexion semble individuellement valide ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.