credential stuffing

Comment DataDome a protégé une plateforme de fintech mondiale contre une attaque de credential stuffing qui a duré une semaine

6,2 millions de tentatives de connexion malveillantes bloquées
4,4 millions d’adresses IP uniques impliquées
Aucun impact sur les clients, aucun compte compromis, aucune dégradation des performances
Table des matières
Account fraud Bot management
Florent Pajot, Machine Learning Engineer
3 Jun, 2025
|
min

Entre le 14 et le 21 mai 2025, une importante plateforme de fintech a été ciblée par une attaque de credential stuffing persistante et distribuée à l’échelle mondiale. En une semaine, les attaquants ont lancé plus de 7,4 millions de tentatives de connexion automatisées via des bots, en s’appuyant sur 4,4 millions d’adresses IP uniques, dans le but de se fondre dans le trafic légitime et de contourner les défenses classiques.

Mais l’attaque a échoué. Grâce à la détection multicouche de DataDome et à sa capacité de blocage en temps réel, plus de 6,2 millions de tentatives de connexion malveillantes ont été stoppées sans perturber les utilisateurs ni les systèmes.

Chiffres clés de l’attaque de credential stuffing

4 5 2 4
7 9 1 5 5
7
8 0 1 5
4 1 4 9 3
4
6 2 5 3 9
6
3 1 1 3 8
3
4 3 2 2
2 9 9 2 7
2
6 4 2 2 3
6
8 7 3 4 2
8
requêtes totales de bots
5 0 1 2
6 2 8 9 6
6
3 0 3 8
2 5 4 4 1
2
9 2 9 0 6
9
2 7 0 6 4
2
9 3 2 8
4 7 5 9 0
4
7 5 5 4 1
7
4 1 2 7 2
4
tentatives de connexion malveillantes bloquées
6 1 9 7
4 1 6 9 7
4
1 1 1 1
4 4 9 8 3
4
5 4 5 4 7
5
3 2 7 8 4
3
4 2 0 1
4 3 7 0 1
4
9 9 1 3 9
9
7 5 1 6 6
7
adresses IP uniques impliquées
7 7 5 5 3
7
3 0 2 8
j 7 8 9 0
j
o 1 6 0 4
o
u 5 2 1 4
u
r 8 5 4 8
r
s 9 5 7 5
s
durée de l'attaque

Vue d’ensemble de l’attaque

La campagne de credential stuffing a commencé par une activité de reconnaissance à faible volume, avant de s’intensifier rapidement le 17 mai, atteignant un pic de 350 000 requêtes toutes les 3 heures. Après le déploiement de la solution d’atténuation par DataDome, les taux de blocage ont grimpé en flèche et sont restés élevés, neutralisant efficacement l’attaque même si celle-ci persistait.

credential stuffing

Image 1 : Tentatives de connexion malveillantes toutes les 3 heures

Les attaquants s’appuyaient sur un user-agent Edge statique et obsolète, des en-têtes HTTP répétitifs, ainsi qu’un nombre anormalement élevé d’adresses IP tournantes : des tactiques classiques utilisées pour imiter le trafic humain tout en testant des identifiants volés à grande échelle.

Répartition de l’attaque

Principaux pays d’origine :

  • Brésil (BR) : 1,9 million de requêtes
  • États-Unis (US) : 1,6 million
  • Royaume-Uni (GB), Inde (IN), Mexique (MX) suivent
  • Le trafic de l’attaque s’est étendu sur plus de 10 pays

Image 2 : Répartition géographique de l’origine des requêtes

Principaux ASN utilisés (sources à forte utilisation de proxys) :

  • COMCAST, Claro, Telefonica, AT&T, T-Mobile
  • Utilisation massive de proxys résidentiels et de plages IP mobiles

Image 3 : Principaux ASN impliqués dans le trafic d’attaque

Comment l’attaque a-t-elle été détectée et bloquée ?

Malgré les tentatives des attaquants d’imiter les modèles de navigation humaine, les bots ont présenté des anomalies claires basées dans leur comportement et leurs empreintes digitales.

  • Absence de cookie DataDome : chaque session ne réalisait qu’une seule tentative de connexion, un comportement atypique pour des utilisateurs réels.
  • User-agent statique et obsolète : peu courant sur les pages de connexion, ce qui trahit une automatisation.
  • Comportement incohérent au niveau des en-têtes : notamment un champ accept-language inhabituel (« en ») et l’utilisation anormale de cache-control: max-age=0.
  • Détection de proxy : les modèles d’IA de DataDome ont corrélé les origines des proxys avec des signaux comportementaux.
  • Corrélation des empreintes : l’attaque générait une signature de hachage unique à partir des combinaisons d’en-têtes et de user-agents, ce qui a facilité son identification rapide.
  • Regroupement comportemental : le comportement répétitif de certaines adresses IP a déclenché des protections supplémentaires via une limitation adaptative du débit.

Une fois la mitigation activée, les erreurs 403 (requêtes bloquées) ont rapidement dépassé les réponses 200 (connexions autorisées), stoppant l’attaque sans perturber les utilisateurs légitimes.

Image 4 : Évolution du trafic bloqué après déploiement de la solution

Protégez vos points d’entrée contre le risque d’ATO

Les attaques de credential stuffing sont de plus en plus fréquentes contre les plateformes de fintech et de e-commerce, en raison de la forte valeur stockée et des données présentes sur ces comptes. Plus elles passent inaperçues, plus le risque de compromission de comptes et de fraude en cascade augmente.

DataDome bloque ces attaques en périphérie, en analysant chaque tentative de connexion en temps réel pour distinguer les intentions légitimes des intentions malveillantes, quelle que soit la distribution ou la sophistication de l’attaque.

Vous voulez voir comment ça fonctionne ? Planifiez une démo.

DataDome
Florent Pajot
Machine Learning Engineer
Florent Pajot est ingénieur en apprentissage automatique au sein de l'équipe de Data Science de DataDome. Outre son soutien aux efforts de R&D en apprentissage automatique pour la détection de la fraude en ligne, Florent se concentre sur les questions liées au MLOps afin d'améliorer les capacités de DataDome à déployer divers modèles d'apprentissage automatique en production. Florent a plus de 8 ans d'expérience dans le domaine de la science des données et a travaillé comme data scientist et chef d'équipe dans les secteurs du e-commerce et de l'automobile. Florent est titulaire de deux masters : l'un en ingénierie et l'autre en gestion d'entreprise, avec une spécialisation en gestion de l'innovation.

Articles liés