Skip to main content
Blog
Blog

Comment prévenir la prise de contrôle de compte : détecter les attaques par identifiants avant qu'elles atteignent la connexion

Les moteurs de risque et les identifiants visiteur se déclenchent à l'événement de connexion.

Jul 07, 2026 14 min read
Comment prévenir la prise de contrôle de compte : détecter les attaques par identifiants avant qu'elles atteignent la connexion

Selon le Rapport d'Enquêtes sur les Violations de Données 2026 de Verizon, les attaques basées sur les identifiants sont présentes dans 39 % de toutes les violations à travers la chaîne d'attaque complète. L'ampleur de ce chiffre reflète à quel point l'infrastructure pour la prise de contrôle de compte est devenue sophistiquée : les listes d'identifiants s'échangent en masse, les outils d'automatisation sont disponibles commercialement, et les réseaux de proxies sont suffisamment bon marché pour contourner les limitations de débit par IP à grande échelle.

La plupart des systèmes de détection de fraude se déclenchent à l'événement de connexion. Un score de risque est calculé. Un identifiant visiteur est associé. Une décision de politique est prise. Le problème est que, au moment où tout cela se produit, l'environnement navigateur exécutant l'attaque fonctionne depuis des secondes ou des minutes. Les systèmes de détection basés sur les événements consomment ce que le navigateur envoie lors de l'authentification. Ils ne surveillent pas ce que le navigateur faisait avant ce moment.

Cet article explique ce que la couche navigateur voit avant qu'une tentative de connexion n'arrive à votre moteur de risque, pourquoi cette lacune est importante pour la prévention des prises de contrôle de compte, et comment l'approche de cside en matière de détection pré-connexion la comble.

Où se déclenche la plupart des détections ATO et pourquoi ce timing est important

Réponse rapide : Les plateformes de fraude basées sur les événements se déclenchent à l'événement de connexion : elles reçoivent la tentative d'authentification, la scorent et retournent un verdict. La session navigateur qui a produit cette tentative était active avant que cela ne se produise. Les outils de credential stuffing, les frameworks d'automatisation et les anti-detect browsers opèrent tous dans l'environnement navigateur dès le chargement de la page. La détection qui ne se déclenche qu'à la connexion travaille avec une vue tronquée de ce qui s'est réellement passé.

Une attaque de credential stuffing suit une séquence prévisible. Un attaquant acquiert une liste de paires nom d'utilisateur/mot de passe, généralement issue d'une violation de données antérieure. Il configure un outil d'automatisation pour rejouer ces identifiants contre un endpoint de connexion cible. Il met en place une couche de rotation de proxies pour éviter que les tentatives ne déclenchent des alertes de débit basées sur les IP. Puis il lance la campagne.

Du point de vue d'une plateforme de fraude basée sur les événements, chaque tentative arrive comme un événement de connexion avec une adresse IP associée, un signal d'appareil et une chaîne user agent. La plateforme score chaque événement individuellement. Si l'IP est propre, le signal d'appareil semble raisonnable et la tentative n'arrive pas en rafale déclenchant une règle de vélocité, le score peut être suffisamment bas pour permettre la tentative.

Ce que la plateforme basée sur les événements ne voit jamais, c'est ce qui se trouvait dans le navigateur avant que l'événement de connexion ne soit envoyé. La session a-t-elle été ouverte par un navigateur headless ? L'objet navigator contenait-il des propriétés webdriver indiquant de l'automatisation ? Les signaux canvas ou WebGL ont-ils été falsifiés de façon à laisser des artefacts de cohérence dans la session ? La profondeur de session était-elle normale, c'est-à-dire des pages parcourues, du temps passé sur le site, des schémas d'interaction, ou était-elle nulle, parce qu'un outil de credential stuffing va directement à l'endpoint d'authentification ?

Aucun de ces contextes n'est présent dans l'événement de connexion lui-même. Il existe dans la session navigateur qui l'a précédé. Les systèmes qui ne consomment que les événements de connexion n'y ont jamais accès.

Ce que la couche navigateur voit avant une tentative de connexion

Réponse rapide : La surveillance de la couche navigateur de cside commence au chargement de la page, avant toute interaction utilisateur. Elle capture les signatures de frameworks d'automatisation, les schémas d'anti-detect browser, les artefacts de navigateur headless, et les signaux de comportement de session caractéristiques des campagnes de credential stuffing. Ces signaux sont présents dès la première requête dans chaque campagne ATO automatisée et ne sont pas visibles pour les systèmes qui ne consomment que les événements de connexion.

Les signaux qui distinguent une session de credential stuffing d'une session utilisateur légitime sont présents dès que le navigateur ouvre la page. Ils ne nécessitent aucune interaction avec le formulaire de connexion, aucun événement d'authentification, ni aucune saisie d'identité de la part de l'utilisateur.

Les signatures de frameworks d'automatisation apparaissent dans l'environnement navigateur avant toute action utilisateur. Des outils comme Puppeteer, Playwright et Selenium laissent des traces dans l'objet navigator, dans la présence ou l'absence d'API du navigateur disponibles dans les environnements utilisateur réels mais absentes dans les contextes headless, et dans les caractéristiques de timing de l'exécution des scripts. Les anti-detect browsers utilisés par les opérateurs sophistiqués font tourner beaucoup de ces signaux, mais les schémas de rotation eux-mêmes sont détectables : un navigateur où les empreintes canvas, les chaînes de rendu WebGL et l'énumération des polices retournent tous des valeurs incohérentes entre elles a été modifié, et cette modification est un signal.

La profondeur de session est l'un des discriminateurs les plus fiables. Un utilisateur légitime qui navigue vers une page de connexion vient généralement de quelque part : un résultat de recherche, un favori, une navigation dans le site. Sa session a de la profondeur. Un outil de credential stuffing qui va directement à l'endpoint d'authentification et soumet des identifiants sans aucune activité de page précédente a une profondeur de session nulle. Ce schéma est visible dans la session navigateur dès la première requête.

L'injection de scripts est un autre signal qui apparaît avant la connexion. Certains outils ATO injectent des scripts dans la page pour intercepter les flux d'authentification, modifier les valeurs de formulaire ou extraire des jetons de session. La présence d'une exécution de script inattendue sur une page de connexion est un signal pré-connexion indiquant que la session ne se comporte pas comme une session utilisateur réel.

Tous ces signaux sont disponibles avant que l'utilisateur ne soumette des identifiants. La surveillance de cside les capture dès le chargement de la page et les utilise pour signaler les sessions qui présentent des schémas automatisés avant qu'un événement d'authentification ne se déclenche.

Comment le device fingerprinting corrèle les tentatives ATO entre comptes

Réponse rapide : Une campagne de credential stuffing teste des milliers de comptes depuis le même appareil ou pool d'appareils. Le device fingerprinting corrèle ces tentatives entre sessions même lorsque l'attaquant fait tourner les adresses IP. Une seule empreinte d'appareil apparaissant sur des dizaines de tentatives de connexion échouées sur des comptes différents est un signal de fraude à haute confiance, même si aucune tentative individuelle ne déclenche un seuil de vélocité.

La rotation d'IP est désormais une capacité de base pour quiconque exécute du credential stuffing à grande échelle. Les services de proxies résidentiels donnent accès à des millions d'adresses IP, et les faire tourner est suffisamment bon marché pour que les règles de vélocité basées sur les IP soient effectivement contournées contre toute campagne raisonnablement sophistiquée. Une campagne qui répartit mille tentatives d'identifiants sur cinq cents IP résidentielles différentes ne déclenchera aucune alerte de vélocité par IP sur une seule IP.

Le device fingerprinting fournit un signal sensiblement plus difficile à faire tourner qu'une adresse IP. L'appareil générant ces tentatives, sa configuration de navigateur, ses caractéristiques matérielles, son comportement de rendu canvas, son ensemble de polices, sa résolution d'écran et des dizaines d'autres attributs, est plus stable que l'adresse IP qu'il présente. Un attaquant qui fait tourner les adresses IP mais pas les appareils laissera une empreinte d'appareil cohérente sur toutes ses tentatives.

La corrélation entre comptes est là où cela est le plus important pour la prévention ATO. Un seul compte recevant trois tentatives de connexion échouées en une heure peut ne pas sembler anormal. La même empreinte d'appareil apparaissant sur trois cents tentatives de connexion échouées réparties sur cinq cents comptes différents sur 24 heures est une campagne, même si aucun compte individuel n'a jamais dépassé un seuil par compte. Le device fingerprinting rend cette corrélation possible ; la rotation d'IP la rend invisible aux systèmes basés sur les IP.

Les attaques lentes et discrètes sont les plus difficiles à détecter avec des règles de vélocité seules. Un attaquant qui répartit les tests d'identifiants sur plusieurs jours, en utilisant différentes IP, à un rythme qui maintient les taux individuels par compte et par IP bien en dessous des seuils d'alerte, contourne presque complètement la détection basée sur la vélocité. La corrélation des empreintes d'appareils sur une fenêtre de 7 jours capture ce que les fenêtres de vélocité par heure et par jour manquent.

Les quatre signaux que cside utilise pour la détection des prises de contrôle de compte

Réponse rapide : cside surveille les tentatives de prise de contrôle de compte sur quatre couches de signaux : les signaux d'automatisation du navigateur et d'anti-detect dès le chargement de la page, l'identité de l'empreinte d'appareil et la corrélation entre sessions, l'intelligence de domaine email lors de la création de compte, et les schémas de comportement de session. Chaque couche capture un profil d'attaquant différent. La combinaison capture ce qu'une seule couche manquerait, et le chevauchement entre les couches signifie que vaincre l'une ne permet pas de vaincre le système.

Signaux d'automatisation du navigateur. Ils sont présents dès le chargement de la page et ne nécessitent aucune interaction utilisateur pour être capturés. La présence de webdriver, les artefacts de navigateur headless, les caractéristiques de timing d'automatisation, et la détection des anti-detect browsers eux-mêmes forment la première couche de détection ATO. Un attaquant utilisant un vrai navigateur pour éviter ces signaux perd immédiatement l'avantage d'échelle qui rend le credential stuffing économiquement viable.

Identité et corrélation de l'empreinte d'appareil. L'empreinte d'appareil stable fournit un signal d'identité qui persiste à travers les sessions et n'est pas affecté par la rotation d'IP ou l'effacement de session. La corrélation d'empreintes entre comptes identifie les campagnes trop dispersées pour déclencher des règles de vélocité par compte, mais qui émanent clairement du même appareil ou pool d'appareils. Cette couche capture la campagne lente et discrète que la couche de signaux d'automatisation du navigateur manque lorsqu'un attaquant investit dans l'utilisation de vrais navigateurs non automatisés.

Intelligence de domaine email lors de la création de compte. Les comptes ciblés dans une campagne ATO ont été créés à l'origine via un flux d'inscription. L'intelligence de domaine email de cside, les listes de domaines jetables, les signaux resolver-v2 et la couche LLM Brontar, capture les comptes frauduleux au moment de leur création. Cela est important pour l'ATO car les comptes les plus couramment ciblés par le credential stuffing sont souvent les mêmes comptes qui ont été créés en masse par des opérateurs organisés. Intercepter la création de compte supprime une partie du pool de cibles pour les futures campagnes ATO. Bloquer les faux nouveaux comptes au moment de l'inscription est le versant amont de ce problème, et cside Signup Shield transforme chaque inscription en un verdict de confiance en temps réel qui bloque la création de faux comptes, l'abus d'essais gratuits et le multicompte avant qu'un compte n'existe. Pour plus d'informations sur le fonctionnement du pipeline d'intelligence email à quatre couches, consultez la solution de device fingerprinting et de prévention de fraude de cside.

Schémas de comportement de session. La profondeur de session, les schémas d'interaction et les signaux de timing qui distinguent les sessions automatisées des sessions humaines complètent la couche de détection explicite d'automatisation. Une session qui produit une tentative de connexion sans activité de page précédente et une durée de vie de session mesurée en secondes semble différente d'une session utilisateur réelle, même lorsqu'aucun des signaux d'automatisation explicites n'est présent.

Dans la surveillance par cside de l'activité de credential stuffing sur les plateformes gaming et fintech, la rotation d'IP est quasi universelle parmi les opérateurs organisés, mais la rotation des empreintes d'appareils est rare. L'appareil reste l'attribut d'attaquant le plus stable dans la plupart des campagnes, ce qui explique pourquoi la corrélation d'empreintes entre comptes fait émerger des schémas au niveau de la campagne que les règles de vélocité par IP et par compte manquent entièrement.

Un attaquant optimisant contre cette stack fait face à des coûts cumulatifs. Vaincre la couche d'automatisation du navigateur nécessite d'utiliser de vrais navigateurs, ce qui plafonne le débit. Vaincre la couche d'empreinte d'appareil nécessite de faire tourner les appareils ou d'utiliser des anti-detect browsers, ce qui est coûteux et introduit ses propres signaux de détection. Vaincre la couche d'intelligence de domaine email signifie investir dans une infrastructure de domaine d'apparence réelle, ce qui augmente substantiellement le coût par compte. Vaincre la couche de comportement de session signifie simuler un comportement de navigation humain dans la session automatisée, ce qui limite à nouveau le débit. La combinaison est conçue de sorte que le coût de vaincre chaque couche dépasse le retour marginal sur cet effort.

Ce que cela signifie pour les équipes fraude et sécurité

Réponse rapide : La détection pré-connexion change la fenêtre opérationnelle de l'investigation post-authentification au blocage pré-authentification. Les équipes fraude obtiennent un signal avant qu'un compte ne soit accessible, avant qu'une session ne soit établie sous des identifiants volés, et avant qu'un événement de fraude ne soit déclenché. La sortie du score de confiance route les cas limites vers une file d'attente de révision manuelle plutôt que de forcer un mauvais appel automatique dans l'un ou l'autre sens.

La différence opérationnelle entre détecter une ATO avant la connexion et l'investiguer après une authentification réussie est significative. Post-authentification signifie qu'un attaquant a déjà accédé à un compte. Il peut avoir consulté des soldes, modifié des coordonnées, initié des transferts ou extrait des jetons de session. La tâche de l'équipe fraude est le confinement et l'annulation. La détection pré-connexion signifie que l'attaquant n'établit jamais de session. La tâche est de bloquer une tentative, pas de remédier à une compromission.

Pour les équipes fraude gérant des campagnes de credential stuffing à grand volume, cette distinction est importante à grande échelle. Une campagne testant cent mille paires d'identifiants contre une plateforme qui capture chaque tentative avant la connexion se termine avec zéro compromission de compte. La même campagne contre une plateforme qui détecte l'ATO après l'authentification a potentiellement des centaines ou des milliers de comptes compromis à remédier avant que la campagne ne soit identifiée.

Le signal de la couche navigateur s'intègre aux flux de travail de risque existants plutôt que de les remplacer. Les signaux pré-connexion de cside s'alimentent dans le signal de risque sur lequel les équipes fraude agissent déjà. Pour les équipes qui utilisent des plateformes de décision basées sur les événements pour le scoring de risque post-authentification, cside ajoute la couche navigateur pré-authentification que ces plateformes ne peuvent pas voir. Les deux signaux sont complémentaires : la couche navigateur capture la préparation de l'attaque ; la couche basée sur les événements capture l'événement d'authentification. Ensemble, ils fournissent une couverture sur l'ensemble de la séquence.

La gestion des faux positifs est gérée par la sortie du score de confiance. Les sessions qui présentent des signaux d'automatisation à un niveau de confiance élevé reçoivent un blocage automatique. Les sessions où le signal est ambigu, un vrai utilisateur testant un outil d'automatisation de navigateur, une session de développeur, un compte de test, sont routées vers une file d'attente de révision manuelle. L'équipe fraude résout ces cas en fonction de son propre contexte et de sa tolérance au risque. cside est certifié SOC 2 et la posture de sécurité complète est documentée sur trust.cside.com.

La question de calibration est spécifique à chaque plateforme. Une plateforme financière grand public où l'ATO signifie des transferts volés a une très faible tolérance aux faux négatifs et est prête à accepter un seuil plus strict qui génère plus de cas limites pour révision. Un SaaS d'outils développeur où le risque ATO est plus faible a une tolérance différente. Le seuil de confiance de Brontar et la gestion des verdicts à faible confiance peuvent être ajustés au profil de risque spécifique de la plateforme.

Mike Kutlu
Client-Side Security Consultant

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

FAQ

Frequently Asked Questions

La fraude par prise de contrôle de compte (ATO) se produit lorsqu'un attaquant obtient un accès non autorisé au compte d'un utilisateur légitime, généralement en utilisant des identifiants obtenus lors d'une violation de données ou d'une campagne de phishing. Une fois à l'intérieur, les attaquants peuvent voler des fonds, exfiltrer des données, effectuer des achats frauduleux ou utiliser le compte compromis comme tremplin pour d'autres attaques. Le credential stuffing, c'est-à-dire la réexécution automatisée de combinaisons nom d'utilisateur/mot de passe issues de violations, est la technique ATO la plus courante à grande échelle.

Le scoring de risque se déclenche à l'événement de connexion et utilise les signaux présents dans cet événement pour attribuer une probabilité de fraude. La détection au niveau de la couche navigateur se déclenche dès le chargement de la page et capture l'environnement de session avant toute authentification : signaux d'automatisation, empreinte d'appareil, profondeur de session et schémas d'exécution de scripts. Le scoring de risque vous indique la probabilité qu'une tentative de connexion spécifique soit frauduleuse. La détection au niveau de la couche navigateur vous indique ce qui s'exécutait dans le navigateur qui a produit cette tentative, un contexte que l'événement de connexion lui-même ne contient pas.

Le credential stuffing est la réexécution automatisée de combinaisons nom d'utilisateur/mot de passe issues de violations contre des endpoints de connexion. Les attaquants utilisent des outils d'automatisation qui ouvrent des sessions navigateur, naviguent vers des formulaires de connexion et soumettent des identifiants en grand volume. Ces outils laissent des signatures dans l'environnement navigateur : artefacts de frameworks d'automatisation dans l'objet navigator, API de navigateur absentes qui devraient être présentes dans les sessions utilisateur réelles, profondeur de session nulle avant la tentative de connexion, et caractéristiques de timing incohérentes avec l'interaction humaine. cside capture tout cela dès le chargement de la page, avant qu'un identifiant ne soit soumis.

Un attaquant qui utilise un vrai navigateur non modifié pour soumettre des tentatives de credential stuffing éliminera de nombreux signaux d'automatisation explicites. Cependant, il génère encore des signaux d'empreinte d'appareil sur toutes ses tentatives, que la corrélation entre comptes fera émerger comme une campagne. Utiliser un appareil différent pour chaque tentative n'est pas économiquement viable au volume qui rend le credential stuffing rentable. Un attaquant qui investit pour vaincre à la fois les signaux d'automatisation et la corrélation des empreintes d'appareils opère à un coût par tentative qui se rapproche du coût d'une attaque manuelle, ce qui détruit l'économie du credential stuffing automatisé.

Les plateformes financières, notamment les services bancaires, les paiements et les cryptomonnaies, sont les cibles les plus prisées car les comptes compromis offrent un accès direct aux fonds. Les plateformes e-commerce sont ciblées pour les moyens de paiement enregistrés, les points de fidélité et les soldes de cartes cadeaux. Les plateformes gaming et iGaming sont ciblées pour la monnaie du jeu, les objets et les soldes de bonus. Les plateformes SaaS sont ciblées pour l'accès aux données commerciales sensibles et comme tremplin pour des attaques de la chaîne d'approvisionnement. Toute plateforme qui stocke des identifiants et protège des ressources précieuses derrière une authentification est une cible ATO potentielle.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité
Related Articles
Réserver une démonstration