Retour aux alertes
credential_stuffingPipeline 300s

Credential stuffing

Spray d’identifiants : une source, plusieurs comptes (u1–u3).

Criticité

Moyen

Début

dimanche 1 février 2026 à 07:00:00 UTC

Fin

dimanche 1 février 2026 à 07:45:00 UTC

Analyse détaillée

Récit — 07:00–07:45 UTC : depuis 203.0.113.2, salve d’échecs d’authentification touchant de nombreux comptes (u1–u3 et au-delà). Pattern spray : une source, dispersion des victimes, distinct_users élevé dans les agrégats. À traiter comme campagne de credential stuffing plutôt que BF SSH ciblée ; priorité révocation/MFA et blocage source.

Remédiation proposée

1) Bloquer 203.0.113.2 au bordure API/login. 2) Forcer MFA et révoquer sessions pour u1–u3 si compromission plausible. 3) Ajouter délais progressifs / CAPTCHA sur l’endpoint. 4) Corréler les succès depuis la même IP sur ±2 h.

Détail modèle — détection, confiance, justification

Scénario / corrélation

credential_stuffing

90%

Aligné sur credential_stuffing (spray multi-comptes).

Niveau de criticité (score)

Moyen

88%

Justification niveau medium selon impact et surface (voir incidents agrégés).

Résumé opérationnel (score)

Spray d’identifiants : une source, plusieurs comptes (u1–u3).

87%

Résumé dérivé du type d’attaque, des acteurs et des indicateurs clés.

Proposition de remédiation (score)

1) Bloquer 203.0.113.2 au bordure API/login. 2) Forcer MFA et révoquer sessions pour u1–u3 si compromission plausible. 3) Ajouter délais progressifs / CAPTCHA sur l’endpoint. 4) Corréler les succès depuis la même IP sur ±2 h.

83%

Limiter le débit par IP, MFA obligatoire, réinitialisations ciblées pour comptes à risque.

Fenêtre d’agrégation (secondes)

300 s

100%

Constante pipeline.

Type d’attaque

credential_stuffing

89%

Une source, plusieurs victimes distinctes — motif stuffing plutôt que BF SSH focalisée.

Adresses IP sources

203.0.113.2

88%

Source à l’origine du spray sur u1/u2/u3.

Comptes ou identités ciblés

u1

82%

Compte vu dans les premières vagues d’échecs.

u2

81%

Compte secondaire touché dans la même fenêtre.

u3

80%

Compte tertiaire avec corrélation temporelle serrée.

Début de la fenêtre d’attaque

dimanche 1 février 2026 à 07:00:00 UTC

85%

Début de la phase où le seuil multi-utilisateurs est dépassé.

Fin de la fenêtre d’attaque

dimanche 1 février 2026 à 07:45:00 UTC

84%

Fin de la phase avant retour baseline.

Indicateurs et signaux

Comptes distincts touchés : 15

83%

distinct_users résume l’écart-type du spray côté victimes.

Jeu de démonstration — format aligné sur l’API modèle