À l’intérieur du braquage DraftKings : comment un trio de jeunes hackers a pillé 60 000 comptes de fantasy sports

Par une journée tranquille à Farmington, Minnesota, Nathan Austad - plus connu en ligne sous le nom de “Snoopy” - s’est présenté devant un juge fédéral et a reconnu sa participation à une cyberattaque qui a bouleversé des milliers de fans de fantasy sports. Âgé de 21 ans, il est le troisième hacker à plaider coupable dans le cadre d’une vaste attaque de credential stuffing qui a vidé des comptes et mis en lumière le danger de la réutilisation des mots de passe à l’ère numérique.

Anatomie d’un braquage numérique

Le plan, révélé dans les documents judiciaires, était aussi simple que dévastateur : Austad et ses complices ont accumulé des identifiants et mots de passe volés lors de précédentes fuites de données, puis ont lancé une attaque de credential stuffing contre un site de paris non nommé - probablement DraftKings. Les attaquants ont exploité une habitude courante : l’utilisation des mêmes identifiants sur plusieurs sites.

Une fois à l’intérieur, les hackers ajoutaient leurs propres moyens de paiement aux comptes des victimes. En quelques jours, ils ont siphonné environ 600 000 dollars à des utilisateurs sans méfiance, souvent avant que quiconque ne s’en aperçoive. Les identifiants volés sont devenus des biens très recherchés sur les marchés clandestins, Austad lui-même tenant l’une de ces boutiques illicites. Les portefeuilles de cryptomonnaie contrôlés par Austad ont reçu près de 465 000 dollars en actifs virtuels, preuve de l’ampleur et de la sophistication de l’opération.

Les procureurs ont révélé qu’Austad était parfaitement conscient de la traque des forces de l’ordre, allant jusqu’à prévenir ses complices de l’enquête en cours. Malgré les signaux d’alerte, la trace numérique du groupe a finalement mené à leur arrestation. Le Département de la Justice souligne que le credential stuffing reste une menace persistante, citant une nouvelle vague d’attaques contre les utilisateurs de DraftKings aussi récemment qu’en octobre 2025.

Credential Stuffing : le cybercrime qui ne meurt jamais

Les attaques de credential stuffing sont particulièrement dangereuses car elles exploitent la nature humaine. Lorsque les utilisateurs réutilisent leurs mots de passe sur plusieurs plateformes, une brèche sur un site peut entraîner des pertes ailleurs. L’incident DraftKings rappelle brutalement que même les marques les plus connues restent vulnérables si les utilisateurs n’adoptent pas des identifiants forts et uniques, et si les entreprises n’appliquent pas des défenses robustes comme l’authentification multi-facteurs.

Alors qu’Austad risque jusqu’à cinq ans de prison et que ses complices ont déjà été condamnés, le problème de fond demeure. Tant que les noms d’utilisateur et mots de passe resteront les clés de nos vies numériques, le credential stuffing continuera de hanter consommateurs et entreprises.