Password spraying : comment repérer et bloquer cette technique d’attaque ?

En 2019, 44 millions d’internautes utilisaient encore des identifiants pourtant compromis lors d’une cyberattaque.

Pendant l’élection américaine, près de deux américains sur dix utilisent « Trump » ou « Biden » comme mot de passe ; ce qui est très facilement exploitable par les cybercriminels. En effet, ces derniers sont férus de la technique appelée « password spraying », qui consiste à tester un ensemble limité de mots de passe sur plusieurs comptes en ligne.

S’il est impossible de prévenir ces attaques, elles peuvent néanmoins être détectées et même stoppées dans leur élan :

Les attaques typiques par force brute ciblent un seul compte et testent plusieurs mots de passe pour y accéder. Les protocoles de cybersécurité modernes permettent de détecter cette activité suspecte et de verrouiller un compte lorsque de trop nombreuses tentatives de connexion infructueuses se produisent en peu de temps. Le password spraying bouleverse la stratégie classique en tentant de se connecter à plusieurs comptes d’utilisateurs à l’aide de mots de passe courants. Le fait de tester un seul mot de passe sur plusieurs comptes différents, avant de tenter un autre mot de passe sur les mêmes comptes, permet de contourner les protocoles de verrouillage traditionnels, de sorte que l’attaquant est en mesure d’essayer de plus en plus de mots de passe.

Cette technique est souvent couronnée de succès car de très nombreux utilisateurs ne créent pas de mots de passe forts. En effet, les 200 mots de passe les plus courants divulgués lors de fuites de données en 2019 comprenaient des combinaisons de chiffres évidentes comme ″12345″, ou encore le mot ″password″ lui-même. Tout attaquant qui cible un nombre relativement élevé de noms d’utilisateurs et qui utilise une banque de mots de passe courants suffisamment importante est donc certain de pouvoir compromettre plusieurs comptes. En outre, les cybercriminels ciblent les utilisateurs qui ont recours l’authentification par signature unique (SSO), en espérant deviner les identifiants qui leur donneront accès à plusieurs systèmes ou applications via une seule compromission.

Bien que les contre-mesures classiques ne détectent pas automatiquement les attaques par password spraying, il existe plusieurs indicateurs fiables à surveiller. Le plus évident concerne le nombre élevé de tentatives d’authentification dans un court laps de temps, en particulier les échecs associés à l’utilisation de mots de passe incorrects. Un autre indicateur étroitement lié est bien entendu celui du pic de verrouillage de comptes. En outre, les acteurs malveillants peuvent utiliser des outils automatisés pour procéder à des milliers de tentatives de connexion en très peu de temps. Ces tentatives proviennent souvent d’une seule adresse IP ou d’un seul appareil.

S’il est essentiel d’être en mesure de détecter rapidement les attaques fructueuses, le simple fait de permettre aux attaquants d’accéder brièvement à des données sensibles peut avoir des conséquences dévastatrices. Une stratégie solide en matière de cybersécurité nécessite une approche globale et proactive qui assure une protection par couches pour bloquer le plus grand nombre d’attaques possible. Cela commence par la mise en place d’une authentification à plusieurs facteurs pour tous les utilisateurs ; rendre obligatoire la création de mots de passe forts, leur réinitialisation en cas de verrouillage de compte, ainsi que leur rotation régulière. S’il existe des comptes partagés au sein d’une entreprise, il est essentiel d’élaborer une stratégie de mots de passe défendables. Enfin, les utilisateurs doivent régulièrement bénéficier de formations sur les menaces existantes, afin qu’ils comprennent comment concevoir et conserver des mots de passe sûrs.