Pulvérisation de Mots de Passe (« password spraying »)

Qu’est-ce que la pulvérisation de mots de passe ?

L’attaque par pulvérisation de mots de passe consiste pour un cybercriminel à utiliser un même mot de passe courant pour tenter d’accéder à plusieurs comptes d’une application donnée. Cela lui évite que les comptes ne se bloquent en prévention d’une attaque par force brute, généralement caractérisée par l’essai de différents mots de passe pour accéder à un même compte. La pulvérisation de mots de passe est particulièrement efficace contre les entreprises adeptes du partage de mots de passe.

Déroulement d’une attaque

L’attaque par pulvérisation de mots de passe se déroule en deux étapes distinctes. Le cyberattaquant commence par se procurer une liste de noms d’utilisateurs via lesquels il tente de se connecter en reprenant à chaque fois le même mot de passe. Il répète ensuite ce processus avec de nouveaux mots de passe jusqu’à compromettre le système d’authentification ciblé. Le but étant d’accéder à l’un des comptes et aux différents systèmes.

Une attaque dite « par force brute »

Dans la mesure où elle cible plusieurs comptes à la fois, la pulvérisation de mots de passe ne répond pas au schéma de l’attaque par force brute traditionnelle qui consiste à deviner le mot de passe d’un compte unique. Pourtant, son approche basée sur la multiplication des tentatives en reste une caractéristique type. La recherche de mots de passe sur de nombreux comptes jusqu’à trouver une correspondance suffit donc à inscrire la pulvérisation de mots de passe dans la catégorie des attaques par force brute.

Principaux indices d’une attaque par pulvérisation de mots de passe

L’attaque par pulvérisation de mots de passe se traduit notamment par les indices suivants :

• Forte activité de connexion sur une courte période
• Hausse du nombre de tentatives de connexion échouées par utilisateur actif
• Connexion de comptes inexistants ou inactifs

Quelles peuvent être les conséquences d’une attaque par pulvérisation de mots de passe sur votre entreprise ?

Les attaques par pulvérisation de mots de passe peuvent cibler différentes composantes de l’entreprise : détournement d’informations de comptes clients dans le cadre de credential stuffing (recyclage d’identifiants) sur d’autres sites, infiltration des comptes professionnels des nouveaux employés, ou encore élévation des privilèges à l’aide d’identifiants volés afin de bénéficier d’un accès étendu aux informations confidentielles. Les victimes d’une pulvérisation de mots de passe réussie deviennent plus vulnérables à toute une série de futures attaques.

Impact sur les résultats nets

Lorsqu’elle aboutit, l’attaque par pulvérisation de mots de passe peut être à l’origine d’importants préjudices financiers. En possession d’identifiants en apparence légitimes, les cyberattaquants bénéficient d’un accès aux comptes financiers de l’entreprise, dont ils peuvent se servir pour réaliser des achats frauduleux. La non-détection d’une telle faille peut être lourde de conséquences du point de vue financier. Si le retour à la normale des activités suite à une cyberattaque demande généralement de deux à quatre semaines, certaines entreprises ont besoin de plusieurs mois pour s’en remettre.

La pulvérisation de mots de passe ne nuit pas seulement aux finances, elle ralentit et entrave aussi les opérations quotidiennes de l’entreprise de façon plus ou moins significative. L’envoi d’e-mails malveillants à l’échelle de l’organisation suffirait à mettre à mal la productivité de toute une journée ou la prise de contrôle d’un compte d’entreprise à annuler des achats, modifier des dates de livraison ou à voler des informations sensibles.

Impact sur les clients

L’une des principales conséquences de la pulvérisation de mots de passe sur l’entreprise réside dans la perte de confiance des clients. La compromission de votre système résultant d’une attaque par force brute, quelle qu’elle soit, pourrait en effet amener votre clientèle à s’interroger davantage sur la sécurité de leurs données et informations en votre possession. Cela pourrait les pousser à se tourner vers d’autres prestataires, engendrant pour vous de nouvelles pertes financières.

Autre problème potentiel lié à la pulvérisation de mots de passe : l’utilisation de vos identifiants volés dans le cadre d’attaques de phishing. L’envoi d’un e-mail malveillant à un client pourrait avoir des répercussions financières tant pour ce tiers que pour votre entreprise, avec là encore une atteinte à votre réputation.

2024 CrowdStrike Global Threat Report: résumé

Le Global Threat Report 2024 de CrowdStrike s’appuie sur les observations des experts de l’équipe CrowdStrike spécialisée dans la lutte contre les cyberadversaires. Il passe en revue les thèmes, tendances et événements marquants du paysage des cybermenaces.

Télécharger

Comment se protéger des attaques par pulvérisation de mots de passe ?

Utilisation de mots de passe complexes

Inviter les effectifs à utiliser des mots de passe complexes, difficiles à deviner est une tactique simple mais efficace que les équipes informatiques peuvent adopter pour se protéger des attaques par pulvérisation de mots de passe.

Détection des connexions

S’agissant de l’indicateur le plus caractéristique de l’attaque par pulvérisation de mots de passe, les équipes informatiques devraient également mettre en place un système permettant de détecter les tentatives de connexion à plusieurs comptes réalisées depuis un même hôte sur un court laps de temps.

Renforcement des règles de verrouillage

L’une des meilleures stratégies pour se protéger de la pulvérisation de mots de passe consiste à définir un seuil de verrouillage pertinent à l’échelle du domaine.

Ce seuil doit être suffisamment bas pour empêcher les cyberattaquants de réaliser de trop nombreuses tentatives d’authentification grâce au verrouillage, mais pas trop pour éviter que les utilisateurs légitimes ne se retrouvent malencontreusement bloqués à la moindre erreur. Il est également essentiel de disposer d’un processus clair pour déverrouiller et réinitialiser les comptes des utilisateurs vérifiés.