Qu’est-ce que le “password spraying” cette cyberattaque redoutable qui cause d’énormes dégâts

Microsoft alerte sur une vague d'attaques au moyen d'une technique “password spraying” visant les machines Windows. Que signifie ce terme, et surtout quelle est la meilleure façon de se protéger ?

Bitdefender password pmanager

Microsoft alerte sur les activités d'un groupe de pirates qui exploite la faiblesse des pires mots de passe. Leur technique, particulièrement redoutable, s'appelle “password spraying”. Il s'agit en réalité d'un type d'attaques bruteforce par dictionnaire. Dans ce type d'attaques, les pirates testent un à un tous les mots de passes contenus dans un fichier, habituellement assez imposant.

On parle de password spraying lorsque, au lieu de tester un grand nombre de mots de passe, les cybercriminels optent plutôt pour une shortlist de mots de passe simples, comme 123456, password et autres trustno1 – qui sont encore, hélas bien trop courants. Le problème, rappelle Microsoft, c'est que l'on retrouve également ce type de mots de passe n'offrant presque aucune sécurité chez les professionnels.

Au coeur du problème, les mots de passe doivent être remplacés par des alternatives

De quoi ouvrir un terrain de jeu assez incroyable pour les cybercriminels, qui peuvent ainsi cibler, avec une facilité déconcertante, des composantes stratégiques d'infrastructures dans le cloud. La division Threat Intelligence de Microsoft explique avoir observé des pirates d'un groupe nommé Storm-1977 mettre ainsi la main sur de nombreux environnements “containérisés”.

Les services exécutés dans des “containers” sont de plus en plus courants dans les plateformes de cloud. Ils isolent l'exécution de divers programmes, rendant les piratages particulièrement complexes – du moins sur le papier. Storm-1977 a été plutôt malin en visant des containers sur le cloud de Microsoft Azure dans le secteur de l'éducation. Visiblement, l'emploi de mots de passe trop simples, donc plus sensibles au Password Spraying, semble avoir tendance à y être particulièrement courant.

Les pirates ont ensuite pu exploiter l'outil AzureChecker (qui est en libre téléchargement, et est largement utilisé par des acteurs légitimes), pour tester d'un coup une liste ciblée de mots de passe contenus dans un fichier texte. De quoi prendre le contrôle de nombreux containers, principalement, dans le cas de Storm-1977, pour miner des cryptomonnaies.

Il existe une solution relativement simple contre ces attaques : supprimer les mots de passe au profit d'autres méthodes d'authentification comme les clés physiques et autres passkeys. Une transition qui semble particulièrement impérative dans l'ensemble des secteurs professionnels, où les mauvaises pratiques en matière de mots de passe restent la norme. L'authentification sans mot de passe est également conseillée pour les particuliers dès que cela est possible.


Réagissez à cet article !

Demandez nos derniers articles !

Test Fiido C11 Pro : un vélo électrique urbain aussi surprenant que confortable

Nous avons testé le C11 Pro de Fiido, une marque asiatique désormais solidement établie en Europe. et qui développe une large gamme de vélos à assistance électrique. Leur particularité ?…

Android Auto : le cauchemar des problèmes de connexion est de retour, à peine un mois après sa correction

Android Auto accumule les bugs et certains sont pour le moins handicapants. Après avoir reçu un correctif pour résoudre ses problèmes de connexion qui s’enchaînaient depuis plusieurs mois, l’application recommence…

Ces 260 satellites Starlink que SpaceX a fait brûler en plein ciel pourraient abîmer la couche d’ozone

Les satellites finissent parfois leur vie de façon spectaculaire. En six mois, SpaceX en a précipité des centaines vers une combustion totale. Cette méthode radicale commence à réveiller les craintes…

La mémoire RAM unifiée gagne du terrain dans les PC et c’est un problème

De plus en plus de fabricants de puces se tournent vers ce qu’on appelle la mémoire RAM unifiée. Pratique en théorie, elle a un gros défaut qui impacte fortement les…

Cette Tesla Model 3 de location montre à quelle vitesse une batterie peut vieillir sous les tropiques

Les batteries lithium-fer-phosphate traînent une réputation de solidité à toute épreuve. Une Tesla Model 3 ayant roulé à Hawaï raconte pourtant une autre histoire. La chaleur et la location ont…

Grâce à la couleur, les robots peuvent désormais “voir” ce qu’ils touchent

Un nouveau capteur révolutionnaire améliore grandement le sens du toucher des robots humanoïdes tout en simplifiant son traitement. Il y parvient en s’aidant des couleurs. Explications. Quand vous saisissez un…

Les États-Unis enterrent un smartphone pendant 250 ans : c’est bizarre, mais voici lequel et pourquoi

Que léguerons-nous aux futures générations ? Les États-Unis se sont posé la question et pour fêter leur quart de millénaire, ils ont scellé et enfoui une capsule temporelle. Aux côtés…

La plus grande archive de jeux vidéo physiques ferme ses portes

L’Internationale Computerspielesammlung allemande, qui contient 60 000 jeux vidéo physiques anciens, doit mettre la clé sous la porte. Gros coup dur pour la préservation du jeu vidéo. 87 %. C’est…

Les astronomes n’en reviennent pas, cette planète voisine de la Terre coche presque toutes les cases de la vie

La chasse aux mondes habitables vient de trouver une nouvelle cible. Une planète toute proche affiche des conditions troublantes de familiarité. Les scientifiques n’osent plus cacher leur enthousiasme. La chasse…

Mort du format physique : Sony offre un maigre lot de consolation aux joueurs PlayStation qui espèrent encore avoir des jeux sur CD

La semaine dernière, Sony annonçait stopper la production de Blu-ray pour ses jeux PlayStation à compter de janvier 2028. Mais en réalité, cela ne concerne pas exactement tous les jeux…