Qu’est-ce que le “password spraying” cette cyberattaque redoutable qui cause d’énormes dégâts

Microsoft alerte sur une vague d'attaques au moyen d'une technique “password spraying” visant les machines Windows. Que signifie ce terme, et surtout quelle est la meilleure façon de se protéger ?

Microsoft alerte sur les activités d'un groupe de pirates qui exploite la faiblesse des pires mots de passe. Leur technique, particulièrement redoutable, s'appelle “password spraying”. Il s'agit en réalité d'un type d'attaques bruteforce par dictionnaire. Dans ce type d'attaques, les pirates testent un à un tous les mots de passes contenus dans un fichier, habituellement assez imposant.

On parle de password spraying lorsque, au lieu de tester un grand nombre de mots de passe, les cybercriminels optent plutôt pour une shortlist de mots de passe simples, comme 123456, password et autres trustno1 – qui sont encore, hélas bien trop courants. Le problème, rappelle Microsoft, c'est que l'on retrouve également ce type de mots de passe n'offrant presque aucune sécurité chez les professionnels.

Au coeur du problème, les mots de passe doivent être remplacés par des alternatives

De quoi ouvrir un terrain de jeu assez incroyable pour les cybercriminels, qui peuvent ainsi cibler, avec une facilité déconcertante, des composantes stratégiques d'infrastructures dans le cloud. La division Threat Intelligence de Microsoft explique avoir observé des pirates d'un groupe nommé Storm-1977 mettre ainsi la main sur de nombreux environnements “containérisés”.

Les services exécutés dans des “containers” sont de plus en plus courants dans les plateformes de cloud. Ils isolent l'exécution de divers programmes, rendant les piratages particulièrement complexes – du moins sur le papier. Storm-1977 a été plutôt malin en visant des containers sur le cloud de Microsoft Azure dans le secteur de l'éducation. Visiblement, l'emploi de mots de passe trop simples, donc plus sensibles au Password Spraying, semble avoir tendance à y être particulièrement courant.

Les pirates ont ensuite pu exploiter l'outil AzureChecker (qui est en libre téléchargement, et est largement utilisé par des acteurs légitimes), pour tester d'un coup une liste ciblée de mots de passe contenus dans un fichier texte. De quoi prendre le contrôle de nombreux containers, principalement, dans le cas de Storm-1977, pour miner des cryptomonnaies.

Il existe une solution relativement simple contre ces attaques : supprimer les mots de passe au profit d'autres méthodes d'authentification comme les clés physiques et autres passkeys. Une transition qui semble particulièrement impérative dans l'ensemble des secteurs professionnels, où les mauvaises pratiques en matière de mots de passe restent la norme. L'authentification sans mot de passe est également conseillée pour les particuliers dès que cela est possible.