Qu’est-ce que le password spraying ?
En complément des attaques par brute force, il y a les attaques par password spraying : plus discrètes, mais qui veulent s’en prendre aussi aux comptes utilisateurs.
Attaque par password spraying – Définition
Le password spraying est une technique d’attaque dont l’objectif est de compromettre de comptes utilisateurs, comme avec les attaques par brute force. qui consiste à essayer un nombre restreint de mots de passe courants sur un grand nombre de comptes d’utilisateur, souvent en utilisant des listes de noms d’utilisateur récupérées sur Internet ou achetées sur le Dark Web. L’objectif de cette attaque est de trouver des comptes qui ont des mots de passe faibles ou faciles à deviner.
Contrairement à l’attaque de force brute traditionnelle, où un attaquant essaie de deviner un mot de passe en essayant une grande variété de mots de passe différents sur un seul compte, le password spraying est une attaque plus discrète qui peut passer inaperçue pour les systèmes de sécurité en place, car elle ne génère pas de nombreuses tentatives de connexion infructueuses sur un seul compte. Ici, on cible plusieurs comptes.
Le password spraying peut être particulièrement efficace contre les entreprises qui ont mis en place une politique de mot de passe faible. Si l’on prend l’exemple de l’Active Directory ou d’Azure AD, il convient de mettre en place une politique de mot de passe suffisante pour les comptes des utilisateurs.
Outils pour réaliser une attaque par password spraying
En ce qui concerne les outils populaires et capables de réaliser des attaques par password spraying, on peut lister :
– CrackMapExec (CME)
– Kerbrute
– DomainPasswordSpray
Les outils s’y dessus peuvent être utilisé pour attaquer un annuaire Active Directory. En fonction de votre cible, utilisez un outil adapté. Néanmoins, il est important de noter que l’utilisation de ces outils sans autorisation préalable est illégale et peut entraîner des poursuites pénales. Ces outils doivent être utilisés à des fins éthiques, dans le cadre d’une mission ou d’un contrat avec une entreprise.
Password spraying : comment se protéger ?
Entre le password spraying et le brute force, nous retrouvons des préconisations similaires pour nous protéger.
– Utilisez des mots de passe forts et complexes : évitez d’utiliser des mots de passe courants ou trop évidents comme votre nom de famille ou le nom de votre entreprise. Optez pour des mots de passe robustes, voire même idéalement des phrases de passe.
– Utilisez l’authentification multi-facteurs : l’authentification avec plusieurs facteurs ajoute une couche de sécurité supplémentaire, où le second facteur peut être un code à usage unique envoyé par SMS, un code TOTP généré via une application d’authentification mobile ou une clé physique, en plus du mot de passe.
– Surveillez les tentatives de connexion répétées : si une adresse IP est à l’origine de beaucoup de tentatives de connexion, c’est suspect et cela pourrait indiquer une attaque par password spraying. Vous pouvez également limiter le nombre de tentatives de connexion avant de verrouiller un compte, ce qui réduira le risque d’attaques par brute force ou de password spraying.
– Mettez en place des politiques de mots de passe strictes : même si cela embête les utilisateurs, configurez des politiques de mots de passe strictes pour vos utilisateurs.
Liens utiles
– Site officiel – CrackMapExec
– Verrouillage des comptes Active Directory
