Comprendre les attaques par password spraying

Glossaire de la cybersécurité Catalogue d'attaques

Le password spraying est une attaque basée sur les identifiants où un acteur malveillant essaie un petit ensemble de mots de passe courants sur de nombreux comptes, évitant les verrouillages par compte. Elle cible les environnements Active Directory, les fournisseurs d'identité cloud, les VPN et les plateformes SSO. Contrairement à la force brute, elle répartit largement les tentatives pour rester en dessous des seuils de détection. Les défenses efficaces incluent la MFA résistante au phishing, les listes de mots de passe interdits, les restrictions NTLM, la limitation du débit et la surveillance ITDR pour les anomalies d'authentification lentes et faibles.

Lors d'une attaque par password spraying, les acteurs malveillants essaient un petit ensemble de mots de passe courants sur de nombreux comptes utilisateur ou de service. L'objectif est de compromettre un compte tout en restant en dessous des seuils de verrouillage de compte.

Attribute	Details
Attack type	Password spraying (low-and-slow brute force across many accounts)
Impact level	High
Target	SSO/IdP portals, VPN/VDI, SaaS sign-ins, exec/admin users, service accounts
Primary attack vector	Automated login attempts using common/default passwords + OSINT usernames
Motivation	Initial foothold, ATO for fraud/exfiltration, staging for lateral movement/ransomware
Common prevention methods	Phishing-resistant MFA, lockout/rate limits, banned password lists, disable legacy auth, bot/CAPTCHA, CA policies

Facteur de risque	Niveau
Dommage potentiel	Élevé
Facilité d'exécution	Moyen–Élevé
Probabilité	Élevé

Facteur de risque

Niveau

Dommage potentiel

Élevé

Facilité d'exécution

Moyen–Élevé

Probabilité

Élevé

Une attaque par password spraying pourrait-elle passer inaperçue dans vos défenses ?

Parlez à nos experts pour renforcer les contrôles d'authentification, identifier les comptes à risque et surveiller les menaces basées sur les identifiants avant qu'elles ne s'aggravent.

Qu'est-ce que le password spraying ?

Le password spraying est une méthode où un attaquant essaie un petit ensemble de mots de passe courants (par exemple : « Password123 ! », « qwerty », « Summer2024 », « Welcome1 ») sur de nombreux comptes utilisateurs ou comptes de service dans un magasin d’identité, tel que Active Directory sur site, les fournisseurs d’identité cloud (Microsoft Entra ID, Okta, Google Workspace), les applications SaaS, les applications web, les VPN et d’autres systèmes d’authentification. L’objectif est de compromettre un compte sans déclencher les contrôles de verrouillage de compte qui entrent en vigueur lorsqu’une personne effectue plusieurs tentatives infructueuses sur un seul compte. Le password spraying répartit quelques tentatives sur un large éventail, ce qui le rend très efficace contre les organisations ayant des mots de passe faibles ou réutilisés.

Pensez-y comme un intrus essayant une clé commune aux portes d’un immeuble entier plutôt que d’essayer plusieurs clés différentes sur une seule porte. Si un locataire a utilisé cette clé commune, l’intrus entre, mais l’alarme de la porte de l’immeuble n’est pas déclenchée par des tentatives répétées sur une seule serrure.

Voici comment le password spraying diffère des attaques par force brute et par bourrage d’identifiants.

Feature	Brute-force attack	Credential stuffing	Password spraying
Targets	Single account or a few	Many accounts	Many accounts
Method	Attempts many possible passwords for the same account (often automated, exhaustive)	Uses leaked/stolen credentials obtained from breaches and replays them across services to find reused or valid logins	Tries a few common passwords across many accounts to avoid lockouts
Lockout profile	High risk of lockout on targeted account	May trigger protection if credentials are wrong or reused	Designed to avoid per-account lockout by spreading attempts
Chance of success	Can succeed if no lockouts and password is weak	High if users reuse breached passwords	Effective against organizations with many weak/default passwords and relaxed login limits

Feature

Brute-force attack

Credential stuffing

Password spraying

Targets

Single account or a few

Many accounts

Method

Attempts many possible passwords for the same account (often automated, exhaustive)

Uses leaked/stolen credentials obtained from breaches and replays them across services to find reused or valid logins

Tries a few common passwords across many accounts to avoid lockouts

Lockout profile

High risk of lockout on targeted account

May trigger protection if credentials are wrong or reused

Designed to avoid per-account lockout by spreading attempts

Chance of success

Can succeed if no lockouts and password is weak

High if users reuse breached passwords

Effective against organizations with many weak/default passwords and relaxed login limits

Comment fonctionne le password spraying

Le password spraying est une approche « lent et progressif ». L’attaquant échange la profondeur (beaucoup de tentatives sur un compte) contre la largeur (quelques tentatives sur plusieurs comptes) pour rester discret. Voici un déroulement étape par étape de l’attaque.

Reconnaissance (noms d’utilisateur)

L'attaquant commence par établir une liste de noms d'utilisateur valides. Les sources incluent :

Renseignement en source ouverte (OSINT), par exemple LinkedIn, pages d’entreprise, communiqués de presse, bases de données gouvernementales
Fuites de données publiques
Collecte de format d’email (comme dans first.last@company.com)
Énumération en direct contre une page de connexion (différents messages d'erreur, temps de réponse et flux de récupération de compte révèlent quels noms d'utilisateur sont valides)

Le résultat est un ensemble cible de noms de comptes humains ou de service sur lesquels l'attaquant lancera l'attaque, comme une liste de 500 adresses email d'employés provenant de LinkedIn.

Choisissez un petit ensemble de mots de passe

Ensuite, les attaquants choisissent une très petite liste de mots de passe probables, tels que :

Mots de passe par défaut
Mots de passe faibles courants
Combinaisons saison/année
Variantes d'entreprise/mascotte

Les campagnes de spray utilisent généralement un petit ensemble de tentatives de mot de passe, généralement de 3 à 10. Garder l'ensemble de mots de passe réduit minimise les échecs par compte, ce qui empêche les verrouillages.

Vague de pulvérisation n°1 (douce et lente)

L'attaquant essaie un mot de passe sur de nombreux comptes, comme essayer "Winter2024!" sur les 500 comptes. Ils espacient les tentatives pour rester en dessous des seuils de verrouillage et de détection (par exemple, 1 à 2 tentatives par compte pendant la fenêtre de verrouillage). Ce faible volume par compte déclenche à peine des alertes tandis que l'attaquant continue à sonder les identifiants faibles ou réutilisés.

Tourner et éviter

Pour éviter davantage la détection, les attaquants font tourner leur infrastructure et leurs empreintes.

Ils changent régulièrement d'adresses IP en utilisant des proxies, VPN, Tor ou des botnets distribués.
Ils randomisent les chaînes user-agent pour imiter le trafic légitime provenant de divers appareils et navigateurs.
Le délai entre les tentatives d’authentification est varié pour rester en dessous des seuils de limitation de débit.
Les attaques sont réparties sur plusieurs emplacements géographiques pour apparaître comme un accès global normal.

Ces tactiques combinées rendent la campagne plus difficile à détecter et à bloquer. Les attaquants ciblent parfois également des systèmes hérités ou des points de terminaison utilisant des protocoles d'authentification basiques, car ceux-ci manquent de contrôles de sécurité modernes tels que l'authentification multifactorielle (MFA) et une limitation robuste du débit. Cela facilite l'exploitation sans déclencher d'alarmes.

Vague de pulvérisation n°2

Si la première vague ne donne aucun résultat, les attaquants lancent des vagues suivantes en utilisant le mot de passe suivant dans le petit ensemble contre la même liste d’utilisateurs (ou une liste étendue). Ils utilisent des outils d’automatisation pour contrôler le rythme des tentatives, faire tourner les IP, réessayer si nécessaire et analyser les réponses de connexion. Cela permet aux campagnes de s’étendre tout en restant en dessous des seuils de détection.

Premier succès (point d'appui)

Lorsqu'un compte accepte un mot de passe deviné, l'attaquant obtient l'accès. Il agit ensuite rapidement pour établir une persistance et étendre l'accès avant que la compromission ne soit détectée.

L'attaquant crée des mécanismes d'accès alternatifs tels que des mots de passe spécifiques aux applications ou des jetons API, collecte des informations d'identification supplémentaires, enregistre des jetons OAuth pour des applications tierces ou configure des règles de transfert de boîte aux lettres pour maintenir l'accès même si le mot de passe d'origine est modifié.
Ils énumèrent ensuite l'environnement interne, explorant les applications accessibles, les ressources partagées, les services cloud et les dépôts de données sensibles pour comprendre ce que le compte compromis peut atteindre.
Ils tentent d’escalader les privilèges en exploitant les procédures du helpdesk (par exemple, en se faisant passer pour l’utilisateur afin de réinitialiser les mots de passe des comptes à privilèges élevés), en initiant des flux de réinitialisation de mot de passe pour les comptes administrateurs, ou en lançant des attaques de fatigue MFA (où ils bombardent à plusieurs reprises les utilisateurs légitimes de notifications push MFA jusqu’à ce qu’ils approuvent l’accès).

Cette étape transforme une seule identité compromise en une présence persistante au sein de l'infrastructure de l'organisation.

Résultats

Une fois l'accès établi, les attaquants poursuivent leurs objectifs finaux. Ils peuvent :

Exfiltrer des données sensibles
Lancer une fraude de compromission de courrier électronique professionnel (BEC) via des boîtes aux lettres compromises
Utilisez la prise pour un mouvement latéral à travers le réseau

Ainsi, la brèche initiale s'aggrave en attaques plus sévères telles que le déploiement de ransomware, l'escalade de privilèges vers des comptes administrateurs, ou un accès persistant à long terme pour un espionnage continu. Ce qui commence comme un simple spray de mots de passe peut entraîner des pertes financières importantes, des violations de données et des perturbations opérationnelles.

Diagramme du flux d'attaque

Voici un flux visuel simple de l’attaque par password spraying et un exemple d’histoire du point de vue d’une organisation qui montre comment une campagne de password spraying passe de la reconnaissance à l’impact.

L'annuaire des employés d'une entreprise de logistique est partiellement exposé via LinkedIn et une ancienne fuite de données d'identifiants. Un attaquant établit une liste d'adresses e-mail valides et teste un mot de passe commun sur tous les comptes, espaçant les tentatives de plusieurs jours pour rester en dessous des seuils de verrouillage.

Un compte correspond à la supposition : un coordinateur d'entrepôt qui n'avait jamais mis à jour un mot de passe d'intégration par défaut. L'attaquant configure le transfert de boîte aux lettres, cartographie les partages de fichiers internes, puis utilise un appel d'usurpation d'identité du helpdesk pour réinitialiser le mot de passe d'un administrateur informatique et obtenir l'accès à AD. Au moment où une activité de connexion inhabituelle déclenche une alerte, 11 jours se sont écoulés, les dossiers de paie ont été exfiltrés et un ransomware est déployé sur plusieurs serveurs.

Exemples d’attaques par password spraying

Les attaques par password spraying ont été utilisées dans plusieurs violations réelles contre de grandes organisations. Voici quelques exemples notables.

Case	Impact
Microsoft (2024)	In January 2024, Microsoft disclosed that beginning late November 2023, a nation-state actor (Midnight Blizzard, also known as APT29/NOBELIUM) used a password spray attack to compromise a legacy non-production test tenant account, one that lacked MFA. Using that foothold, the attacker gained access to a very small percentage of Microsoft’s corporate email accounts, including senior leadership, cybersecurity, legal, and other functions. They then exfiltrated emails and attachments from some of those mailboxes, exposing high-value communications.
Citrix (2019)	In March 2019, Citrix announced that the FBI had alerted them to a likely password spraying attack by international cybercriminals. By July, Citrix confirmed that attackers had indeed gained access to its internal network using this method. The attackers accessed a shared network drive storing business documents and a web-tool consulting drive between October 2018 and March 2019. The compromise went undetected for months, during which attackers accessed files containing sensitive personal information of employees, including names, social security numbers, and financial data. Approximately 24,000 individuals were affected, including current and former employees, interns, job candidates, contractors, and beneficiaries. The breach resulted in a class-action lawsuit that led to a $2.275 million settlement to provide victims with credit monitoring and identity theft recovery services. It also led to regulatory scrutiny and reputational damage.
Peach Sandstorm (2023)	Starting February 2023, Peach Sandstorm (an Iranian state-backed threat group) launched a series of password spraying campaigns targeting the defense, satellite, and pharmaceutical sectors in the United States, Saudi Arabia, South Korea, Australia, and the United Arab Emirates. According to Microsoft, the group used anonymized infrastructure, including Tor networks, to hide their activity while attempting to compromise many accounts with common passwords. Once successful, the attackers established persistent access, enabling long-term cyber-espionage and intelligence collection within high-value environments.

Case

Impact

Microsoft (2024)

In January 2024, Microsoft disclosed that beginning late November 2023, a nation-state actor (Midnight Blizzard, also known as APT29/NOBELIUM) used a password spray attack to compromise a legacy non-production test tenant account, one that lacked MFA.

Using that foothold, the attacker gained access to a very small percentage of Microsoft’s corporate email accounts, including senior leadership, cybersecurity, legal, and other functions. They then exfiltrated emails and attachments from some of those mailboxes, exposing high-value communications.

Citrix (2019)

In March 2019, Citrix announced that the FBI had alerted them to a likely password spraying attack by international cybercriminals. By July, Citrix confirmed that attackers had indeed gained access to its internal network using this method. The attackers accessed a shared network drive storing business documents and a web-tool consulting drive between October 2018 and March 2019.

The compromise went undetected for months, during which attackers accessed files containing sensitive personal information of employees, including names, social security numbers, and financial data. Approximately 24,000 individuals were affected, including current and former employees, interns, job candidates, contractors, and beneficiaries. The breach resulted in a class-action lawsuit that led to a $2.275 million settlement to provide victims with credit monitoring and identity theft recovery services. It also led to regulatory scrutiny and reputational damage.

Peach Sandstorm (2023)

Starting February 2023, Peach Sandstorm (an Iranian state-backed threat group) launched a series of password spraying campaigns targeting the defense, satellite, and pharmaceutical sectors in the United States, Saudi Arabia, South Korea, Australia, and the United Arab Emirates. According to Microsoft, the group used anonymized infrastructure, including Tor networks, to hide their activity while attempting to compromise many accounts with common passwords. Once successful, the attackers established persistent access, enabling long-term cyber-espionage and intelligence collection within high-value environments.

Conséquences du password spraying

Les incidents de password spraying montrent comment un seul mot de passe faible peut ouvrir la porte à une compromission à grande échelle, entraînant des conséquences graves et étendues pour une organisation. Voici comment les effets se manifestent dans les principales zones d'impact.

Impact area	Description
Financial	Organizations face direct financial losses from fraudulent transactions, unauthorized fund transfers, and incident response efforts including forensic investigations and system remediation. Regulatory fines under frameworks like GDPR and HIPAA can reach millions of dollars, while cyber insurance premiums can increase. Publicly traded companies can also be hit by stock price volatility and loss of market capitalization.
Operational	The operational impact of password spraying ripples through an organization. Emergency measures such as forced account lockouts and password resets can temporarily halt business operations. During investigations and recovery, critical services may experience downtime, and employees can lose productive work hours. All this adversely affects efficiency and revenue.
Reputational	Public disclosure of a breach erodes customer trust, leading to customer attrition and difficulty in acquiring new clients. Media coverage amplifies the damage by keeping security failures in the public eye. Partner organizations tend to reconsider business relationships due to loss of brand credibility.
Legal/regulatory	Attacks that result in data breaches trigger legal and regulatory consequences. Organizations must meet breach notification requirements, with missed deadlines resulting in penalties. Regulators investigate whether proper security controls were in place, from HIPAA in healthcare to SOX, PCI-DSS, and GDPR in finance and data protection. These incidents can also spark class-action lawsuits for breach of privacy. Contracts with business partners can stand violated, resulting in liability for partner losses.

Cibles courantes du password spraying : Qui est à risque ?

Les attaques de password spraying peuvent cibler toute organisation disposant de comptes en ligne ou de systèmes de connexion exposés. Cependant, certains environnements et utilisateurs sont bien plus attractifs pour les attaquants en raison de l'accès, des données ou des systèmes qu'ils contrôlent. Quelques cibles courantes des campagnes de password spraying sont :

Organizations with externally facing authentication services

Organizations that expose authentication services to the internet are prime targets. Common attack surfaces include:

VPN gateways
Email portals like Outlook Web Access and Microsoft 365/Entra ID
Cloud applications such as Google Workspace and Salesforce

Single sign-on (SSO) and federated identity systems like AD FS, Okta, and Ping Identity are high-value entry points for credential-based attacks. By compromising them, attackers gain access to multiple internal and third-party apps simultaneously.

Industries handling sensitive data

Sectors that store or process confidential or regulated information are especially appealing to threat actors due to the high value of the data.

Healthcare organizations are targeted for patient data and access to electronic health records systems containing HIPAA-protected data.
Financial institutions face risks to online banking platforms, trading applications, and payment processing systems.
Government and defense entities are prime espionage targets due to classified data, extensive contractor networks, and citizen service portals.
At educational institutions, student information systems often use predictable username formats based on student names. Combined with less mature security controls, this makes it easier for attackers to generate valid credential lists for password spraying campaigns.

Users with high-value or privileged accounts

Attackers love to go after accounts that provide administrative access or financial control.

C-suite executives and board members are valuable because their accounts contain sensitive communications and strategic information.
IT administrators control identity systems, servers, and cloud environments, making them highly valuable targets.
Finance and payroll staff are targeted for potential fraud in payroll processing and wire-transfer manipulation.
Service accounts, which have broad access but weaker monitoring, are another common entry point.

Accounts with weak or default credentials

New or forgotten employee accounts with default passwords are low-hanging fruit. Even active users who follow common, predictable password patterns (like CompanyName2025!) pose a risk. Legacy or inactive accounts that remain enabled in the directory are also dangerous, as they are rarely monitored yet may still provide valid access.

Cloud and remote work environments

With remote work and cloud adoption, many employees log in through VPNs, VDIs, or SSO platforms. This creates a large attack surface, where one compromised password can open access to dozens of connected systems.

Évaluation des risques

Le password spraying est une attaque peu coûteuse et largement répandue qui cible les mots de passe faibles et les surfaces d’authentification exposées. Les organisations doivent la considérer comme un risque prioritaire et ajuster les contrôles en conséquence.

Facteur de risque	Niveau
Dommage potentiel	Élevé Une seule compromission réussie peut entraîner la prise de contrôle de la boîte aux lettres, le vol de documents sensibles, la compromission des emails professionnels, un mouvement latéral vers des systèmes critiques, voire la préparation d’un ransomware. Si le compte compromis dispose de privilèges élevés ou d’un accès à SSO, l’impact se multiplie.
Facilité d’exécution	Moyen–Élevé Le password spraying nécessite relativement peu de compétences. Des outils courants, des listes publiques de mots de passe communs, des scripts automatisés et un OSINT basique pour récolter les noms d’utilisateur suffisent pour lancer une attaque. Les acteurs malveillants peuvent monter en puissance grâce à une automatisation simple et des services proxy. Ainsi, réaliser l’attaque n’est pas trivial mais à la portée de nombreux acteurs malveillants.
Probabilité	Élevé La technique de password spraying est peu coûteuse, efficace et largement utilisée dans les attaques. Les campagnes automatisées et les botnets facilitent la cible de nombreuses victimes rapidement. Parce que de nombreuses organisations ont encore des mots de passe faibles ou réutilisés, des portails de connexion exposés ou des endpoints anciens sans MFA, la probabilité d’une attaque par password spraying reste élevée.

Facteur de risque

Niveau

Dommage potentiel

Élevé
Une seule compromission réussie peut entraîner la prise de contrôle de la boîte aux lettres, le vol de documents sensibles, la compromission des emails professionnels, un mouvement latéral vers des systèmes critiques, voire la préparation d’un ransomware. Si le compte compromis dispose de privilèges élevés ou d’un accès à SSO, l’impact se multiplie.

Facilité d’exécution

Moyen–Élevé
Le password spraying nécessite relativement peu de compétences. Des outils courants, des listes publiques de mots de passe communs, des scripts automatisés et un OSINT basique pour récolter les noms d’utilisateur suffisent pour lancer une attaque. Les acteurs malveillants peuvent monter en puissance grâce à une automatisation simple et des services proxy. Ainsi, réaliser l’attaque n’est pas trivial mais à la portée de nombreux acteurs malveillants.

Probabilité

Élevé
La technique de password spraying est peu coûteuse, efficace et largement utilisée dans les attaques. Les campagnes automatisées et les botnets facilitent la cible de nombreuses victimes rapidement. Parce que de nombreuses organisations ont encore des mots de passe faibles ou réutilisés, des portails de connexion exposés ou des endpoints anciens sans MFA, la probabilité d’une attaque par password spraying reste élevée.

Comment prévenir le password spraying

Pour prévenir le password spraying, les organisations doivent adopter des pratiques d'authentification fortes, une surveillance proactive et sensibiliser les utilisateurs. Les mesures suivantes peuvent être utiles.

Appliquer des politiques de mot de passe fortes

La première étape consiste à relever le niveau de robustesse du mot de passe.

Exigez des mots de passe longs et complexes pour les comptes (au moins 14 caractères).
Utilisez des listes de mots de passe interdits ou compromis (comme Have I Been Pwned) et des motifs courants pour empêcher les utilisateurs d’utiliser des mots de passe compromis ou faibles.
Assurez-vous que les comptes nouveaux et par défaut changent leurs mots de passe lors de la première connexion pour éliminer les points d’entrée faciles.

Mettez en œuvre l'authentification multifactorielle

MFA est l’une des défenses les plus efficaces contre le password spraying car elle ferme les voies de contournement courantes.

Déployez MFA sur tous les systèmes accessibles depuis l’extérieur tels que les emails, VPN et applications cloud.
Chaque fois que possible, utilisez des options MFA résistantes au phishing comme les clés de sécurité FIDO2 ou l'authentification basée sur certificat.
Bloquez les protocoles hérités (comme NTLM ou l'authentification basique) qui ne prennent pas en charge la MFA. Assurez-vous que vos plateformes cloud et d'identity n'autorisent que l'authentification moderne afin que les attaquants ne puissent pas s'infiltrer en utilisant des méthodes faibles et obsolètes.

Appliquer le verrouillage du compte et la limitation du débit

Les attaquants s'appuient sur des tentatives de connexion répétées dans le password spraying, vous pouvez donc limiter ces tentatives pour ralentir ou arrêter leur progression.

Définissez les politiques de verrouillage avec soin. Rendez-les suffisamment strictes pour protéger les comptes, mais assez flexibles pour ne pas frustrer les utilisateurs légitimes.
Ajoutez des délais progressifs, des invites CAPTCHA et des verrouillages temporaires après plusieurs tentatives échouées.
Limitez le nombre de tentatives de connexion depuis une seule adresse IP ou un seul appareil pour prévenir les attaques par force brute à grande échelle.

Renforcer la détection et la surveillance

La surveillance continue permet aux organisations de détecter les signes avant-coureurs tôt.

Suivez les tentatives de connexion échouées sur plusieurs comptes depuis la même IP ou région.
Enquêtez sur les pics de verrouillage de comptes, les invites MFA inhabituelles et les connexions depuis des géographies inconnues.
Utilisez des outils de security information and event management (SIEM) ou user and entity behavior analytics (UEBA) pour identifier les schémas « lents et faibles » qui se fondent dans le trafic normal. Détecter ces schémas tôt peut prévenir une violation à grande échelle.

Maintenir l'hygiène des noms d'utilisateur et des identités

La première étape dans une chaîne d'attaque par password spraying est lorsque l'attaquant commence à collecter ou à déduire des noms d'utilisateur valides dans une organisation. Pour cette raison :

Évitez les formats de nom d’utilisateur prévisibles comme “firstname.lastname@company.com” ou “employeeID@domain.com.”
Limitez ou sécurisez toutes les listes accessibles publiquement de noms d’utilisateur, adresses e-mail ou informations sur les employés que les attaquants pourraient utiliser pour constituer des listes valides de noms de connexion.
Configurez vos pages de connexion pour empêcher l'énumération des noms d'utilisateur : ne révélez pas si un nom d'utilisateur est valide lors des tentatives de connexion échouées.
En tant qu'exercice de routine, désactivez les comptes inactifs, de test et hérités qui ne sont pas utilisés mais toujours actifs dans l'annuaire.

Adoptez Zero Trust et les contrôles d’accès

Un modèle Zero Trust limite les dégâts causés par un seul compte compromis.

Appliquez le principe du moindre privilège (PoLP), en accordant aux utilisateurs uniquement l'accès dont ils ont réellement besoin.
Utilisez les politiques d’Accès Conditionnel pour bloquer les IP à risque et appliquer la MFA pour les connexions à haut risque.
Segmentez l'accès entre les systèmes afin qu'une faille ne se propage pas à travers le réseau.

Travailler sur la sensibilisation et la formation des utilisateurs

L'erreur humaine est souvent le maillon le plus faible. Pour y remédier :

Sensibilisez les employés à l'hygiène des mots de passe, aux dangers de la réutilisation des mots de passe et au fonctionnement des attaques par spraying.
Encouragez l'utilisation de gestionnaires de mots de passe pour générer et stocker des mots de passe uniques et complexes.
Menez des campagnes de sensibilisation régulières et des simulations de phishing/attaque par spray de mot de passe pour maintenir de bonnes habitudes.

Utilisez des protections avancées

Les défenses modernes de l'identité vont au-delà des mots de passe. Les organisations devraient :

Déployez des outils d'Identity threat detection & response (ITDR), tels que ceux fournis par Netwrix, pour détecter et contenir les activités suspectes liées à l'identité avant que les attaquants ne passent à l'étape suivante.
Activez les fonctionnalités d'application des mots de passe interdits telles que Microsoft Entra ID Password Protection.
Envisagez de passer à une authentification sans mot de passe, comme les clés FIDO2, la biométrie ou les cartes à puce pour une sécurité renforcée.

Comment Netwrix peut aider

Netwrix propose une gamme de solutions de cybersécurité qui permettent aux organisations d'appliquer une authentification renforcée, de détecter les attaques tôt, de les bloquer en temps réel et de maintenir une hygiène sur l'ensemble des identités.

Appliquez une authentification forte avec Netwrix Password Policy Enforcer

Netwrix Password Policy Enforcer vous permet de définir des politiques de mot de passe détaillées et personnalisées pour bloquer les mots de passe faibles et compromis. Il prend en charge à la fois Active Directory sur site et les environnements cloud comme Microsoft Entra ID. Il peut vérifier les listes de mots de passe divulgués, appliquer des règles différentes par groupe d’utilisateurs et aider à respecter des modèles réglementaires comme NIST et PCI.

Arrêtez les authentifications malveillantes en temps réel avec Netwrix Threat Prevention

Netwrix Threat Prevention surveille et bloque les connexions risquées et les modifications non autorisées en temps réel, telles que les connexions suspectes, les modifications des groupes privilégiés et l’authentification par protocoles hérités. Cela empêche les attaquants d’établir une présence ou de se déplacer latéralement.

Threat Prevention fait partie de la solution Identity Threat Detection & Response (ITDR), qui regroupe plusieurs produits travaillant ensemble. Cette solution permet aux organisations de détecter tôt les attaques centrées sur l’identité, y compris le password spraying, les tentatives de connexion lentes et faibles, l’utilisation abusive des identifiants, l’utilisation de protocoles hérités, les connexions inhabituelles et l’escalade des privilèges dans Active Directory et Entra ID. Elle fournit des analyses en temps réel et des alertes lorsqu’une activité suspecte se produit, guidant les équipes de sécurité pour répondre avant que les attaquants n’escaladent.

Maintenez l'hygiène de l'identité grâce à Netwrix Directory Manager

Netwrix Directory Manager automatise les tâches du cycle de vie des utilisateurs dans l’annuaire, telles que la désactivation des comptes inactifs et hérités, l’application de mots de passe forts sur les nouveaux comptes, et la mise à jour automatique des appartenances aux groupes selon les politiques. Ce type de nettoyage réduit la surface d’attaque disponible pour le password spraying.

Détectez et bloquez les attaques par password spraying avec Netwrix Threat Manager. Téléchargez l'essai gratuit.

Stratégies de détection, d'atténuation et de réponse

Le password spraying est une menace discrète mais à fort impact. Pour détecter les premiers signes, les organisations ont besoin d’une détection rigoureuse, suivie d’une réponse rapide pour contenir et remédier aux dégâts.

Détection

Vous pouvez détecter la campagne de password spraying en recherchant des schémas larges et à faible volume plutôt que des rafales bruyantes.

Corréler les échecs de connexion entre les comptes

Corrélez les échecs de connexion sur plusieurs comptes provenant de la même adresse IP, réseau (ASN) ou chaîne user-agent dans une fenêtre temporelle (par exemple, plus de 5 comptes échouant depuis une IP en 30 minutes). Ce schéma de « même mot de passe essayé partout » est un fort indicateur d’activité de spraying.

Détecter une cadence lente et régulière

Les attaquants exploitent les anciens protocoles car ils manquent de fonctionnalités de sécurité avancées et ne prennent pas en charge MFA. Signalez toute tentative d'authentification utilisant IMAP, POP, SMTP AUTH ou d'autres API obsolètes. Surveillez également les agents utilisateurs inhabituels, les outils automatisés et les applications rarement utilisés dans votre environnement. Faites attention aux tentatives de connexion lentes et régulières réparties sur de nombreux comptes, car elles sont conçues pour rester en dessous des seuils de verrouillage et de détection.

Surveiller les sources à risque

Surveillez les connexions provenant de sources risquées ou anonymisées, telles que les nœuds de sortie Tor, les VPN et les proxies ouverts ou anonymes. Suivez les connexions depuis des IP précédemment signalées pour activité malveillante ou associées à des attaques par vol d’identifiants. Détectez les voyages impossibles (par exemple, un utilisateur se connectant depuis New York, puis depuis Tokyo 30 minutes plus tard) et les anomalies géographiques telles que l’accès depuis des pays ou régions où votre organisation n’a pas de présence. Ces signaux aident à identifier des sources de connexion intrinsèquement suspectes.

Suivez le succès après les échecs

Lorsque vous observez un schéma où plusieurs tentatives de connexion échouées sur plusieurs comptes sont suivies d’une connexion réussie depuis la même IP ou source, restez vigilant. Cette transition est un indicateur très fiable d’une violation.

Règles SIEM/UEBA

Les bases de référence de l’apprentissage automatique détectent des anomalies que les analystes humains peuvent manquer. Configurez des règles SIEM ou UEBA pour détecter les échecs de connexion répartis sur plusieurs comptes, les violations de limitation de débit et les pics soudains de refus MFA ou de verrouillages de compte.

Atténuation

Pour atténuer les attaques par password spraying, prenez des mesures pour rendre les comptes plus difficiles à deviner, plus difficiles à abuser et plus faciles à protéger. En plus des pratiques listées dans la section How to Prevent Password Spraying, adoptez les mesures suivantes pour la mitigation.

Défenses contre les bots et les anomalies

Rendez plus difficile pour les outils automatisés de continuer à deviner les mots de passe. Ajoutez des défis CAPTCHA après plusieurs échecs de connexion répétés, utilisez le fingerprinting des appareils pour reconnaître les schémas suspects, et fiez-vous aux signaux comportementaux (comme la vitesse de frappe ou le moment de la connexion) pour distinguer les humains des bots. Ces petits points de friction peuvent efficacement interrompre la plupart des tentatives automatisées de pulvérisation.

Accès conditionnel

Renforcez les décisions d'accès avec le contexte. Utilisez les politiques d’Accès Conditionnel pour autoriser les connexions uniquement depuis des emplacements de confiance, bloquer les connexions « voyages impossibles » et déclencher une authentification renforcée lorsqu’une connexion semble risquée. Cela garantit que même si les identifiants sont devinés, les attaquants doivent toujours passer par des étapes de vérification supplémentaires.

Hygiène du fournisseur d’identité (IdP)

Sécurisez vos processus d'authentification. Activez les fonctionnalités de protection des mots de passe à l'échelle du tenant (comme les listes de mots de passe interdits), activez le verrouillage extranet dans AD FS pour limiter les tentatives externes de force brute, et configurez des alertes à l'échelle du tenant pour les comportements de connexion suspects. Ces contrôles réduisent la fenêtre d'opportunité pour les attaquants d'exploiter des identifiants faibles ou réutilisés.

Hygiène de l’administrateur

Traitez les comptes administrateurs comme des joyaux de la couronne. Les administrateurs doivent utiliser des comptes séparés pour le travail administratif et quotidien. Appliquez le principe du moindre privilège afin que personne n’ait plus d’accès que nécessaire et éliminez complètement les mots de passe par défaut ou partagés. Mettez en œuvre l’accès just-in-time (JIT) et Just Enough Administration (JEA) pour accorder des privilèges élevés temporaires uniquement lorsque cela est nécessaire. Cela limite l’exposition en cas de compromission d’un compte.

Réponse

Lorsqu’une alerte de détection se déclenche, réagissez. Votre objectif est de contenir les dégâts, de comprendre comment l’attaquant a persisté et de vous assurer que cela ne se reproduise pas.

Contenez rapidement la menace

Bloquez les plages d’IP ou ASN suspectes (ou mettez-les en quarantaine au niveau du WAF ou de la périphérie réseau).
Mettez en place un géorepérage si les attaques proviennent de régions géographiques inattendues.
Révoquez toutes les sessions actives et les tokens de rafraîchissement pour les comptes compromis (pas seulement ceux suspects, car les attaquants ont peut-être déjà bougé latéralement).
Invalidez tous les jetons d’accès ou clés API en cours associés aux comptes affectés.
Appliquez des politiques d'accès conditionnel d'urgence pour exiger MFA, bloquer les connexions risquées ou restreindre l'accès aux réseaux de confiance.
Renforcez temporairement les exigences d’authentification pour bloquer les chemins de connexion risqués.

Réinitialiser les identifiants ciblés

Réinitialisez les mots de passe des comptes ciblés ou compromis avec succès. Utilisez la notation des risques et les indicateurs confirmés de compromission pour guider le processus de réinitialisation des mots de passe.
Appliquer l'inscription MFA.
Supprimez les règles suspectes de transfert de boîte aux lettres, les autorisations d’envoi en tant que et les délégués des comptes compromis et à haut risque.
Révoquez les consentements d’applications OAuth non autorisés et les permissions d’application pour les comptes ciblés.

Chasser la persistance

Rechercher des comptes compromis pour :

Règles de la boîte aux lettres (transfert, suppression, réponse automatique)
Délégués de boîte aux lettres et autorisations d’envoi en tant que/en tant que représentant
Mots de passe d’application et jetons d’authentification hérités (IMAP, POP3, SMTP)
Jetons OAuth et consentements d’application
Clés API et informations d’identification du principal de service
Appareils MFA enregistrés (supprimez les téléphones ou autres authentificateurs ajoutés par des attaquants)
Modifications des méthodes d'authentification enregistrées
Principal de service et enregistrements d’applications avec des autorisations excessives
Modifications de la politique de Conditional Access (les attaquants peuvent affaiblir les politiques de sécurité)
Identifiants enregistrés dans les navigateurs ou les gestionnaires de mots de passe

Supprimez tout ce qui pourrait permettre à l'attaquant de revenir sans se réauthentifier.

Expertise judiciaire et portée

Collectez les journaux d'authentification (connexions Entra ID, journaux système Okta, journaux AD sur site) et les flux réseau (tels que les mouvements latéraux est-ouest, les indicateurs d'exfiltration de données, les schémas de trafic anormaux).
Créez une chronologie des événements, des adresses IP sources, des agents utilisateurs, des applications affectées et des tentatives de connexion réussies ou échouées.
Déterminez quelles données ou quels systèmes ont été consultés.

Notifier les parties prenantes

Informez immédiatement les utilisateurs concernés et guidez-les sur la marche à suivre.
Ensuite, informez la direction, le service juridique, la sécurité informatique et les équipes de conformité selon les besoins.
Mettez à jour les partenaires et fournisseurs si des systèmes ou des données partagés sont affectés.
Si la violation entraîne une non-conformité réglementaire, préparez les notifications réglementaires si applicable.

Désactiver les vecteurs d'attaque

Désactivez les protocoles d'authentification hérités s'ils ne sont pas nécessaires.
Renforcez les politiques de verrouillage de compte et les limites de débit.
Déployez des comptes leurres (honeypots) avec surveillance pour détecter les futures tentatives de spraying.
Mettez à jour les flux de renseignement sur les menaces avec les IP des attaquants, les modèles et les TTP.
Affinez les règles de détection SIEM en fonction des indicateurs d’attaquants observés.
Déployez des mesures d'atténuation à l'échelle de l'organisation.

Leçons apprises

Planifiez une revue formelle post-incident dans un délai d'une à deux semaines après la clôture de l'incident et documentez ce qui a bien fonctionné et ce qui doit être amélioré.
Révisez les runbooks de réponse aux incidents avec les leçons apprises.
Documentez les nouveaux IOC, TTP et signatures de détection.
Réalisez des exercices sur table simulant des scénarios de password spraying.
Réalisez des exercices de purple-team pour valider les améliorations de détection et de réponse.
Exécutez des simulations contrôlées de pulvérisation de mots de passe (avec autorisation) pour tester les contrôles.

Formez le personnel du helpdesk et informatique à reconnaître et répondre aux attaques par compromission d’identifiants.

Impact spécifique à l'industrie

Les attaques de password spraying ont des conséquences différentes selon le secteur. En comprenant les risques spécifiques à chaque industrie, les organisations peuvent prioriser les défenses et adapter la réponse aux incidents.

Industry	Impact
Healthcare	Password spraying attacks create immediate risks to patient safety and regulatory compliance. Compromised credentials expose electronic health records (EHR) and protected health information (PHI), leading to severe HIPAA violations, mandatory breach notifications, financial penalties, additional audits, and loss of patient trust. Compromised patient or provider portals result in account takeovers that lock providers out of critical systems during emergencies while disrupting care coordination, appointment scheduling, and prescription management.
Finance	Threat actors can initiate wire fraud, BEC, and customer account takeovers to redirect funds or steal sensitive financial data. Breaches can expose PCI or GLBA-regulated information, which triggers heavy fines, legal consequences, and regulatory investigations. The reputational impact tarnishes customer confidence and market credibility.
Government	Compromise of government accounts can lead to exposure of citizen records, data manipulation, and service outages. Attackers may exploit breaches to access sensitive internal systems, posing risks to national security and public trust. Agencies also face Freedom of Information Act (FOIA) implications and heightened oversight following such incidents.

Industry

Impact

Healthcare

Password spraying attacks create immediate risks to patient safety and regulatory compliance. Compromised credentials expose electronic health records (EHR) and protected health information (PHI), leading to severe HIPAA violations, mandatory breach notifications, financial penalties, additional audits, and loss of patient trust.

Compromised patient or provider portals result in account takeovers that lock providers out of critical systems during emergencies while disrupting care coordination, appointment scheduling, and prescription management.

Finance

Threat actors can initiate wire fraud, BEC, and customer account takeovers to redirect funds or steal sensitive financial data. Breaches can expose PCI or GLBA-regulated information, which triggers heavy fines, legal consequences, and regulatory investigations. The reputational impact tarnishes customer confidence and market credibility.

Government

Compromise of government accounts can lead to exposure of citizen records, data manipulation, and service outages. Attackers may exploit breaches to access sensitive internal systems, posing risks to national security and public trust. Agencies also face Freedom of Information Act (FOIA) implications and heightened oversight following such incidents.

Évolution des attaques et tendances futures

Les attaques basées sur les mots de passe ont évolué, passant de tentatives bruyantes par force brute à des campagnes furtives et automatisées faisant partie d'opérations de menace plus larges. En analysant l'évolution des attaques et les tendances actuelles, les équipes de sécurité peuvent renforcer leurs défenses en conséquence.

Phase initiale : Force brute simple

Au début, les attaquants utilisaient des tactiques de force brute basiques. Ils essayaient des milliers de combinaisons de mots de passe sur un seul compte jusqu'à ce qu'une fonctionne. Ces attaques déclenchaient souvent des verrouillages de compte ou des limites de taux et étaient faciles à détecter, mais elles ont posé les bases de méthodes plus raffinées.

Changement : Password spraying

À mesure que les organisations renforçaient leurs défenses, les attaquants ont changé de stratégie. Au lieu de tester de nombreux mots de passe sur un compte, ils ont commencé à essayer quelques mots de passe courants sur plusieurs comptes. Cette méthode, appelée password spraying, leur a permis d'éviter les politiques de verrouillage et de rester sous le radar tout en ayant un impact large.

Aujourd'hui : Automatisé et ciblé

Aujourd'hui, le password spraying est entièrement automatisé et intégré dans les campagnes de menaces persistantes avancées (APT) et de ransomware. Les attaquants utilisent des bots, des réseaux proxy et des listes d'identifiants volés pour cibler les services cloud, les plateformes SSO et les fournisseurs d'identité. Ces systèmes donnent accès à presque tout le reste. Le résultat est des attaques plus rapides, plus larges et plus coordonnées avec des conséquences graves en aval.

Futur : Plus intelligent et furtif

À l'avenir, on peut s'attendre à ce que le password spraying soit piloté par l'IA. Il utilisera l'apprentissage automatique pour prédire les modèles de mots de passe, prioriser les cibles et ajuster le comportement en temps réel. Les futures attaques adopteront probablement des techniques “low-and-slow”, étalant les tentatives pour rester invisibles. Les attaquants seront également enclins à des contournements sans mot de passe, où ils voleront des jetons ou des sessions actives au lieu de craquer les mots de passe.

Statistiques clés et infographies

Les chiffres racontent la véritable histoire derrière le password spraying et les attaques basées sur les identifiants. Les statistiques suivantes soulignent pourquoi une authentification forte et une meilleure hygiène des mots de passe sont plus cruciales que jamais.

Dans le 2025 Verizon Data Breach Investigations Report, les analystes ont constaté que 22 % des violations confirmées ont commencé par un abus d'identifiants (comme des mots de passe volés ou réutilisés), et parmi les attaques « Basic Web Application », 88 % impliquaient des identifiants volés.
Selon Microsoft, plus de 99,9 % des comptes compromis ne disposaient pas de MFA au moment de la violation. L'étude a également révélé que les comptes sans MFA étaient particulièrement vulnérables aux attaques de password spraying et de password replay, notamment lors de l'utilisation de protocoles d'authentification hérités comme SMTP, IMAP et POP qui ne prennent pas en charge la MFA.
Selon des analyses récentes (par exemple, par NordPass et d’autres en 2025), des mots de passe tels que “123456,” “password,” “qwerty,” “12345,” et “qwerty123” continuent de dominer les listes principales des mots de passe les plus utilisés.

Attaques quotidiennes sur l'identité

Le graphique suivant montre une forte augmentation des attaques quotidiennes d'identité, passant d'environ 300 millions en 2022 à près de 800 millions au premier semestre 2025. Il met en évidence l'ampleur croissante des menaces basées sur les mots de passe et l'identité.

Types d'attaques d'identité

Le graphique circulaire montre qu'en 2025, 97 % des attaques d'identité étaient basées sur des mots de passe, principalement des attaques par password spraying et par force brute. Cela confirme que les identifiants faibles ou volés restent la cible principale des attaquants.

Croissance de l'adoption de la MFA

Le graphique linéaire montre une croissance régulière de l'adoption de MFA parmi les clients entreprises Microsoft depuis 2014, mais en 2024, 59 % des comptes ne disposent toujours pas de protection MFA.

Réflexions finales

Les attaquants pulvérisent des identifiants sur votre base d’utilisateurs comme la pluie contre les fenêtres. La plupart des tentatives glissent sans dommage, mais ils n’ont besoin que d’un seul point faible pour inonder. La beauté de l’attaque, de leur point de vue, réside dans sa simplicité : peu d’efforts, grand rendement, et presque invisible jusqu’à ce que le dommage soit fait. Ne soyez pas le point faible. Ne laissez pas une seule identité compromise défaire des mois d’investissements en sécurité. Le password spraying réussit précisément parce qu’il ne ressemble pas à une attaque, jusqu’à ce qu’il soit trop tard. Détectez la pulvérisation tôt, fermez les points d’entrée et maintenez l’inondation à distance.

FAQ

Le MFA est-il suffisant pour arrêter les attaques par pulvérisation de mots de passe ?

Quels seuils de verrouillage/taux sont sûrs ?

Comment les organisations peuvent-elles détecter et arrêter les attaques par pulvérisation de mots de passe « lentes et progressives » ?

Les attaques par password spraying peuvent-elles contourner le SSO ?

Existe-t-il des outils spécifiques pour le password spraying ?

Partager sur

Published: Jun 22, 2026

Darryl Baker

Chercheur principal en sécurité

Darryl G. Baker est un chercheur principal en sécurité chez Netwrix et une autorité reconnue en sécurité de l’Identity et d’Active Directory. Avec plus d’une décennie d’expérience dans les systèmes d’identité, il a dirigé des évaluations de sécurité d’entreprise, des formations en sécurité de l’identité et des émulations de menaces axées sur Active Directory, Entra ID et les environnements Azure. Darryl a donné des formations et des démonstrations très appréciées lors de BlueTeamCon, BSidesCT, The Experts Conference et Wild Wild West Hackin’ Fest. Il est l’architecte de nombreux laboratoires pratiques d’émulation d’attaques, utilisant les outils actuels des red teams et blue teams pour aider les défenseurs à maîtriser tout, de l’analyse des chemins d’attaque à la chasse aux menaces. Lors de ses sessions, Darryl allie une profonde expertise technique à des études de cas réels, permettant aux professionnels du blue team de renforcer leur posture de sécurité de l’identité et de se défendre contre les techniques adverses en évolution.

Voir les attaques de cybersécurité associées

Abus des autorisations d'application Entra ID – Fonctionnement et stratégies de défense

Modification de AdminSDHolder – Fonctionnement et stratégies de défense

Attaque AS-REP Roasting - Fonctionnement et stratégies de défense

Attaque Hafnium - Fonctionnement et stratégies de défense

Attaques DCSync expliquées : Menace pour la sécurité d'Active Directory

Attaques d'exploitation gMSA et attaques Golden gMSA expliquées

Guide ultime des attaques Golden SAML

Comprendre les attaques Golden Ticket

Attaque DCShadow – Fonctionnement, exemples concrets et stratégies de défense

Injection de prompt ChatGPT : Comprendre les risques, exemples et prévention

Explication des attaques d'extraction NTDS.dit

Attaque Kerberoasting – Fonctionnement et stratégies de défense

Comprendre les attaques pass-the-hash (PtH)

Explication de l'attaque Pass-the-Ticket : Risques, Exemples et Stratégies de Défense

Comprendre l'extraction des mots de passe en texte clair

Vulnérabilité Zerologon expliquée : Risques, Exploits et Atténuation

Un guide complet des attaques par ransomware

Attaque Skeleton Key : comment ça fonctionne et comment la détecter

Mouvement latéral : Qu'est-ce que c'est, comment ça fonctionne et préventions

Attaques de l'homme du milieu (MITM) : ce qu'elles sont et comment les prévenir

Pourquoi PowerShell est-il si populaire auprès des attaquants ?

4 attaques de compte de service et comment s'en protéger

Comment prévenir les attaques de logiciels malveillants d'affecter votre entreprise

Qu'est-ce que le Credential Stuffing ?

Compromettre SQL Server avec PowerUpSQL

Qu'est-ce que les attaques de Mousejacking et comment se défendre contre elles

Vol de credentials avec un fournisseur de support de sécurité (SSP)

Attaques par tables arc-en-ciel : leur fonctionnement et comment se défendre

Un regard approfondi sur les attaques par mot de passe et comment les arrêter

Reconnaissance LDAP

Contournement de l'authentification multifacteur avec l'attaque Pass-the-Cookie

Attaque Silver Ticket