Qu'est-ce que le Password Spraying et comment pouvez-vous détecter et bloquer les attaques ?

En 2019, un vol de données chez Citrix a secoué le monde de la cybersécurité. Les attaquants ont volé des documents commerciaux à partir d'un lecteur réseau partagé et d'un lecteur associé à un outil basé sur le web utilisé dans la pratique de conseil de Citrix. Les hackers ont obtenu cet accès à l'infrastructure informatique de Citrix par le biais d'une attaque de pulvérisation de mots de passe, une technique qui exploite des mots de passe faibles, ce qui a conduit à des critiques selon lesquelles le géant du logiciel a compromis inutilement ses clients en ne mettant pas en place une stratégie de mots de passe solide.

Citrix n'est pas la seule entreprise à ne pas respecter la sécurité des mots de passe. Lorsqu'une équipe de recherche sur les menaces a analysé tous les comptes utilisateurs Microsoft début 2019, elle a découvert que 44 millions d'utilisateurs utilisaient les mêmes noms d'utilisateur et mots de passe qui avaient déjà été divulgués en ligne après des violations de sécurité sur d'autres services en ligne. Cette tendance est alarmante, car le Rapport sur les enquêtes sur les violations de données 2020 révèle que plus de 80 pour cent des violations liées au piratage impliquent des informations d'identification volées (ou perdues) ou des attaques par force brute.

Les attaques par pulvérisation de mots de passe ne peuvent pas être empêchées, mais elles peuvent être détectées et même arrêtées dans leur élan. Dans cet article, nous expliquons comment ce type d'attaque se déroule, comment vous pouvez repérer les attaques en cours et comment vous pouvez atténuer votre risque de devenir la prochaine victime.

Qu'est-ce qu'une attaque par Password Spraying ?

Les attaques typiques par force brute ciblent un seul compte, testant plusieurs mots de passe pour essayer d'accéder. Les protocoles de cybersécurité modernes peuvent détecter cette activité suspecte et verrouiller un compte lorsque trop de tentatives de connexion échouées se produisent dans un court laps de temps.

Le password spraying inverse la stratégie conventionnelle en tentant de se connecter à plusieurs comptes utilisateurs en utilisant de nombreux mots de passe courants. Essayer un seul mot de passe sur de nombreux comptes différents avant de tenter un autre mot de passe sur les mêmes comptes contourne les protocoles de verrouillage normaux, permettant à l'attaquant de continuer à essayer de plus en plus de mots de passe.

Malheureusement, les attaques par pulvérisation de mots de passe sont souvent couronnées de succès car de nombreux utilisateurs ne respectent pas les password best practices. En fait, les 200 mots de passe les plus courants divulgués lors des data breaches en 2019 comprenaient des combinaisons de chiffres évidentes telles que « 12345 », des prénoms féminins courants, et le mot « password » lui-même. Tout attaquant qui cible un nombre suffisamment grand d'utilisateurs et qui travaille avec une banque assez importante de mots de passe communs finira par pouvoir compromettre certains comptes.

Bien que lancer un large filet soit susceptible de rapporter au moins quelques succès, les hackers avisés d'aujourd'hui s'appuient sur une approche plus précise. Ils ciblent les utilisateurs qui utilisent l'authentification par authentification unique (SSO), espérant deviner des identifiants qui leur donneront accès à plusieurs systèmes ou applications. Ils ciblent également couramment les utilisateurs qui utilisent des services et des applications cloud utilisant une authentification fédérée. Cette approche peut permettre aux attaquants de se déplacer latéralement, car l'authentification fédérée peut aider à masquer le trafic malveillant.

Une fois qu'un compte a été compromis lors d'une attaque par pulvérisation de mots de passe, la victime peut subir une perte temporaire ou permanente d'informations sensibles. Pour les organisations, une attaque réussie pourrait également signifier des opérations perturbées, des pertes de revenus significatives et des dommages à la réputation.

Comment détecter une attaque de Password Spraying

Bien que les contre-mesures conventionnelles puissent ne pas détecter automatiquement les attaques par pulvérisation de mots de passe, il existe plusieurs indicateurs fiables à surveiller. Le plus évident est un nombre élevé de tentatives d'authentification, en particulier des tentatives échouées dues à des mots de passe incorrects, sur une courte période de temps. Naturellement, un indicateur étroitement lié est une augmentation des verrouillages de comptes.

Dans de nombreux cas, le password spraying entraîne une augmentation soudaine des tentatives de connexion impliquant des portails SSO ou des applications cloud. Les parties malveillantes peuvent utiliser des outils automatisés pour tenter des milliers de connexions en peu de temps. Souvent, ces tentatives proviennent d'une seule adresse IP ou d'un seul appareil.

Comment atténuer le risque de devenir victime d'une attaque par pulvérisation de mots de passe

Bien qu'il soit essentiel de pouvoir détecter rapidement les attaques réussies, permettre aux attaquants d'accéder même brièvement à des données sensibles peut s'avérer dévastateur. Une stratégie de cybersécurité solide nécessite une approche globale et proactive qui garantit une protection en couches pour bloquer le plus grand nombre possible d'attaques. Assurez-vous de suivre ces meilleures pratiques :

• Exiger une authentification multi-facteurs pour tous les utilisateurs.
• Assurez-vous que tous les mots de passe respectent les directives du National Institute of Standards and Technology (NIST).
• Établissez des politiques solides pour la réinitialisation des mots de passe après le verrouillage des comptes.
• Développez une stratégie de mot de passe défendable pour les comptes partagés.
• Menez des formations régulières pour les utilisateurs afin de garantir que tous comprennent la menace de la pulvérisation de mots de passe et comment ils peuvent concevoir et maintenir des mots de passe sécurisés.

Comment les solutions Netwrix peuvent aider

La meilleure façon de défendre votre organisation contre les attaques par pulvérisation de mots de passe est d'investir dans un outil de sécurité informatique capable de détecter et de bloquer de manière fiable ces attaques grâce à un audit, des alertes et des rapports complets.

Netwrix Auditor peut vous alerter sur une grande variété d'activités suspectes, y compris des événements indicatifs d'une attaque par pulvérisation de mots de passe, afin que vous puissiez réagir immédiatement pour protéger vos systèmes et données. De plus, il offre une puissante fonction d'audit et de reporting. Les principales caractéristiques incluent :

• Audit et alerte Active Directory. Netwrix Auditor suit les journaux Active Directory et d'autres activités des utilisateurs, y compris tous les tentatives de connexion. Vous pouvez configurer des alertes sur les activités que vous jugez suspectes, y compris des actions uniques comme un utilisateur obtenant des privilèges administratifs ou une séquence d'actions dans un délai spécifié, comme plus de 4 tentatives de connexion échouées en 1 minute. Vous pouvez également facilement consulter l'historique complet des connexions de tout utilisateur.
• Analyse du comportement des utilisateurs. Une vue consolidée des activités inhabituelles et classement des acteurs à risque facilite la détection précoce des comptes compromis et des initiés malveillants, afin que vous puissiez agir pour éviter des problèmes de sécurité.
• Analyse du comportement des utilisateurs et des angles morts.Repérez les acteurs malveillants qui se faufilent dans votre environnement en scrutant facilement l'activité des utilisateurs en dehors des heures normales, les tentatives de connexion de plusieurs utilisateurs à partir d'un seul point de terminaison et les tentatives de connexion d'un seul utilisateur à partir de plusieurs points de terminaison.

Netwrix Auditor vous aide également à renforcer votre posture de sécurité afin que vous soyez moins vulnérable aux attaques par pulvérisation de mots de passe en premier lieu. En particulier, vous pouvez :

• Appliquer les meilleures pratiques en matière de politique de mot de passe avec une visibilité complète sur les paramètres de la politique et des alertes sur les changements.
• Suivez les réinitialisations de mot de passe Azure AD pour maintenir une sécurité renforcée dans le cloud.
• Découvrez et sécurisez les comptes qui ne nécessitent pas de mots de passe ou dont les mots de passe sont configurés pour ne jamais expirer.
• Identifier et désactiver les comptes inactifs avant qu'ils ne puissent être exploités par des attaquants.

En résumé, avec Netwrix Auditor, il est possible de détecter les acteurs malveillants dès le début et de les bloquer proactivement pour les empêcher d'accéder à votre réseau dès le départ.