La pulvérisation de mot de passe
Du fait de sa popularité, la plateforme Microsoft 365 est une cible de choix pour les pirates. La technique la plus courante pour s’attaquer à cette plateforme est le phishing (hameçonnage). Mais ce n’est pas la seule technique. Une technique courante est la pulvérisation de mot de passe.
Lorsque vous pensez au piratage de mots de passe, on imagine souvent un pirate informatique essayant plusieurs centaines de mots de passe sur un même compte. Bien que cela se produise encore, ce n’est pas toujours ce qui se passe.
Si une attaque de piratage «normale» implique l’essai de plusieurs mots de passe différents sur quelques comptes, la pulvérisation de mots de passe en est l’inverse. C’est quand un pirate informatique a accès à de nombreux noms de compte différents et tente de les y entrer en utilisant seulement quelques mots de passe afin de ne pas bloquer le compte utilisateur.
Les pirates informatiques ne réaliseront pas la méthode de piratage «normale» si la sécurité du compte est limitée. Un système sécurisé remarquera que quelqu’un tente à plusieurs reprises d’accéder à un compte et le verrouillera pour protéger la confidentialité de la cible. De cette façon, ils maximisent les chances qu’ils puissent passer à travers cette petite fenêtre d’opportunité.

Le portail d’administration Azure Active Directory vous propose un outil de détection des risques.
Sécurité – Centre d’administration Azure Active Directory
Pour bénéficier de ces éléments de détection, il faut que vous ayez au moins une licence AD Azure Premium Plan 1, idéalement Plan 2 qui donne plus d’éléments de détails sur la détection des risques.
Les risques sont classés en 3 catégories, Haute, Moyen et Bas. Les risques ‘Bas’ sont à surveiller, les risques ‘Moyen’ sont à surveiller de très près, et les risques ‘Haut’ nécessitent une action immédiate.
Les types de détection, cette liste est assez complète, cela va de la simple détection d’un navigateur suspect à la pulvérisation des mots de passe, en passant par la détection d’adresse IP jugées malveillantes.
Pour un risque élevé, et en fonction du type de détection, l’action à prendre sera différente !
Dans cet exemple, il s’agit de ‘Pulvérisation de mot de passe’, ce qui signifie que les comptes utilisateurs victimes ont été piratés.
Les actions rapides à prendre sont
- Bloquer les comptes utilisateurs
- Faire un reset de leur mot de passe
- Une révocation de leurs sessions
- Débloquer les comptes utilisateurs
- Communiquer le nouveau mot de passe aux utilisateurs concernés
Mais ces actions n’empêcheront pas que la situation se reproduise, très rapidement. Si ces comptes ont été piratés une première fois, il est fort à parier qu’ils seront la cible privilégiée pour de nouvelles tentatives.
Une première stratégie est de mettre en place, un accès conditionnel pour activer l’authentification forte vis-à-vis de connexions venant d’emplacements jugés à risque. Je propose donc de créer un ‘Emplacement nommés’ reprenant tous les pays jugés à risque. Pour faire simple, dans mon cas, excepté la Belgique, tous les autres pays sont jugés à risque. Lorsque un utilisateur se connecte à ma plateforme Microsoft 365, si sa connexion est jugée à risque, une authentification multi facteurs lui sera demandée. Je vous renvoies vers un article précédent qui traite des accès conditionnels et emplacements nommés : Bloquer l’accès à Microsoft 365 sur base de l’emplacement – Le Blog de Teamy
Une deuxième stratégie, est la mise en place d’un processus de détection automatique des connexions à risque.
Si une connexion à risque est identifiée, celle-ci sera bloquée automatiquement. A vous de décider de bloquer les connexions selon le niveau de risque.
Une troisième stratégie, est la mise en place d’un processus de détection automatique des utilisateurs à risque.
Si le comportement d’un utilisateur est jugé à risque, celui-ci sera bloqué automatiquement. A vous de décider de bloquer les connexions selon le niveau de risque.
Ces trois stratégies, sont déjà une bonne approche pour se prémunir de toute attaque malveillante envers vos utilisateurs. Le risque zéro n’existant pas, je vous invite à régulièrement consulter le rapport de détection des risques. Sécurité – Centre d’administration Azure Active Directory
Et pourquoi pas, épingler un raccourci sur votre tableau de bord AD Azure
Comment avez-vous trouvé ce billet ?
N'hésitez pas à voter !
Score moyen 5 / 5. Nombre de vote 7