Password Spraying

Le password spraying est une technique d'attaque par force brute "low and slow" : au lieu de tester de nombreux mots de passe sur un compte (ce qui déclenche le verrouillage), l'attaquant teste un seul mot de passe commun (Password123!, Summer2024!, le nom de la société + année) sur des centaines ou milliers de comptes. Cette approche reste sous les seuils de détection classiques et touche statistiquement quelques utilisateurs ayant un mot de passe faible.

Les cibles privilégiées sont les portails d'authentification exposés : Microsoft 365 (endpoint /common/oauth2/token), VPN SSL (Cisco AnyConnect, Fortinet), Citrix, RDP exposé, OWA. Des outils comme MSOLSpray, Spraycharles, kerbrute, ou des frameworks comme Trevorspray automatisent cette attaque avec rotation IP (proxies, FireProx sur AWS API Gateway pour distribuer depuis 1000+ IPs).

Détection : alertes sur des authentifications échouées depuis la même IP/ASN sur plusieurs comptes, ou un même mot de passe testé sur multiples comptes (corrélation côté IdP). Mitigations : (1) MFA généralisé — surtout phishing-resistant ; (2) politique de mot de passe interdisant les top common passwords (HIBP API, NIST recommendations) ; (3) Smart Lockout (Azure AD) qui détecte les patterns de spray ; (4) Conditional Access bloquant les IPs anonymisantes (Tor, VPN public) et les ASN suspects ; (5) monitoring SIEM (règles Sentinel, Splunk). Les APT comme Iridium/APT33 et Midnight Blizzard (Microsoft 2023) utilisent massivement le password spray.