EtcSecBeta
🏢Active Directory☁️Entra IDAttack PathsPasswordMonitoring

Password Spraying : détection et prévention dans Active Directory et Entra ID

Le password spraying teste un petit nombre de mots de passe courants sur de nombreux comptes afin d'éviter les verrouillages et d'identifier les identités faibles. Voici comment la technique fonctionne, comment la détecter et comment réduire l'exposition dans AD et Entra ID.

ES
EtcSec Security Team
16 min read
Disponible enEnglishFrançais
Password Spraying : détection et prévention dans Active Directory et Entra ID

Qu’est-ce que le Password Spraying ?

Le password spraying est une technique de brute force qui teste un seul mot de passe, ou une très petite liste de mots de passe courants, contre de nombreux comptes au lieu d’essayer beaucoup de mots de passe contre un seul compte. MITRE le classe en T1110.003 sous Brute Force.

Ce mode opératoire est important, car il est conçu pour éviter les effets les plus visibles du brute force classique. Au lieu de verrouiller rapidement un seul compte après une série d’échecs, l’attaquant répartit quelques tentatives sur un grand nombre d’identités et attend de tomber sur la plus faible.

Le périmètre de cet article est l’identité hybride : Active Directory, Microsoft Entra ID et les chemins cloud ou d’accès distant qui acceptent encore une authentification fondée sur le mot de passe. Le password spraying n’est pas seulement un sujet on-prem. La CISA et Microsoft le décrivent toutes deux comme un schéma d’accès initial fréquent contre les services d’identité fédérés, cloud et exposés sur Internet.

Comment fonctionne le Password Spraying

La définition de MITRE est le bon point de départ : l’adversaire utilise un mot de passe unique, ou une petite liste de mots de passe fréquemment utilisés, contre de nombreux comptes différents afin d’éviter les verrouillages de compte qui se produiraient normalement s’il bruteforçait un seul compte de manière répétée.

En pratique, les attaquants commencent par construire une liste de cibles puis appliquent ensuite quelques mots de passe candidats faibles.

Sources courantes de comptes visés :

  • noms d’utilisateur ou adresses e-mail exposés publiquement
  • conventions de nommage déduites de LinkedIn, du site de l’entreprise ou de carnets d’adresses compromis
  • Global Address Lists une fois qu’un premier compte cloud est compromis
  • identités hybrides synchronisées, présentes à la fois dans AD et dans Microsoft Entra ID

Chemins d’attaque typiques :

  • points de connexion Microsoft 365 / Entra
  • flux d’authentification fédérés
  • portails VPN
  • Outlook Web ou autres interfaces mail exposées
  • RDP ou autres flux d’accès distant publiés vers l’extérieur
  • LDAP, Kerberos, SMB ou autres protocoles internes une fois que l’attaquant est déjà dans le réseau

MITRE souligne aussi une nuance utile côté détection : les attaquants peuvent préférer des tentatives d’authentification LDAP et Kerberos, car elles sont parfois moins visibles que des échecs SMB qui génèrent plus souvent l’événement 4625.

Pourquoi le Password Spraying fonctionne encore

Le password spraying reste efficace parce qu’il exploite l’échelle et la prédictibilité, pas seulement une faiblesse technique isolée.

Des mots de passe faibles existent encore à l’échelle de l’entreprise

La documentation Microsoft Entra Password Protection est explicite sur ce point : Microsoft bloque des mots de passe faibles sur la base d’une télémétrie réelle de password spraying, précisément parce que les mots de passe faibles et leurs variantes restent suffisamment répandus pour poser un problème opérationnel.

Des chemins password-only restent exposés

L’alerte CISA sur le brute force et les rapports plus récents de Microsoft sur les intrusions cloud convergent sur le même point faible : si une cible expose encore un accès à facteur unique fondé sur le mot de passe, une seule réussite peut suffire pour lancer de la reconnaissance, de la persistance ou des mouvements latéraux.

Les chemins legacy et fédérés élargissent la surface d’attaque

La CISA prévient explicitement que les campagnes de password spraying ciblent fréquemment les applications SSO et cloud utilisant une authentification fédérée. Les rapports plus récents de Microsoft montrent aussi le spraying comme étape initiale avant une reconnaissance plus large du tenant Entra et des tentatives de persistance.

Le mode low-and-slow évite les verrouillages les plus bruyants

L’objectif du spraying n’est pas la vitesse sur un seul compte. L’objectif est la fiabilité sur un grand nombre de comptes sans franchir trop rapidement les seuils de verrouillage par identité.

Préconditions pour qu’une attaque de Password Spraying réussisse

Le password spraying réussit généralement lorsque plusieurs faiblesses se chevauchent.

1. L’attaquant peut énumérer des noms d’utilisateur valides

Une campagne de spraying devient beaucoup plus simple si les noms d’utilisateur suivent des schémas prévisibles ou sont faciles à découvrir depuis l’extérieur. Formats d’adresses publics, alias d’administration prévisibles et noms d’identités réutilisés entre cloud et on-prem aident tous l’attaquant.

2. Une authentification par mot de passe reste exposée

Si le tenant ou l’environnement laisse encore des chemins utiles accessibles par mot de passe, l’attaquant a quelque chose à asperger. Cela inclut les connexions cloud, le VPN, l’accès distant, la fédération et certaines surfaces d’authentification internes.

3. La base de mots de passe est assez faible pour qu’une petite liste de candidats fonctionne

C’est précisément le problème de contrôle que traite Sécurité des mots de passe Active Directory : erreurs critiques. Un spray fonctionne parce qu’une partie des utilisateurs choisit encore des mots de passe faibles, prévisibles ou thématiques pour l’organisation.

4. La couverture MFA est incomplète ou contournable sur le chemin visé

Même lorsqu’un spray n’obtient qu’un mot de passe valide, le compte devient beaucoup moins exploitable si une MFA forte ou des contrôles résistants au phishing sont réellement en place sur le chemin de connexion concerné. La CISA cite explicitement l’absence de MFA parmi les caractéristiques fréquentes des environnements compromis.

5. Le monitoring est trop faible pour reconstruire le motif global

Quelques tentatives ratées sur un seul compte sont faciles à ignorer. Le vrai signal est un grand nombre d’échecs sur un grand nombre de comptes depuis la même source, la même famille d’infrastructure ou le même motif temporel. Sans cette corrélation, le password spraying reste facile à manquer.

La chaîne d’attaque

Une chaîne d’intrusion typique fondée sur le password spraying ressemble à ceci.

Étape 1 - Construire la liste de comptes

L’attaquant collecte des noms d’utilisateur à partir de sources publiques, de fuites précédentes, de carnets d’adresses ou de boîtes mail déjà compromises.

Étape 2 - Choisir une petite liste de mots de passe

Les mots de passe retenus sont généralement saisonniers, liés à l’entreprise ou suffisamment courants pour respecter les règles de complexité tout en restant prévisibles.

Étape 3 - Assembler les tentatives sur un grand nombre de comptes

Au lieu d’insister sur un seul utilisateur, l’attaquant teste un petit ensemble de mots de passe sur beaucoup d’utilisateurs et espace les tentatives afin d’éviter les seuils de verrouillage les plus évidents.

Étape 4 - Utiliser le premier compte compromis pour la reconnaissance

Le reporting Microsoft sur Peach Sandstorm illustre bien le risque réel : un seul compte réussi peut suffire à faire de la découverte de tenant, à tenter de la persistance ou à lancer une reconnaissance cloud plus large.

Étape 5 - Étendre l’accès

À partir de là, l’attaquant peut :

  • collecter plus de noms d’utilisateurs et de rôles
  • télécharger des mails ou la Global Address List
  • viser ensuite des utilisateurs privilégiés
  • pivoter vers des applications, abonnements ou composants d’infrastructure liés à l’identité compromise

C’est pour cela que le password spraying n’est pas simplement un problème d’échecs de connexion. C’est un problème d’accès initial qui devient fréquemment un problème de privilèges et de persistance.

Password Spraying vs autres techniques de brute force

Ces termes sont souvent confondus, mais ils ne désignent pas la même chose.

  • Password spraying = un ou quelques mots de passe testés sur beaucoup de comptes
  • Password guessing = des tentatives plus directes contre un seul compte
  • Credential stuffing = réutilisation de paires identifiant / mot de passe déjà connues depuis d’autres fuites
  • Brute force classique = beaucoup de tentatives sur une seule identité ou un seul secret jusqu’à succès

Cette distinction compte opérationnellement, car les stratégies de détection et de verrouillage ne sont pas les mêmes.

Détection

Il n’existe pas de détecteur universel unique du password spraying, car la technique traverse les surfaces cloud, fédérées et on-prem. Le bon modèle de détection est encore une fois un modèle de corrélation.

Signaux orientés cloud et Entra

Pour Microsoft Entra ID, les signaux les plus utiles incluent :

  • échecs de connexion répétés contre de nombreux utilisateurs depuis la même IP, le même cluster d’infrastructure ou le même user agent
  • le même motif de mot de passe candidat testé sur de nombreux comptes au fil du temps
  • comportements répétés de Smart Lockout ou de blocage de connexion sur de nombreux comptes depuis la même source
  • activité de risque moyen ou élevé sur les connexions, associée à des échecs répétés de mot de passe ou à une infrastructure suspecte
  • usage d’authentification legacy sur des chemins d’identité exposés sur Internet

La documentation Smart Lockout de Microsoft ajoute plusieurs faits importants :

  • Smart Lockout est activé par défaut pour les tenants Microsoft Entra
  • le seuil par défaut est de 10 tentatives ratées pour Azure Public et de 3 pour Azure US Government
  • la durée de verrouillage par défaut démarre à 60 secondes puis augmente après des échecs répétés
  • Smart Lockout suit les trois derniers hashes de mauvais mot de passe, de sorte que la répétition du même mauvais mot de passe n’incrémente pas indéfiniment le compteur
  • ce suivi par hash n’est pas disponible en pass-through authentication, car l’authentification se fait on-premises

Ces détails sont importants, car de nombreuses équipes surestiment ce qu’un verrouillage seul peut réellement faire dans un environnement hybride.

Signaux AD et on-prem

Pour la supervision Windows on-prem, les signaux utiles incluent :

  • des pics d’échecs 4625 depuis une même source contre de nombreux comptes lorsque SMB ou des chemins similaires sont impliqués
  • des échecs de pré-authentification Kerberos 4771 sur de nombreux utilisateurs dans une courte fenêtre
  • des échecs LDAP ou Kerberos qui s’alignent sur un motif multi-comptes même lorsqu’ils ne ressemblent pas à une séquence SMB classique
  • la même source ou le même chemin de relais touchant de nombreuses identités à faible cadence mais de manière répétée

MITRE prévient explicitement que les tentatives LDAP et Kerberos sont parfois moins susceptibles de produire les motifs d’échecs Windows les plus visibles sur lesquels les défenseurs s’appuient, ce qui rend la supervision sécurité AD directement pertinente ici.

À quoi ressemble une bonne corrélation

Une bonne détection du password spraying est généralement formulée comme suit :

  • une IP, un ASN, un user agent ou un petit ensemble d’infrastructures
  • de très nombreux noms d’utilisateur ciblés
  • très peu de tentatives par compte
  • un motif répétitif de mot de passe candidat ou de timing
  • un ou deux comptes réussis suivis de découverte ou d’activité orientée privilèges

Pourquoi Smart Lockout et les logs ne suffisent pas à eux seuls

Smart Lockout réduit le risque, mais Microsoft précise qu’il ne garantit pas qu’un utilisateur légitime ne sera jamais verrouillé et qu’il ne remplace ni une authentification plus forte ni une meilleure politique de mot de passe. Une bonne détection dépend toujours de la revue des logs, de l’alerting et de la connaissance exacte des surfaces exposées.

Remediation / Remédiation

La mitigation du password spraying ne se résume pas à une politique de mot de passe. C’est la combinaison de mots de passe plus robustes, de moins de chemins password-only exposés, de contrôles post-mot-de-passe plus forts et d’une meilleure protection des points de jonction de l’authentification hybride.

1. Imposer une MFA forte sur les chemins d’identité exposés

La CISA et Microsoft recommandent toutes deux la MFA comme mesure centrale. Pour les systèmes d’identité exposés sur Internet, en particulier Microsoft 365, les portails d’administration, le VPN et les accès distants, un mot de passe obtenu par spray ne doit pas suffire à aller plus loin.

C’est aussi pour cela que Sécurité des identités Azure : pourquoi le MFA seul ne suffit pas et Failles d’accès conditionnel Azure : contournement du MFA sont directement liés à ce sujet. La MFA doit être présente sur les bons chemins et réellement appliquée correctement.

2. Utiliser correctement Smart Lockout dans Entra

Microsoft documente Smart Lockout comme protection par défaut contre le brute force et le password spraying, mais les équipes hybrides doivent le paramétrer intelligemment :

  • garder le seuil Microsoft Entra plus bas que le seuil de verrouillage on-prem AD DS
  • garder la durée de verrouillage Entra plus longue que celle d’AD DS
  • comprendre que la pass-through authentication modifie une partie du comportement de Smart Lockout
  • vérifier que la politique de verrouillage on-prem n’introduit pas surtout des problèmes de disponibilité sans réduire réellement le risque de spray

3. Déployer Microsoft Entra Password Protection

Microsoft Entra Password Protection est l’un des contrôles anti-spray les plus clairs disponibles, car il est construit autour d’une télémétrie réelle d’attaques et bloque les mots de passe faibles connus ainsi que leurs variantes.

Points d’implémentation importants d’après la documentation Microsoft :

  • les tenants cloud bénéficient par défaut de la liste globale de mots de passe bannis
  • des mots de passe bannis personnalisés peuvent être ajoutés pour couvrir des termes faibles propres à l’organisation
  • AD DS on-prem peut bénéficier de la même famille de contrôles via les agents Microsoft Entra Password Protection
  • Microsoft recommande de commencer un déploiement on-prem en mode Audit avant de passer en mode Enforced

Ce point compte particulièrement dans les environnements hybrides, où l’attaquant est tout aussi heureux de viser les mots de passe on-prem que les mots de passe cloud.

4. Réduire l’authentification legacy et les surfaces password-only exposées

L’authentification legacy reste attrayante, car elle maintient souvent des chemins d’accès plus anciens, fondés sur le mot de passe, et contourne une partie des contrôles plus forts disponibles dans les flux modernes. Si elle reste activée, les défenseurs laissent encore des voies d’entrée moins coûteuses à l’attaquant.

Ce point est directement lié à Durcissement du tenant Azure : corriger les configs à risque et plus largement à la revue de votre accès conditionnel.

5. Traiter les identités privilégiées différemment du reste de la population

Une réussite sur un utilisateur à faible valeur est déjà mauvaise. Une réussite sur un compte privilégié est souvent l’incident réel. Cela implique :

  • des exigences MFA plus strictes pour les rôles privilégiés
  • des restrictions de connexion plus fortes pour les identités administratives
  • une revue active des utilisateurs privilégiés obsolètes et des comptes d’urgence
  • une réinitialisation rapide et une investigation immédiate dès qu’un compte privilégié est ciblé ou verrouillé

C’est ici que Azure Identity Protection : automatiser la réponse aux credentials divulgués et Comptes obsolètes et sur-privilégiés dans AD deviennent partie intégrante de la même histoire de mitigation.

6. Traiter un compte compromis par spray comme une compromission, pas seulement comme un mot de passe faible

Le reporting Microsoft est utile ici : une fois qu’un spray réussit, l’acteur pivote souvent rapidement vers la reconnaissance, la persistance et les mouvements latéraux. Il faut bien sûr réinitialiser le mot de passe, mais aussi révoquer les sessions, revoir les changements MFA, inspecter l’activité de suivi et vérifier si le compte compromis a exposé d’autres données cibles.

Validation après durcissement

Il ne faut pas clore la remédiation du password spraying parce que Smart Lockout est activé ou parce qu’une nouvelle politique de mot de passe a été annoncée. Il faut valider directement les surfaces exposées.

  • vérifier quels chemins exposés sur Internet acceptent encore une authentification password-only
  • confirmer que la MFA est imposée sur ces chemins, surtout pour les administrateurs et les comptes à forte valeur
  • tester le comportement de Smart Lockout et le comparer aux paramètres de verrouillage AD on-prem dans les environnements hybrides
  • revoir les logs de connexion pour identifier des motifs d’échecs larges sur de nombreux utilisateurs, et pas seulement des verrouillages isolés
  • confirmer que Microsoft Entra Password Protection est actif dans le cloud et, lorsque c’est prévu, on-premises
  • vérifier si des termes faibles spécifiques au tenant, comme le nom de l’entreprise, du produit ou des motifs saisonniers, sont bien couverts dans la liste personnalisée de mots de passe bannis

Le vrai critère de succès est simple : une petite liste de mots de passe communs ne doit plus produire de point d’appui utile, ni dans le cloud ni on-prem.

Comment EtcSec détecte les expositions liées

EtcSec n’a pas besoin d’un faux tag de taxonomie password spraying pour être utile ici. La valeur vient des contrôles environnants qui déterminent si un spray réussit ou échoue.

Les findings sous-jacents les plus proches sont ceux qui rendent une campagne de spray praticable dès le départ : politique de mot de passe faible côté AD et absence d’exigence MFA sur des chemins exposés côté Entra. Ce ne sont pas exactement la même chose que la technique d’attaque, mais ce sont les défauts de contrôle qui transforment un spray large en point d’entrée utile.

Les contrôles liés les plus pertinents sont :

Ensemble, ces contrôles indiquent si l’environnement se présente encore comme une cible facile pour un spray.

Contrôles liés

Le password spraying se traite idéalement avec l’hygiène de mot de passe, l’application correcte de la MFA, Smart Lockout, la réponse au risque d’identité et la supervision. Si vous voulez réduire le succès réel des sprays et pas seulement réduire des échecs visibles, il faut examiner ce sujet avec Sécurité des mots de passe Active Directory : erreurs critiques, Sécurité des identités Azure : pourquoi le MFA seul ne suffit pas, Azure Identity Protection : automatiser la réponse aux credentials divulgués, Failles d’accès conditionnel Azure : contournement du MFA, Comment auditer la sécurité Microsoft Entra ID (Azure AD) : guide pratique et Durcissement du tenant Azure : corriger les configs à risque.

Sources officielles

🏢 Active Directory☁️ AzureAttack PathsPasswordMonitoring
Password Spraying dans AD et Entra ID : détection | EtcSec