Table of Contents

Free Active Directory Auditing Tool

Try it now
Microsoft logo on building

Le piratage par pulvérisation de mots de passe de Microsoft prouve que sécuriser chaque compte est important

Table of Contents

Microsoft a publié une déclaration le vendredi 19janvier indiquant que leur réseau d’entreprise avait été compromis par des pirates informatiques soutenus par l’État russe, qui ont pu exfiltrer des e-mails et des documents joints. Le géant du logiciel a déclaré que seul un « très petit pourcentage » des comptes e-mail d’entreprise avaient été consultés, bien que ce piratage par pulvérisation de mots de passe de Microsoft ait inclus des membres de la direction générale et des employés travaillant dans les équipes de cybersécurité et juridiques.

Les pirates ont été identifiés comme des acteurs soutenus par l’État russe connus sous le nom de Midnight Blizzard (ou parfois Nobelium) et Microsoft soupçonne qu’ils recherchaient des informations les concernant. Ce groupe était également responsable du tristement célèbre piratage SolarWinds – l’une des plus importantes violations de cybersécurité du 21e siècle.

Microsoft ne pense pas que les clients soient affectés à ce stade et a déclaré qu’aucun système de production, code source ou système d’IA n’avait été consulté. L’aspect intéressant de ce piratage est qu’il n’a pas exploité une vulnérabilité du système ou du produit Microsoft – c’était aussi simple que de deviner un mot de passe faible ou connu comme compromis sur un compte de test inutilisé.

Selon Darren James, responsable produit senior chez Specops, « Des compromissions comme celle-ci nous montrent que même les organisations les plus puissantes peuvent être victimes des attaques continues et agressives que nous observons à l’échelle mondiale. Les fondamentaux de la sécurité sont vitaux pour suivre le rythme et garder une longueur d’avance sur les adversaires cybernétiques. »

Résumé de l’attaque

  • Qui était ciblé : Microsoft
  • Type d’attaque : Prise de contrôle de compte, Exfiltration de données
  • Technique d’entrée : Pulvérisation de mots de passe, Possible escalade de privilèges
  • Impact : E-mails et fichiers des équipes de direction, de cybersécurité et juridiques consultés
  • Qui était responsable : Pirates informatiques soutenus par l’État russe (Midnight Blizzard/Nobelium)

Comment l’attaque par pulvérisation de mots de passe de Microsoft s’est-elle produite ?

Selon la déclaration de Microsoft, leur équipe de sécurité a initialement détecté le piratage le 12janvier. Après avoir déployé leur processus de réponse, ils ont pu perturber les activités des pirates et leur refuser tout accès supplémentaire. Cependant, il semble que les pirates aient pu avoir accès pendant jusqu’à sept semaines.

Microsoft n’a pas encore fourni tous les détails car leur enquête est en cours, mais ils ont confirmé que les attaquants ont obtenu l’accès en utilisant une attaque par pulvérisation de mots de passe ; une technique de force brute qui consiste à essayer le même mot de passe contre plusieurs comptes. Dans ce cas, ils ont pu compromettre un compte de test hérité non-productif pour obtenir un point d’ancrage initial dans le système Microsoft. D’après les informations que Microsoft a rendues publiques, cela impliquerait que ce compte de test avait soit un nombre inhabituel de privilèges dès le départ, soit que les pirates ont pu escalader leurs privilèges.

Essentiellement, les pirates ont rapidement bombardé les comptes utilisateurs avec un mot de passe faible et compromis connu jusqu’à ce qu’une combinaison fonctionne. Les attaques par pulvérisation de mots de passe réussies signifient généralement l’absence d’authentification multifacteur. Il est également très probable qu’un mot de passe faible ou réutilisé ait été impliqué, car ceux-ci constituent les listes de mots de passe que les pirates utilisent dans les attaques par force brute. À partir de là, ils ont pu accéder aux comptes e-mail appartenant à la direction générale et à ce qui ne peut être que des informations internes sensibles.

Analyse Specops : que pouvons-nous apprendre du piratage de Microsoft ?

Nous entendons souvent des conseils sur l’importance d’accorder une attention particulière à la protection des comptes privilégiés, car ceux-ci ont la plus grande portée et le plus d’accès. Cependant, cette attaque prouve l’importance de protéger tous les comptes. L’escalade de privilèges signifie que les attaquants n’ont pas nécessairement besoin d’un compte administrateur pour atteindre leurs objectifs. Un compte obsolète ou inactif fera l’affaire – et ceux-ci sont souvent ignorés et ont des mots de passe anciens, faibles, voire aucun mot de passe. Les attaquants peuvent ensuite se déplacer de leur point d’entrée initial plus profondément dans un réseau, à la recherche d’actifs de grande valeur.

Nous ne savons pas si les propres protections de Microsoft (Entra Password Protection) ont été appliquées au compte en question, bien qu’il soit probable qu’elles ne l’aient pas été. Cependant, il est possible que ces protections aient été appliquées et que cette attaque ait exploité certaines des lacunes d’Entra Password Protection.

Tout compte utilisateur avec des identifiants de connexion peut devenir la victime initiale. Un attaquant qualifié peut exploiter un compte utilisateur avec des privilèges de niveau inférieur en étendant l’accès au compte volé, en se déplaçant horizontalement entre des comptes avec des niveaux de privilèges similaires, ou en sautant verticalement vers des comptes avec plus de privilèges tels que les comptes d’administrateur ou d’équipe informatique.

Une fois qu’un pirate obtient l’accès à un ensemble d’identifiants, il est considéré comme un utilisateur légitime. À partir de là, il est difficile à détecter (comme le prouve Microsoft qui a mis des semaines à détecter Midnight Blizzard) et a le temps de travailler. Il peut obtenir plus d’informations, rassembler plus d’identifiants, escalader davantage ses privilèges, et même effacer ses traces.

Darren James, responsable produit senior chez Specops, ajoute : « Il y a plusieurs éléments à l’œuvre ici, mais essentiellement il y a eu une panne fondamentale dans l’authentification et un manque de contrôle. Une politique de mots de passe sécurisée est indispensable dans une organisation, en s’assurant que tous les comptes, y compris les comptes hérités, non-productifs et de test, ne sont pas négligés. De plus, bloquer les identifiants compromis connus ajoute une couche supplémentaire de protection pour atténuer les attaques actives, ce qui aurait pu être utile dans ce cas.

« Puisque Microsoft est tissé dans le tissu des affaires mondiales, ce type d’attaque devrait faire réfléchir chaque administrateur pour s’assurer que les bases de la sécurité sont en place. Les protections de base devraient inclure une politique de mots de passe robuste, l’authentification multifacteur et des correctifs réguliers – le tout soutenu par une équipe de direction impliquée et bien informée. »

Protégez chaque compte Active Directory contre la pulvérisation de mots de passe

Ce cas prouve que chaque compte utilisateur dans une organisation présente une opportunité pour les attaquants, des comptes administrateur privilégiés aux comptes de test oubliés et inactifs. Grâce à un mélange de prévention et de détection continue, vous pouvez sécuriser chaque compte contre les attaques par force brute :

  • Authentification multifacteur (MFA) : Activer la MFA met en place un obstacle d’authentification supplémentaire que les pirates doivent surmonter. Cependant, il existe des moyens de contourner la MFA, il est donc toujours important d’exercer une sécurité de mot de passe forte sur tous les comptes comme première étape.
  • Audit Active Directory : Un audit de votre Active Directory peut donner une visibilité sur les comptes inutilisés et inactifs, ainsi que sur d’autres vulnérabilités liées aux mots de passe. Cela peut être une étape précieuse, bien que rappelez-vous que cela ne fournit qu’un instantané plutôt que d’atténuer le risque de manière continue. Intéressé par l’audit ? Exécutez un scan en lecture seule avec notre outil d’audit gratuit et obtenez un rapport interactif exportable.
  • Renforcer les politiques de mots de passe : Votre politique de mots de passe devrait empêcher les utilisateurs finaux de créer des mots de passe faibles composés de termes de base communs ou de parcours de clavier tels que « qwerty » ou « 123456. » Imposer des mots de passe ou phrases de passe longs et uniques est une défense solide contre les attaques par force brute. Les meilleures politiques incluent également des dictionnaires personnalisés qui bloquent les termes liés à votre organisation et industrie spécifiques.
  • Scans de mots de passe compromis : Même les mots de passe forts peuvent être compromis lorsque les utilisateurs finaux réutilisent des mots de passe professionnels sur des appareils personnels, des sites et des applications avec une sécurité faible. Vous devriez envisager d’ajouter des outils pour scanner votre Active Directory à la recherche de mots de passe connus pour être impliqués dans des violations. Gardez à l’esprit que certaines solutions ne scannent qu’aux événements de réinitialisation, tandis que des solutions comme Specops Password Policy avec Breached Password Protection peuvent scanner en continu les mots de passe compromis dans votre environnement.

Intéressé par l’amélioration de votre sécurité d’accès ? Contactez-nous et parlez à un expert Specops dès aujourd’hui.

(Dernière mise à jour le 22/07/2025)

Back to Blog

Free Active Directory Auditing Tool!

Try it now

© 2025 Specops Software. All rights reserved.

Ce site est enregistré sur wpml.org en tant que site de développement. Passez à un site de production en utilisant la clé remove this banner.