La pulvérisation de mot de passe


Du fait de sa popularité, la plateforme Microsoft 365 est une cible de choix pour les pirates.  La technique la plus courante pour s’attaquer à cette plateforme est le phishing (hameçonnage).  Mais ce n’est pas la seule technique.  Une technique courante est la pulvérisation de mot de passe. 

 

Lorsque vous pensez au piratage de mots de passe, on imagine souvent un pirate informatique essayant plusieurs centaines de mots de passe sur un même compte. Bien que cela se produise encore, ce n’est pas toujours ce qui se passe. 

 

Si une attaque de piratage «normale» implique l’essai de plusieurs mots de passe différents sur quelques comptes, la pulvérisation de mots de passe en est l’inverse. C’est quand un pirate informatique a accès à de nombreux noms de compte différents et tente de les y entrer en utilisant seulement quelques mots de passe afin de ne pas bloquer le compte utilisateur.


Les pirates informatiques ne réaliseront pas la méthode de piratage «normale» si la sécurité du compte est limitée. Un système sécurisé remarquera que quelqu’un tente à plusieurs reprises d’accéder à un compte et le verrouillera pour protéger la confidentialité de la cible. De cette façon, ils maximisent les chances qu’ils puissent passer à travers cette petite fenêtre d’opportunité.

Le portail d’administration Azure Active Directory vous propose un outil de détection des risques. 

Sécurité – Centre d’administration Azure Active Directory

Pour bénéficier de ces éléments de détection, il faut que vous ayez au moins une licence AD Azure Premium Plan 1, idéalement Plan 2 qui donne plus d’éléments de détails sur la détection des risques.

Azure Active Directory Premium Pl 
Ensemble fiable de fonctionnalités pour les organisations 
ayant des besoins importants en termes de gestion des 
identités et des accès. 
À partir de 5,10 € licences/mois 
Comparaison 
Détails

Azure Active Directory Premium P2 
Azure Active Directory Premium P2: A comprehensive 
cloud Identity and access management solution with 
advanced identity protection for all your users and... 
partir de 7,60 € licences/mois 
Détails 
Co 
mparalson

Les risques sont classés en 3 catégories, Haute, Moyen et Bas. Les risques ‘Bas’ sont à surveiller, les risques ‘Moyen’ sont à surveiller de très près, et les risques ‘Haut’ nécessitent une action immédiate.

Les types de détection, cette liste est assez complète, cela va de la simple détection d’un navigateur suspect à la pulvérisation des mots de passe, en passant par la détection d’adresse IP jugées malveillantes.

 

Détections utilisateur Détections d'identité de charge de travail Heure de la détection 19/02/2022 19/02/2022 19/02/2022, 19/02/2022 19/02/2022, 19/02/202Z 19/02/2022, 18/02/2022 21:01 18/02/2022, 18/02/2022, 21:01:07 18/02/2022, 18/02/2022, 20:24:00 18/02/2022 utilisateur Adresse IP 52.224.2.156 403.127.50 50.29.220.9 746827.1 27.157.103.101 149202.80.59 47.109.40.23 162255.108.205 196206.34.201 107.172.6180 103.9.159.235 185.17160.114 89.169.0.126 Emplacement Washington, Virginia, US Aberdeen, Hong Kong, HK Girardville. Pennsylvania, US Queens Village, New York, US Zhangzhou, Fujian, CN Grenoble, Isere, FR Hangzhou, Zhejiang, CN Eltopia, Washington, us Rabat, Rabat-Sale-Kenitra. MA Buffalo, New York, US HO Chi Minh City, HO Chi Mi... AL Mytishchi, Moskovskaya Obi... Type de détection TJ Pulvérisation de mot de passe pulvérisation de mot de passe Pulvérisation de mot de passe pulvérisation de mot de passe Pulvérisation de mot de passe Pulvérisation de mot de passe Pulvérisation de mot de passe pulvérisation de mot de passe Pulvérisation de mot de passe Pulvérisation de mot de passe Pulvérisation de mot de passe Pulvérisation de mot de passe Pulvérisation de mot de passe État à risque Corrigé Corrigé Corrigé Corrigé Corrigé Corrigé Corrigé Corrigé Corrigé Corrigé Corrigé Corrigé Corrigé Niveau de risque Haute Haute Haute Haute Haute Haute Haute Haute Haute Haute Haute Haute Haute

 

 

Pour un risque élevé, et en fonction du type de détection, l’action à prendre sera différente !

Dans cet exemple, il s’agit de ‘Pulvérisation de mot de passe’, ce qui signifie que les comptes utilisateurs victimes ont été piratés.
 

Les actions rapides à prendre sont

  • Bloquer les comptes utilisateurs
  • Faire un reset de leur mot de passe
  • Une révocation de leurs sessions
  • Débloquer les comptes utilisateurs
  • Communiquer le nouveau mot de passe aux utilisateurs concernés

 

 

Mais ces actions n’empêcheront pas que la situation se reproduise, très rapidement.  Si ces comptes ont été piratés une première fois, il est fort à parier qu’ils seront la cible privilégiée pour de nouvelles tentatives.

Une première stratégie est de mettre en place, un accès conditionnel pour activer l’authentification forte vis-à-vis de connexions venant d’emplacements jugés à risque.  Je propose donc de créer un ‘Emplacement nommés’ reprenant tous les pays jugés à risque.  Pour faire simple, dans mon cas, excepté la Belgique, tous les autres pays sont jugés à risque.  Lorsque un utilisateur se connecte à ma plateforme Microsoft 365, si sa connexion est jugée à risque, une authentification multi facteurs lui sera demandée.  Je vous renvoies vers un article précédent qui traite des accès conditionnels et emplacements nommés : Bloquer l’accès à Microsoft 365 sur base de l’emplacement – Le Blog de Teamy

Une deuxième stratégie, est la mise en place d’un processus de détection automatique des connexions à risque.
Si une connexion à risque est identifiée, celle-ci sera bloquée automatiquement.  A vous de décider de bloquer les connexions selon le niveau de risque.

 

Identity Protection – Microsoft Azure

Nom de la stratégie 
Stratégie de remédiation des risques liés aux 
con 
Affectations 
Utilisateurs 
Tous les utilisateurs 
Risque de connexion Q) 
Élevé 
Contrôle 
Accès G) 
Bloquer l'accès

Risque de connexion 
x 
Stratégie de remédiation des risques liés aux conn... 
Configurez les niveaux de risque utilisateur 
nécessaires à l'application de la stratégie 
Sélectionnez les contrôles à appliquer. 
@ Élevé 
C) Moyen et supérieur 
O Faible et supérieur

Une troisième stratégie, est la mise en place d’un processus de détection automatique des utilisateurs à risque.

Si le comportement d’un utilisateur est jugé à risque, celui-ci sera bloqué automatiquement. A  vous de décider de bloquer les connexions selon le niveau de risque.

 

Identity Protection – Microsoft Azure

Nom de la stratégie 
Stratégie de remédiation des risques liés aux 
utilisateurs 
Affectations 
Utilisateurs 
Tous les utilisateurs 
Risque utilisateur Q) 
Élevé 
Contrôle 
Accès O 
Bloquer l'accès

Risque utilisateur 
x 
Stratégie de remédiation des risques liés aux utilis... 
Configurez les niveaux de risque utilisateur 
nécessaires à l'application de la stratégie 
Sélectionnez les contrôles à appliquer. 
@ Élevé 
O Moyen et supérieur 
O Faible et supérieur

Ces trois stratégies, sont déjà une bonne approche pour se prémunir de toute attaque malveillante envers vos utilisateurs.  Le risque zéro n’existant pas, je vous invite à régulièrement consulter le rapport de détection des risques.  Sécurité – Centre d’administration Azure Active Directory

Et pourquoi pas, épingler un raccourci sur votre tableau de bord AD Azure

Mon tableau de bord v 
Tableau de bord privé 
Nouveau tableau de bord v 
Azure AD Premium 
Utilisateurs et groupes 
Actualiser 
Plein écran Modifier Exporterv Cloner 
Bienvenue dans le centre d 'administration dAzu... 
Azure AD vous aide protéger votre 
entreprise et valoriser vos utilisateurs. 
En savoir plus Sur Azure AD 
Recommandé 
Sync with Windows Server AD 
Sync users and groups from your on- 
premises directory to your Azure AD 
00000000 
Connexions des utilisateurs 
Connexicns pour • Tous les utilisateurs • entre le 21,01/2022 et 20/0... 
Supprimer 
Tåches rapides Azur... 
Ajouter un utilisateur 
Ajouter un utilisateur i... 
Ajouter un groupe 
Rechercher un utilisateur 
Rechercher un groupe 
Rechercher une applica.__ 
Portail Azure 
portal.azurecom 
Détections de risques 
23 janw 
Nouveautés 
go janv. 
E févr. 
20 few. 
Azure AD Connect 
Synchronisation 
Journaux d'audit 
Afficher "activité 
Azure AD makes the leaders quadrant in Gartner's 2017 
Magic Quadrant for Access Management 
Azure Information Protection (formerly Rights 
Management Service) is available in the Azure portal

Comment avez-vous trouvé ce billet ?

N'hésitez pas à voter !

Score moyen 5 / 5. Nombre de vote 7


guest

0 Commentaires
Inline Feedbacks
View all comments