Lorsqu'on parle d'attaque de mot de passe, on peut facilement penser aux attaques "brute force" consistant à prendre un identifiant d'utilisateur et le forcer avec des milliers de mots de passe.
La plupart des professionnels de la sécurité informatique connait et comprend ces attaques traditionnelles sur les mots de passe: la brute-force, le dictionnaire, le keylogger, etc.
Le problème avec ces attaques est qu'elle bloquerait rapidement les comptes et déclencherait certainement des alarmes en alertant l'équipe de sécurité sur la présence d'un attaquant sur leur réseau.
Eh bien, il semble que les attaquants ont compris cela depuis longtemps et ils ont maintenant une autre méthode d'attaque préférée, dont fait l'objet cet article, sur les mots de passe. Au lieu de passer des mots de passe, ils préfèrent maintenant exécuter ce qu'on appelle « Password Spraying ».
Un scénario où une organisation peut être vulnérable à cette nouvelle attaque est lorsque l'attaquant, après avoir énuméré avec succès une liste d'utilisateurs valides des contrôleurs de domaine, utilise sa connaissance de l'utilisation commune de mot de passe et essaie UN mot de passe soigneusement conçu contre TOUS les comptes utilisateurs connus (un mot de passe, trop de comptes).
Si l'attaque ne réussit pas, elle essayera d'abord à nouveau d'utiliser un mot de passe soigneusement conçu, généralement en attente d'environ 30 minutes entre les tentatives afin de ne pas atteindre le seuil de verrouillage de compte basé par exemple sur le temps.
Le Password Spraying est rapidement devenue une technique préférée des attaquants et des pentesters car il s'est avéré très efficace pour ceux qui cherchent à pivoter et à avancer dans un réseau après avoir établi un point de repère à l'intérieur.
Parce que l'homme sera toujours la variable incontrôlable, continuant à utiliser des mots de passe faibles et faciles à retenir, je ne risquerais rien de penser que la plupart des organisations sont effectivement vulnérables à un « Password Spraying ».
CAKM
Aucun commentaire:
Enregistrer un commentaire
Pour vos avis, suggestions ou demandes de services, merci de laisser un commentaire.