Acteurs liés à l'Iran lancent des attaques coordonnées de mots de passe Microsoft 365
Les chercheurs en sécurité de Check Point ont documenté une campagne sophistiquée de pulvérisation de mots de passe ciblant les environnements Microsoft 365 en Israël et aux Émirats arabes unis tout au long de mars 2026. Les attaques ont eu lieu en trois vagues distinctes les 3 mars, 13 mars et 23 mars, les analystes du renseignement attribuant l'activité à des acteurs de la menace liés à l'Iran opérant au milieu de tensions régionales croissantes au Moyen-Orient.
La pulvérisation de mots de passe représente une méthode d'attaque particulièrement insidieuse où les acteurs de la menace tentent d'obtenir un accès non autorisé en essayant des mots de passe couramment utilisés contre plusieurs comptes d'utilisateurs. Contrairement aux attaques par force brute traditionnelles qui ciblent un seul compte avec de nombreuses tentatives de mot de passe, la pulvérisation de mots de passe distribue les tentatives de connexion sur de nombreux comptes pour éviter de déclencher les mécanismes de verrouillage de compte que les organisations déploient généralement comme mesures de sécurité.
Le timing de ces attaques coïncide avec des tensions géopolitiques accrues dans la région, suggérant que la campagne pourrait faire partie d'opérations cybernétiques parrainées par l'État plus larges. L'Iran a historiquement utilisé ses capacités cybernétiques dans le cadre de sa stratégie de guerre asymétrique, ciblant les infrastructures critiques et les entités gouvernementales dans les nations adverses. Le choix de cibler les environnements Microsoft 365 reflète l'adoption généralisée des suites de productivité basées sur le cloud par les agences gouvernementales et les organisations du secteur privé en Israël et aux Émirats arabes unis.
L'équipe de renseignement sur les menaces de Check Point a identifié la campagne grâce à leur surveillance des modèles d'authentification suspects et des comportements de connexion anormaux dans leur base de clients. Les chercheurs ont noté que les attaques ont démontré un haut degré de coordination et de planification, chaque vague ciblant différents secteurs organisationnels et employant des tactiques légèrement modifiées pour échapper aux systèmes de détection.
Les environnements Microsoft 365 représentent des cibles attrayantes pour les acteurs étatiques en raison de leur rôle central dans les communications organisationnelles et le stockage de documents. Une compromission réussie de ces environnements peut fournir aux attaquants un accès à des communications sensibles, des documents de planification stratégique et la capacité de se déplacer latéralement au sein des réseaux cibles. La nature basée sur le cloud de ces plateformes complique également les approches de sécurité traditionnelles basées sur le périmètre, nécessitant que les organisations mettent en œuvre des contrôles robustes de gestion des identités et des accès.
Les organisations israéliennes et émiraties font face à un ciblage généralisé
La campagne de pulvérisation de mots de passe a principalement affecté des organisations de plusieurs secteurs en Israël et aux Émirats arabes unis, avec un accent particulier sur les agences gouvernementales, les sous-traitants de la défense et les fournisseurs d'infrastructures critiques. Les analystes de la sécurité ont observé que les acteurs de la menace ont démontré une sélection de cibles sophistiquée, se concentrant sur des entités de grande valeur qui maintiennent des déploiements significatifs de Microsoft 365 pour leurs opérations quotidiennes.
Les organisations utilisant Microsoft 365 Business, Enterprise et Government Cloud Community (GCC) ont fait face au risque le plus élevé pendant les vagues d'attaques documentées. Les acteurs de la menace ont spécifiquement ciblé les comptes avec des privilèges administratifs et les comptes de service qui maintiennent souvent un accès élevé dans les environnements cloud. Les petites et moyennes organisations se sont avérées particulièrement vulnérables en raison de capacités de surveillance de sécurité limitées et de mises en œuvre moins robustes de l'authentification multi-facteurs.
Le modèle de ciblage géographique suggère que la campagne était conçue pour recueillir des renseignements sur les postures de sécurité régionales et les communications gouvernementales. Les entreprises technologiques israéliennes, les sous-traitants de la défense et les ministères gouvernementaux représentaient les principales cibles, tandis que les institutions financières basées aux Émirats arabes unis et les organisations du secteur de l'énergie ont également subi des tentatives de ciblage significatives. Les acteurs de la menace semblaient maintenir des listes de cibles détaillées, suggérant que des activités de reconnaissance approfondies ont précédé les tentatives réelles de pulvérisation de mots de passe.
Les chercheurs en sécurité estiment que des centaines d'organisations dans les deux pays ont reçu des tentatives de ciblage, avec des compromissions réussies affectant des dizaines d'entités. L'étendue réelle des violations réussies reste sous enquête, car de nombreuses organisations peuvent ne pas avoir détecté les tentatives d'intrusion en raison de la nature subtile des attaques de pulvérisation de mots de passe et du timing distribué des tentatives de connexion conçues pour se fondre dans les modèles de comportement utilisateur normaux.
L'authentification multi-facteurs et la surveillance renforcée offrent une défense
Les organisations peuvent mettre en œuvre plusieurs mesures défensives immédiates pour se protéger contre les campagnes de pulvérisation de mots de passe en cours ciblant les environnements Microsoft 365. La protection la plus efficace consiste à activer l'authentification multi-facteurs (MFA) sur tous les comptes d'utilisateurs, en particulier ceux avec des privilèges administratifs. Le Guide de mise à jour de sécurité de Microsoft fournit des conseils complets sur la mise en œuvre de politiques d'accès conditionnel qui nécessitent des facteurs d'authentification supplémentaires pour les tentatives de connexion suspectes.
Les équipes de sécurité devraient immédiatement examiner leurs journaux d'audit Microsoft 365 pour détecter des modèles d'authentification suspects, y compris plusieurs tentatives de connexion échouées à partir d'adresses IP inconnues et des connexions réussies à partir de lieux géographiquement dispersés dans des délais courts. Les journaux de connexion Azure Active Directory contiennent des informations détaillées sur les tentatives d'authentification, y compris les adresses IP source, les agents utilisateurs et les méthodes d'authentification utilisées. Les organisations devraient configurer des alertes automatisées pour les tentatives d'authentification échouées dépassant les modèles de base normaux.
La mise en œuvre de politiques de mot de passe robustes représente une autre mesure défensive critique. Les organisations devraient imposer des exigences de mot de passe complexes et interdire l'utilisation de mots de passe couramment compromis. Le service de protection des mots de passe Azure AD de Microsoft peut automatiquement bloquer les mots de passe faibles connus et les termes spécifiques à l'organisation que les attaquants pourraient cibler. Les politiques de rotation régulière des mots de passe, bien que controversées dans certains cercles de sécurité, peuvent limiter la fenêtre d'opportunité pour les informations d'identification compromises.
Les protections au niveau du réseau devraient inclure la mise en œuvre de listes d'autorisation d'adresses IP pour les comptes administratifs et la configuration de politiques d'accès conditionnel qui bloquent les tentatives d'authentification provenant de pays à haut risque ou de plages d'IP malveillantes connues. Le catalogue des vulnérabilités exploitées connues de la CISA fournit un contexte supplémentaire sur les tactiques des acteurs de la menace et les mesures défensives recommandées pour la protection des environnements cloud.
Les organisations devraient également envisager de mettre en œuvre des solutions de gestion des accès privilégiés qui fournissent un accès juste-à-temps aux fonctions administratives et maintiennent des pistes d'audit détaillées de toutes les opérations privilégiées. Une formation régulière à la sensibilisation à la sécurité axée sur la sécurité des mots de passe et les tactiques d'ingénierie sociale peut aider à réduire la probabilité de compromission réussie des informations d'identification par le biais de vecteurs d'attaque complémentaires.
