Qu'est-ce que la pulvérisation de mots de passe ?
L'attaque par pulvérisation de mots de passe consiste pour un cybercriminel à utiliser un même mot de passe courant pour tenter d'accéder à plusieurs comptes d'une application donnée. Cela lui évite que les comptes ne se bloquent en prévention d'une attaque par force brute, généralement caractérisée par l'essai de différents mots de passe pour accéder à un même compte. La pulvérisation de mots de passe est particulièrement efficace contre les entreprises adeptes du partage de mots de passe.
Déroulement d'une attaque
L'attaque par pulvérisation de mots de passe se déroule en deux étapes distinctes. Le cyberattaquant commence par se procurer une liste de noms d'utilisateurs via lesquels il tente de se connecter en reprenant à chaque fois le même mot de passe. Il répète ensuite ce processus avec de nouveaux mots de passe jusqu'à compromettre le système d'authentification ciblé. Le but étant d'accéder à l'un des comptes et aux différents systèmes.
Une attaque dite « par force brute »
Dans la mesure où elle cible plusieurs comptes à la fois, la pulvérisation de mots de passe ne répond pas au schéma de l'attaque par force brute traditionnelle qui consiste à deviner le mot de passe d'un compte unique. Pourtant, son approche basée sur la multiplication des tentatives en reste une caractéristique type. La recherche de mots de passe sur de nombreux comptes jusqu'à trouver une correspondance suffit donc à inscrire la pulvérisation de mots de passe dans la catégorie des attaques par force brute.
Principaux indices d'une attaque par pulvérisation de mots de passe
L'attaque par pulvérisation de mots de passe se traduit notamment par les indices suivants :
- Forte activité de connexion sur une courte période
- Hausse du nombre de tentatives de connexion échouées par utilisateur actif
- Connexion de comptes inexistants ou inactifs
Quelles peuvent être les conséquences d'une attaque par pulvérisation de mots de passe sur votre entreprise ?
Les attaques par pulvérisation de mots de passe peuvent cibler différentes composantes de l'entreprise : détournement d'informations de comptes clients dans le cadre de credential stuffing (recyclage d'identifiants) sur d'autres sites, infiltration des comptes professionnels des nouveaux employés, ou encore élévation des privilèges à l'aide d'identifiants volés afin de bénéficier d'un accès étendu aux informations confidentielles. Les victimes d'une pulvérisation de mots de passe réussie deviennent plus vulnérables à toute une série de futures attaques.
Impact sur les résultats nets
Lorsqu'elle aboutit, l'attaque par pulvérisation de mots de passe peut être à l'origine d'importants préjudices financiers. En possession d'identifiants en apparence légitimes, les cyberattaquants bénéficient d'un accès aux comptes financiers de l'entreprise, dont ils peuvent se servir pour réaliser des achats frauduleux. La non-détection d'une telle faille peut être lourde de conséquences du point de vue financier. Si le retour à la normale des activités suite à une cyberattaque demande généralement de deux à quatre semaines, certaines entreprises ont besoin de plusieurs mois pour s'en remettre.
La pulvérisation de mots de passe ne nuit pas seulement aux finances, elle ralentit et entrave aussi les opérations quotidiennes de l'entreprise de façon plus ou moins significative. L'envoi d'e-mails malveillants à l'échelle de l'organisation suffirait à mettre à mal la productivité de toute une journée ou la prise de contrôle d'un compte d'entreprise à annuler des achats, modifier des dates de livraison ou à voler des informations sensibles.
Impact sur les clients
L'une des principales conséquences de la pulvérisation de mots de passe sur l'entreprise réside dans la perte de confiance des clients. La compromission de votre système résultant d'une attaque par force brute, quelle qu'elle soit, pourrait en effet amener votre clientèle à s'interroger davantage sur la sécurité de leurs données et informations en votre possession. Cela pourrait les pousser à se tourner vers d'autres prestataires, engendrant pour vous de nouvelles pertes financières.
Autre problème potentiel lié à la pulvérisation de mots de passe : l'utilisation de vos identifiants volés dans le cadre d'attaques de phishing. L'envoi d'un e-mail malveillant à un client pourrait avoir des répercussions financières tant pour ce tiers que pour votre entreprise, avec là encore une atteinte à votre réputation.