Un acteur lié à l'Iran mène une campagne de password spraying contre plus de 300 organisations israéliennes et émiraties sur Microsoft 365, ciblant gouvernements et entreprises stratégiques.
En bref
- Un acteur lié à l'Iran mène une campagne de password spraying contre plus de 300 organisations israéliennes sur Microsoft 365.
- Les secteurs gouvernementaux, énergétiques et technologiques en Israël et aux Émirats arabes unis sont visés.
- Les entreprises utilisant Microsoft 365 doivent activer le MFA et surveiller les tentatives de connexion suspectes.
Ce qui s'est passé
Selon les chercheurs de Check Point, un groupe de cyberattaquants affilié à l'Iran conduit depuis début mars 2026 une campagne massive de password spraying ciblant les environnements Microsoft 365. L'opération s'est déroulée en trois vagues distinctes, les 3, 13 et 23 mars 2026, touchant plus de 300 organisations en Israël et plus de 25 aux Émirats arabes unis.
Le password spraying consiste à tester un même mot de passe courant sur un grand nombre de comptes utilisateurs simultanément, ce qui permet de contourner les mécanismes de verrouillage de compte classiques. Cette technique, bien que moins sophistiquée qu'un exploit zero-day, reste redoutablement efficace contre les organisations qui n'ont pas déployé l'authentification multifacteur.
Des cibles secondaires ont également été identifiées en Europe, aux États-Unis, au Royaume-Uni et en Arabie saoudite, selon le rapport de Check Point. Les secteurs visés incluent les entités gouvernementales, les municipalités, les entreprises technologiques, les transports et le secteur énergétique.
Pourquoi c'est important
Cette campagne illustre la persistance des opérations cyber offensives étatiques dans le contexte géopolitique actuel au Moyen-Orient. Le choix de Microsoft 365 comme vecteur d'attaque n'est pas anodin : la plateforme cloud de Microsoft héberge les emails, documents et données critiques de millions d'organisations à travers le monde. Une compromission réussie donne accès à l'ensemble de l'environnement collaboratif d'une entreprise.
Le fait que l'attaque cible simultanément des entités gouvernementales et des entreprises privées suggère des objectifs combinant espionnage stratégique et collecte de renseignements économiques. Pour les entreprises françaises ayant des activités dans la région, cette menace doit être prise en compte dans leur analyse de risques.
Ce qu'il faut retenir
- Activer impérativement l'authentification multifacteur (MFA) sur tous les comptes Microsoft 365, en privilégiant les méthodes résistantes au phishing comme les clés FIDO2.
- Surveiller les logs Azure AD pour détecter les patterns de tentatives de connexion échouées provenant d'adresses IP inhabituelles.
- Mettre en place des politiques de mots de passe robustes et déployer Azure AD Password Protection pour bloquer les mots de passe courants.
Comment se protéger efficacement contre le password spraying ?
La défense la plus efficace est le déploiement systématique de l'authentification multifacteur (MFA) sur l'ensemble des comptes. Complétez par une politique de mots de passe interdisant les combinaisons courantes, la surveillance des tentatives de connexion suspectes via les journaux Azure AD, et l'utilisation de l'accès conditionnel pour bloquer les connexions depuis des localisations ou appareils non reconnus.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Docker CVE-2026-34040 : contournement AuthZ et accès hôte
CVE-2026-34040 permet de contourner les plugins AuthZ Docker via des requêtes surdimensionnées et créer des conteneurs privilégiés avec accès hôte.
FrostArmada : APT28 détourne des routeurs pour voler vos identifiants
APT28 a compromis des milliers de routeurs MikroTik et TP-Link via la campagne FrostArmada pour détourner le DNS et voler des identifiants Microsoft 365.
Storm-1175 : la Chine déploie Medusa via des zero-days
Microsoft identifie Storm-1175, un acteur chinois qui exploite des zero-days dans SmarterMail et GoAnywhere MFT pour déployer le ransomware Medusa en moins de 24 heures.
Commentaires (1)
Laisser un commentaire