En bref

  • Une campagne de credential spray d'ampleur inédite a généré plus de 81 millions de tentatives de connexion contre des environnements Microsoft 365, compromettant 78 comptes dans 64 organisations sur une fenêtre de 14 jours.
  • L'acteur malveillant exploite l'interface Azure CLI combinée à des identifiants issus de violations de données antérieures et abuse du protocole OAuth pour contourner certaines politiques de sécurité configurées uniquement pour les navigateurs web.
  • Les organisations doivent activer Microsoft Entra ID Protection avec des politiques de risque d'identité, restreindre les authentifications via des clients non managés et auditer les comptes utilisant des mots de passe présents dans des bases de credential stuffing.

Huntress documente une vague de credential spray massive contre Microsoft 365

Les équipes de recherche de Huntress ont publié en juillet 2026 l'analyse d'une campagne de credential spray d'une envergure exceptionnelle ciblant les environnements Microsoft 365. Entre le 12 et le 26 juin 2026, l'acteur malveillant — tracé sous l'identifiant d'infrastructure LSHIY LLC — a bombardé les instances M365 de clients Huntress avec plus de 81 millions de tentatives de connexion sur une période de 14 jours. Le bilan : 78 comptes compromis dans 64 organisations distinctes, avec une accélération brutale le 22 juin où 30 identités ont été compromises dans 23 organisations en quelques heures, contre 2 à 4 compromissions quotidiennes les jours précédents.

Le credential spray est une technique de compromission de comptes qui inverse la logique du bruteforce classique. Plutôt que de tester des centaines de mots de passe contre un seul compte — approche bloquée par les mécanismes de verrouillage — l'attaquant teste un petit nombre de mots de passe très courants ou issus de violations de données contre un très grand nombre de comptes distincts. Cette approche reste sous les seuils de détection par verrouillage (généralement cinq à dix tentatives infructueuses par compte) tout en maintenant un volume d'attaque massif. À 81 millions de tentatives réparties sur des dizaines de milliers de comptes, chaque compte individuel ne voit que quelques tentatives sans déclencher les alertes classiques.

La particularité technique de la campagne LSHIY réside dans son usage de l'interface de ligne de commande Azure CLI pour initier les tentatives d'authentification, couplé à des techniques d'abus du protocole OAuth 2.0. En s'appuyant sur Azure CLI plutôt que sur les interfaces web et navigateurs, l'acteur emprunte des chaînes d'authentification distinctes qui peuvent traverser des politiques de sécurité configurées uniquement pour les connexions navigateur. De nombreuses organisations ont déployé des politiques d'accès conditionnel Entra ciblant les navigateurs web tout en laissant les clients d'authentification moderne (dont Azure CLI) avec des contrôles moins stricts — créant une asymétrie d'exposition exploitée précisément dans cette campagne.

L'abus des flux OAuth 2.0 dans la campagne LSHIY permet d'étendre le champ des identifiants exploitables au-delà des simples couples login/mot de passe. L'acteur teste également des refresh tokens et des tokens d'accès délégués issus de violations précédentes, couvrant ainsi les cas d'utilisateurs ayant changé leur mot de passe récemment mais dont d'anciens tokens restent valides. Cette approche multicouche explique en partie l'efficacité inhabituelle de la campagne : même des comptes avec des mots de passe récents et robustes pouvaient être touchés si un token OAuth plus ancien avait été compromis dans une violation précédente.

Les identifiants utilisés dans la campagne LSHIY proviennent vraisemblablement de compilations de violations de données consolidées dans des bases de credential stuffing régulièrement enrichies sur des forums cybercriminels. La corrélation entre les comptes compromis et des incidents de violation documentés suggère que l'acteur dispose d'un accès à des bases de données fraîches incluant des combinaisons email/mot de passe issues de services grand public — plateformes d'e-commerce, réseaux sociaux, jeux vidéo — dont les identifiants sont réutilisés par des employés sur leurs comptes professionnels, pratique dite de "password reuse" encore très répandue malgré les campagnes de sensibilisation.

L'infrastructure LSHIY LLC, identifiée comme point focal de la campagne, est un fournisseur d'accès résidentiel et commercial permettant de distribuer les tentatives de connexion sur des milliers d'adresses IP géographiquement dispersées. Les adresses IP associées à LSHIY couvrent plusieurs dizaines de pays, rendant inefficace le blocage géographique et la corrélation d'indicateurs de compromission basés sur les adresses IP source. La rotation rapide des adresses — estimée à plusieurs dizaines de milliers d'IPs différentes sur la durée de la campagne — invalide les approches de détection reposant sur les listes noires statiques.

L'escalade observée le 22 juin révèle une logique tactique délibérée. Le passage de 2 à 4 compromissions quotidiennes à 30 en une seule journée suggère soit un affinement des listes d'identifiants, soit un changement de paramètres d'intensité d'attaque, soit une décision d'accélérer avant une fenêtre de détection anticipée. Cette escalade a conduit Huntress à émettre des alertes urgentes auprès des 64 organisations affectées et à déclencher des procédures d'investigation et de remédiation en urgence.

Les 78 comptes compromis couvraient des profils variés : employés standard, responsables opérationnels et, dans les cas les plus critiques, des comptes disposant de privilèges d'administration délégués sur des ressources Azure ou des services Microsoft 365. Pour les comptes standards, la compromission a permis l'accès aux emails, aux fichiers OneDrive partagés et aux conversations Teams. Pour les comptes à privilèges, le risque s'étendait à la création d'applications OAuth malveillantes, la modification de politiques d'accès conditionnel et la mise en place de mécanismes de persistance dans l'environnement M365, rendant la remédiation complète plus complexe et plus longue.

Selon le rapport Huntress, la majorité des organisations affectées n'avaient pas activé de protection basée sur le risque d'identité Microsoft Entra ID Protection, et plusieurs n'avaient pas de politique d'accès conditionnel restreignant les connexions depuis des clients non managés ou des localisations géographiques inhabituelles. Ces lacunes soulignent que la configuration par défaut de Microsoft 365 n'est pas suffisante pour résister à des campagnes de credential spray sophistiquées à grande échelle.

L'industrialisation du credential spray : un risque systémique pour les environnements cloud

La campagne LSHIY révèle une évolution préoccupante dans le paysage des menaces cloud. Historiquement, le credential spray était une technique relativement simple exigeant peu de ressources. L'industrialisation observée ici — 81 millions de tentatives coordonnées, infrastructure résidentielle distribuée à grande échelle, exploitation d'Azure CLI et d'OAuth, escalade tactique planifiée — marque une professionnalisation qui n'est plus à la portée d'acteurs isolés mais reflète une organisation structurée disposant de ressources significatives.

Le choix de Microsoft 365 comme cible principale n'est pas fortuit. La plateforme constitue désormais l'épine dorsale de la productivité de la quasi-totalité des grandes entreprises et d'un nombre croissant de PME en Europe et en Amérique du Nord. Un accès à un compte M365 offre une fenêtre privilégiée sur les communications internes, les projets en cours, les données clients, les systèmes financiers et — via les intégrations SSO omniprésentes — potentiellement l'ensemble des applications métier. La valeur stratégique d'un compte M365 compromis dépasse largement celle d'un simple compte email.

La dimension supply chain mérite une attention particulière. Les 64 organisations touchées ne sont pas des cibles isolées : leurs environnements M365 sont dans la plupart des cas interconnectés avec ceux de partenaires, fournisseurs et clients via des invitations de collaboration B2B, des partages SharePoint inter-tenants et des flux API. Un compte compromis peut servir de tremplin crédible pour des campagnes de spear phishing contre des partenaires, les messages provenant d'une adresse légitime connue du destinataire contournant facilement les méfiances habituelles et les filtres anti-spam.

Du point de vue réglementaire, les organisations européennes parmi les 64 touchées sont exposées à des obligations RGPD dès lors que des données personnelles sont accessibles depuis les comptes compromis. Les délais de notification (72 heures auprès de l'autorité compétente après prise de connaissance) sont stricts, et l'évaluation de l'ampleur réelle de la violation doit être conduite en parallèle des opérations de remédiation. Les organisations relevant de NIS2 ou de DORA font face à des obligations de notification encore plus contraignantes avec des délais et des destinataires spécifiques selon le secteur d'activité.

Ce qu'il faut retenir

  • Activer Microsoft Entra ID Protection avec des politiques d'accès conditionnel basées sur le risque d'identité (user risk et sign-in risk) pour bloquer automatiquement les authentifications présentant des signaux d'anomalie.
  • Restreindre les authentifications via Azure CLI et les clients d'authentification non managés aux seuls appareils conformes et enregistrés, via des politiques d'accès conditionnel dédiées aux clients d'authentification moderne.
  • Activer la fonctionnalité Password Protection d'Entra pour bannir les mots de passe présents dans des listes de violations connues et imposer des mots de passe complexes non réutilisés sur les services personnels.

Comment détecter si mon organisation a été ciblée par un credential spray ?

Dans les journaux Microsoft Entra (anciennement Azure AD), filtrez les événements de connexion échoués (codes AADSTS50053, AADSTS50056, AADSTS50126) en recherchant des volumes anormalement élevés provenant de nombreuses adresses IP différentes sur un même compte ou un ensemble de comptes dans une courte fenêtre temporelle. L'activation de Microsoft Entra ID Protection et de Defender for Identity génère des alertes spécifiques pour les activités de spray détectées. Microsoft Sentinel, avec les règles analytiques dédiées au credential spray disponibles dans le Content Hub, permet d'automatiser cette détection et de déclencher des réponses automatiques telles que le blocage temporaire de compte ou l'exigence d'une réauthentification renforcée.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact