Une pulvérisation, pas une percée
La société de sécurité Huntress a révélé une campagne de password spraying menée du 12 au 26 juin 2026, avec un pic le 22 juin, au cours de laquelle plus de 81 millions de tentatives de connexion ont visé des comptes Microsoft 365. Le trafic provenait d'une plage IPv6 enregistrée au nom d'un seul opérateur, et les attaquants ne devinaient pas les mots de passe à l'aveugle. Ils rejouaient des paires identifiant et mot de passe récupérées lors de fuites antérieures et sans lien, pariant que les gens réutilisent leurs identifiants d'un service à l'autre. De ce déluge, 78 comptes ont été compromis dans 64 organisations.
Ce qui rend l'affaire notable, c'est l'absence de tout élément exotique. Il n'y a eu ni faille zero-day, ni logiciel malveillant ingénieux, ni ruse sur la chaîne d'approvisionnement. C'était du volume plus des identifiants réutilisés plus une voie d'authentification faible. Cette combinaison est à la portée de n'importe quel attaquant ordinaire, et c'est précisément pourquoi elle mérite l'attention d'un dirigeant : la technique est bon marché, reproductible et vise la couche d'identité que la plupart des entreprises supposent déjà sécurisée par l'authentification multifacteur.
Comment les connexions ont contourné le MFA
Le mécanisme était une ancienne voie de connexion. Les attaquants se sont authentifiés via les outils en ligne de commande d'Azure en utilisant le flux Resource Owner Password Credentials, connu sous le nom de ROPC, une méthode OAuth plus ancienne qui accepte directement un identifiant et un mot de passe et qui, dans de nombreux locataires, ne déclenche aucune invite multifacteur. Là où un locataire avait le MFA activé mais limité de façon étroite, les identifiants réutilisés passaient tout droit par la brèche. Huntress a trouvé les mêmes erreurs de configuration encore et encore : MFA appliqué à certaines applications seulement, MFA imposé aux seuls groupes d'administrateurs, MFA exigé uniquement depuis des emplacements non approuvés, et politiques Conditional Access laissées en mode rapport seul, où elles journalisent mais ne bloquent jamais.
La leçon moins évidente est que le MFA n'est pas un interrupteur, mais une carte de couverture. Un locataire peut passer un audit qui demande si le MFA existe et laisser malgré tout une ancienne porte déverrouillée. Les attaquants n'ont pas vaincu l'authentification multifacteur ; ils ont trouvé les connexions où elle n'était jamais demandée. Cette distinction est toute l'histoire, et elle reste invisible tant que personne ne vérifie quelles voies d'authentification un locataire autorise encore.
La demi-heure qui referme la faille
C'est un problème de configuration avec une réponse de configuration, et l'essentiel se résume à une courte session administrative plutôt qu'à un achat. Bloquez l'authentification héritée et désactivez le flux ROPC, afin que les connexions par identifiant et mot de passe qui sautent le MFA soient simplement refusées. Imposez l'authentification multifacteur sur chaque application et chaque connexion, pas seulement sur les comptes administrateurs ou les emplacements non approuvés, et faites passer Conditional Access du mode rapport seul au blocage actif. Vérifiez ensuite les journaux de connexion à la recherche du schéma de pulvérisation échouée et réinitialisez tout identifiant qu'une fuite passée aurait pu exposer.
Pour une entreprise européenne, il y a une seconde raison d'agir vite. Si des identifiants réutilisés ouvrent une boîte aux lettres contenant des données personnelles, l'incident peut déclencher une obligation de notification au titre du RGPD dans les 72 heures, de sorte qu'une faille d'identité silencieuse peut devenir un événement à déclarer et un échange avec la CNIL. L'ANSSI recommande précisément cette hygiène de configuration. Le coût de fermer la porte est une après-midi de configuration ; le coût de la laisser ouverte se mesure en obligations de divulgation et en confiance perdue. Traitez la couche d'identité comme le périmètre qu'elle est devenue.
À lire ensuite: Votre éditeur IA peut exécuter du code hostile | Votre fournisseur ouvre la porte au rançongiciel



