Un botnet massif utilise une méthode d'authentification obsolète pour contourner les protections de Microsoft 365. Une attaque discrète, étudiée pour passer sous le radar des systèmes de sécurité.
Un botnet massif composé de 130 000 appareils compromis mène actuellement une vague d’attaques par password spraying contre les comptes Microsoft 365 à travers le monde. En exploitant une méthode d’authentification obsolète, mais toujours active dans certains environnements, les pirates à l’œuvre parviennent à contourner la double authentification et à échapper aux contrôles de sécurité traditionnels.
Une attaque ultra-sophistiquée, portée par 130 000 bots
C’est dans un rapport détaillé que les équipes de sécurité de SecurityScorecard ont fait part de leur découverte. Selon leurs observations, les assauts massifs repérés sur Microsoft 365 ne reposent pas sur une approche brute, mais sur une stratégie plus fine et discrète.
Dans le détail, les attaquants s’appuient sur des identifiants compromis, a priori récupérés par des infostealers. Suivant un mode opératoire précis, ils évitent les tentatives répétées sur une même cible, qui déclencheraient des blocages automatiques, et privilégient le password spraying : un petit nombre de mots de passe courants testés sur un large échantillon de comptes.
Dans l’équation, les 130 000 bots du réseau jouent un rôle clé. En répartissant les tentatives d’authentification sur un grand nombre d’adresses IP compromises, les attaquants brouillent les pistes et empêchent les systèmes de sécurité d’identifier une source unique. Un éparpillement qui leur permet de contourner les restrictions classiques et de multiplier leurs chances de succès sans éveiller les soupçons.
Face à ce type d’attaque, l’authentification multifactorielle est normalement censée offrir une protection efficace. Mais les attaquants le savent et exploitent une faille encore présente dans certains environnements. Plutôt que de passer par des connexions classiques qui pourraient être soumises à des contrôles de sécurité, ils s’appuient sur des accès non interactifs via Basic Authentication.
30 décembre 2024 à 15h23
Pour rappel, les connexions non interactives désignent des authentifications automatisées, effectuées en arrière-plan par des services ou des applications, sans intervention humaine. Contrairement aux connexions classiques, qui nécessitent qu’un utilisateur saisisse ses identifiants et valide son accès, elles permettent un échange direct entre un client et un serveur. Ce mode d’accès est souvent utilisé pour des synchronisations de données, des flux automatisés ou des protocoles de messagerie comme IMAP, POP ou SMTP.
Basic Auth s’inscrit parfaitement dans cette logique. Conçue bien avant l’authentification multifactorielle, cette méthode repose sur un schéma simple, mais vulnérable : à chaque requête, l’identifiant et le mot de passe sont transmis en clair ou encodés en base64, sans protection supplémentaire. Dans de nombreux cas, ces connexions échappent aux contrôles de sécurité modernes, car elles ne déclenchent ni validation MFA ni surveillance renforcée.
En bref, en combinant password spraying, botnet géant, connexions non interactives et Basic Authentication, les attaquants bénéficient d’un quadruple avantage.
Derrière cette campagne, les chercheurs de SecurityScorecard ont identifié un réseau structuré, piloté depuis six serveurs de commande et de contrôle (C2). Hébergés par le fournisseur américain Shark Tech et acheminant leur trafic via UCLOUD HK et CDS Global Cloud, ils affichent un fuseau horaire calé sur Shanghai. Un détail qui, ajouté à l’infrastructure utilisée, alimente les soupçons d’un lien avec des acteurs malveillants chinois, bien qu’aucune attribution définitive n’ait encore été établie.
Comment sécuriser l'accès à son compte Microsoft 365
La faille exploitée par le botnet reposant sur un enchaînement précis – identifiants volés, password spraying, connexions non interactives et Basic Auth – renforcer ses mots de passe ne suffira pas à la contrer efficacement. Pour bloquer ces attaques, c’est bien l’ensemble des points d’entrée qui doit être sécurisé.
Commencez par désactiver Basic Authentication. Microsoft a déjà amorcé sa suppression en 2022, mais certaines configurations spécifiques, notamment SMTP AUTH, s’en servent toujours. À la place, tournez-vous vers OAuth 2.0 qui, contrairement à Basic Auth, repose sur un système de jetons d’accès sécurisés, limite l’exploitation directe des identifiants volés et réduit l’impact des attaques automatisées.
Gardez aussi un œil sur les connexions suspectes. Une hausse soudaine des échecs de connexion depuis des adresses IP multiples, un volume anormal de connexions non interactives ou la présence de l’agent utilisateur fasthttp dans les journaux d’Entra ID doivent immédiatement vous alerter. Si des adresses IP suspectes sont identifiées dans les rapports de sécurité, bloquez-les immédiatement pour entraver les tentatives d’intrusion.
Enfin, sensibilisez vos équipes. L’adoption de mots de passe uniques et solides limite l’efficacité du password spraying. Couplée à une authentification A2F ou MFA bien configurée, cette mesure réduit drastiquement le risque de compromission de compte.
Microsoft prévoit de supprimer définitivement Basic Auth en septembre 2025.
Source : SecurityScorecard
07 février 2025 à 16h17
