Un acteur lié à l'Iran mène une campagne de password spraying contre plus de 300 organisations israéliennes et émiraties sur Microsoft 365, ciblant gouvernements et entreprises stratégiques.
En bref
- Un acteur lié à l'Iran mène une campagne de password spraying contre plus de 300 organisations israéliennes sur Microsoft 365.
- Les secteurs gouvernementaux, énergétiques et technologiques en Israël et aux Émirats arabes unis sont visés.
- Les entreprises utilisant Microsoft 365 doivent activer le MFA et surveiller les tentatives de connexion suspectes.
Ce qui s'est passé
Selon les chercheurs de Check Point, un groupe de cyberattaquants affilié à l'Iran conduit depuis début mars 2026 une campagne massive de password spraying ciblant les environnements Microsoft 365. L'opération s'est déroulée en trois vagues distinctes, les 3, 13 et 23 mars 2026, touchant plus de 300 organisations en Israël et plus de 25 aux Émirats arabes unis.
Le password spraying consiste à tester un même mot de passe courant sur un grand nombre de comptes utilisateurs simultanément, ce qui permet de contourner les mécanismes de verrouillage de compte classiques. Cette technique, bien que moins sophistiquée qu'un exploit zero-day, reste redoutablement efficace contre les organisations qui n'ont pas déployé l'authentification multifacteur.
Des cibles secondaires ont également été identifiées en Europe, aux États-Unis, au Royaume-Uni et en Arabie saoudite, selon le rapport de Check Point. Les secteurs visés incluent les entités gouvernementales, les municipalités, les entreprises technologiques, les transports et le secteur énergétique.
Pourquoi c'est important
Cette campagne illustre la persistance des opérations cyber offensives étatiques dans le contexte géopolitique actuel au Moyen-Orient. Le choix de Microsoft 365 comme vecteur d'attaque n'est pas anodin : la plateforme cloud de Microsoft héberge les emails, documents et données critiques de millions d'organisations à travers le monde. Une compromission réussie donne accès à l'ensemble de l'environnement collaboratif d'une entreprise.
Le fait que l'attaque cible simultanément des entités gouvernementales et des entreprises privées suggère des objectifs combinant espionnage stratégique et collecte de renseignements économiques. Pour les entreprises françaises ayant des activités dans la région, cette menace doit être prise en compte dans leur analyse de risques.
Ce qu'il faut retenir
- Activer impérativement l'authentification multifacteur (MFA) sur tous les comptes Microsoft 365, en privilégiant les méthodes résistantes au phishing comme les clés FIDO2.
- Surveiller les logs Azure AD pour détecter les patterns de tentatives de connexion échouées provenant d'adresses IP inhabituelles.
- Mettre en place des politiques de mots de passe robustes et déployer Azure AD Password Protection pour bloquer les mots de passe courants.
Comment se protéger efficacement contre le password spraying ?
La défense la plus efficace est le déploiement systématique de l'authentification multifacteur (MFA) sur l'ensemble des comptes. Complétez par une politique de mots de passe interdisant les combinaisons courantes, la surveillance des tentatives de connexion suspectes via les journaux Azure AD, et l'utilisation de l'accès conditionnel pour bloquer les connexions depuis des localisations ou appareils non reconnus.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires (1)
Laisser un commentaire