Campagne de pulvérisation de mots de passe iranienne : plus de 300 organisations ciblées via Microsoft 365

Publié le avril 9, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

Des chercheurs en renseignement sur les menaces ont mis au jour une campagne de pulvérisation de mots de passe en trois vagues liée à l’Iran, frappant plus de 300 organisations des secteurs gouvernemental, énergétique et technologique en mars 2026. Les attaquants ont utilisé des nœuds de sortie Tor pour le scan et des VPN commerciaux géolocalisés dans les pays cibles pour contourner les contrôles d’accès conditionnel sur les tenants Microsoft 365.

En résumé : Lancez un audit de couverture MFA sur chaque compte Microsoft 365 cette semaine — les comptes de service et boîtes aux lettres partagées sans MFA sont les points d’entrée les plus probables.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevée
▾

Les ministères algériens, les entreprises énergétiques (Sonatrach, Sonelgaz) et les entreprises adoptent rapidement Microsoft 365. Les mêmes techniques de pulvérisation de mots de passe utilisées contre les cibles du Moyen-Orient s’appliquent directement aux tenants M365 algériens.

Infrastructure prête ?
Partielle
▾

De nombreuses organisations algériennes utilisent Microsoft 365 mais manquent de politiques d’accès conditionnel complètes, d’application universelle de la MFA et de supervision SIEM centralisée nécessaires pour détecter et bloquer les campagnes de pulvérisation.

Compétences disponibles ?
Partielles
▾

L’Algérie a un vivier croissant de talents en cybersécurité mais une expertise limitée en sécurité d’identité cloud. Peu d’équipes SOC algériennes ont de l’expérience dans l’investigation de schémas d’attaque spécifiques à M365 comme la pulvérisation via Tor avec suivi géolocalisé par VPN.

Calendrier d’action
Immédiat
▾

Cette campagne est évaluée comme étant en cours. Les organisations algériennes utilisant Microsoft 365 devraient auditer la couverture MFA, revoir les politiques d’accès conditionnel et activer la surveillance des journaux de connexion dans les 30 prochains jours.

Parties prenantes clés
Analystes SOC, administrateurs Microsoft 365, RSSI des agences gouvernementales et entreprises énergétiques, responsables sécurité IT des banques et télécoms.

Type de décision
Tactique
▾

Des mesures défensives directes et concrètes peuvent être mises en œuvre immédiatement sans planification stratégique ni approbation budgétaire.

En bref : Les organisations algériennes sur Microsoft 365 font face à la même surface d’attaque exploitée dans cette campagne. La priorité immédiate est d’auditer chaque tenant M365 pour les comptes sans MFA — en particulier les comptes de service et les boîtes aux lettres partagées — et de mettre en place des politiques d’accès conditionnel qui signalent les connexions VPN provenant de fournisseurs inattendus comme Windscribe et NordVPN.

Une campagne en trois vagues dissimulée au grand jour

Fin mars 2026, des chercheurs en renseignement sur les menaces a publié ses conclusions sur l’une des campagnes d’attaque d’identifiants cloud les plus méthodiques observées cette année. Un acteur de menace lié à l’Iran a exécuté trois vagues d’attaques distinctes — les 3, 13 et 23 mars — ciblant des environnements Microsoft 365 au Moyen-Orient, en Europe et aux États-Unis.

L’ampleur de la campagne était significative : plus de 300 organisations ont été ciblées dans la région principale seule, avec une activité supplémentaire observée contre un nombre limité de cibles en Europe, au Royaume-Uni, aux États-Unis et en Arabie saoudite. Les secteurs touchés comprennent des entités gouvernementales, des municipalités, des entreprises technologiques, des opérateurs de transport, des organisations du secteur énergétique et des entreprises du secteur privé.

Ce qui rend cette campagne notable n’est pas seulement son ampleur mais sa sophistication opérationnelle. Les attaquants ont suivi un cycle discipliné en trois phases — scanner, infiltrer, exfiltrer — qui maximisait la récolte d’identifiants tout en minimisant la détection.

Anatomie de l’attaque : trois phases

Phase 1 : Scan via Tor

Les attaquants ont mené des scans intensifs de pulvérisation de mots de passe contre des centaines d’organisations simultanément. Plutôt que de marteler un seul compte avec de multiples mots de passe (ce qui déclenche les protections de verrouillage), la pulvérisation de mots de passe essaie un petit nombre de mots de passe courants contre un grand nombre de comptes — restant en dessous du seuil qui déclencherait les alertes de sécurité.

Pour éviter le blocage par IP, les attaquants ont acheminé tout le trafic de scan via des nœuds de sortie Tor, changeant fréquemment de nœuds pour empêcher la détection par motifs. Le trafic de scan utilisait une chaîne User-Agent se faisant passer pour Internet Explorer 10 — un navigateur qui n’est plus activement supporté depuis des années, ce qui en fait un signal anormal mais souvent négligé dans les journaux d’entreprise.

Phase 2 : Infiltration via VPN commerciaux

Une fois les identifiants valides identifiés, les attaquants ont entièrement changé de tactique. Au lieu de continuer à opérer via Tor, ils ont effectué le processus complet de connexion depuis des services VPN commerciaux — spécifiquement Windscribe (plage IP 185.191.204.X) et NordVPN (plage IP 169.150.227.X) — avec des points de sortie géolocalisés pour correspondre aux régions géographiques attendues des organisations cibles.

Cette usurpation géographique est conçue pour contourner les politiques d’accès conditionnel que de nombreuses organisations utilisent pour restreindre les connexions aux emplacements approuvés. Un attaquant se connectant depuis un serveur VPN géolocalisé dans le même pays que l’organisation cible ne déclencherait pas les alertes d’anomalie géographique.

Phase 3 : Exfiltration

Avec des sessions valides établies, les attaquants ont accédé à des données sensibles incluant le contenu de courriels personnels. L’analyse des chercheurs suggère que la phase d’exfiltration était ciblée plutôt qu’indiscriminée — les attaquants semblent avoir priorisé des comptes et des types de données spécifiques plutôt que de télécharger massivement tout le contenu disponible.

Attribution et profil de l’acteur de menace

L’analyse des chercheurs relie la campagne à un acteur de menace lié à l’Iran présentant des similitudes avec Gray Sandstorm, un groupe de menace suivi par Microsoft. Les indicateurs clés incluent :

L’utilisation d’outils de red team pour mener la pulvérisation de mots de passe via des nœuds de sortie Tor, conformément aux tactiques connues de Gray Sandstorm.
Des nœuds VPN commerciaux hébergés chez AS35758 (Rachamim Aviel Twito), un système autonome précédemment associé à des opérations liées à l’Iran au Moyen-Orient.
Une cadence opérationnelle — l’intervalle de 10 jours entre les vagues d’attaques suggère une campagne structurée avec des phases de planification et d’analyse entre chaque vague.

La campagne est évaluée comme étant toujours en cours début avril 2026.

Pourquoi la pulvérisation de mots de passe fonctionne encore

La pulvérisation de mots de passe reste efficace malgré son ancienneté parmi les techniques d’attaque d’identifiants, car elle exploite une tension fondamentale dans la sécurité d’entreprise : les organisations ont besoin que leurs employés puissent se connecter.

Les organisations modernes fixent généralement les seuils de verrouillage de compte à 5-10 tentatives échouées dans une courte fenêtre. La pulvérisation de mots de passe reste en dessous de ce seuil en n’essayant qu’un ou deux mots de passe par compte par vague. Contre un ensemble cible de plus de 300 organisations avec des milliers de comptes chacune, même un taux de réussite inférieur à 1 % produit des centaines d’identifiants valides.

Le passage à l’identité basée sur le cloud — particulièrement Microsoft 365, qui consolide la messagerie, le stockage de fichiers, la collaboration et les applications métier derrière un seul identifiant — signifie qu’une attaque par pulvérisation réussie donne accès à bien plus que le courrier électronique. Un compte M365 compromis peut accéder aux documents SharePoint, aux conversations Teams, aux fichiers OneDrive et potentiellement aux interfaces d’administration.

L’authentification multifacteur (MFA) est la défense principale contre les attaques basées sur les identifiants, mais l’adoption reste inégale. Selon les propres rapports de Microsoft, un pourcentage significatif de tenants M365 d’entreprise ont encore des comptes sans MFA activé, particulièrement les comptes de service, les boîtes aux lettres partagées et les applications héritées qui ne supportent pas les protocoles d’authentification modernes.

Mesures défensives

Les chercheurs en sécurité et Microsoft recommandent plusieurs contre-mesures :

Surveillez les journaux de connexion pour détecter les indicateurs de pulvérisation. Recherchez des grappes de tentatives d’authentification échouées sur plusieurs comptes depuis les mêmes plages IP, particulièrement les nœuds de sortie Tor. La chaîne User-Agent IE10 est un signal supplémentaire à surveiller.

Appliquez rigoureusement les contrôles d’accès conditionnel. Restreignez l’authentification aux emplacements géographiques approuvés et exigez des vérifications de conformité des appareils. De manière critique, assurez-vous que les connexions via VPN sont soumises à une vérification supplémentaire plutôt que d’être traitées comme équivalentes à l’authentification sur site.

Imposez la MFA universellement. Cela signifie chaque compte — y compris les comptes de service, les boîtes aux lettres partagées et les comptes d’urgence. Les politiques d’accès conditionnel devraient exiger la MFA pour toutes les connexions depuis des appareils ou emplacements non reconnus.

Activez une journalisation d’audit complète. L’investigation post-compromission nécessite des journaux détaillés des événements d’authentification, des accès aux boîtes aux lettres, des téléchargements de fichiers et des actions administratives. De nombreuses organisations ont la journalisation désactivée ou configurée avec une rétention minimale, limitant leur capacité à évaluer les dommages après une violation.

Bloquez les protocoles d’authentification hérités. Les anciens protocoles comme POP, IMAP et SMTP AUTH ne supportent pas la MFA et sont fréquemment ciblés par les attaques d’identifiants. Désactiver ces protocoles sur l’ensemble du tenant élimine une surface d’attaque courante.

Le tableau d’ensemble : l’identité cloud sous le feu

Cette campagne s’inscrit dans une tendance plus large. Les acteurs étatiques ciblent de plus en plus l’infrastructure d’identité cloud — particulièrement Microsoft 365 et Azure AD (désormais Entra ID) — car elle représente la plus grande concentration d’identifiants et de données d’entreprise au monde.

La campagne liée à l’Iran démontre que les acteurs sophistiqués n’ont pas besoin d’exploits inédits ou de malwares avancés pour compromettre des environnements d’entreprise. Ils ont besoin de patience, d’automatisation et d’un ensemble de cibles où un petit pourcentage de comptes a inévitablement des mots de passe faibles et pas de MFA. Les outils qu’ils utilisent — Tor, VPN commerciaux et scripts de pulvérisation — sont largement disponibles et peu coûteux.

Pour les équipes de sécurité, la leçon est claire : l’identité cloud est une infrastructure critique, et la défendre exige la même rigueur appliquée aux périmètres réseau et à la sécurité des terminaux. La pulvérisation de mots de passe est peut-être une technique ancienne, mais à l’ère du cloud, elle reste d’une efficacité dévastatrice.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Pourquoi la pulvérisation de mots de passe est-elle encore efficace contre les organisations modernes en 2026 ?

La pulvérisation de mots de passe reste en dessous des seuils de verrouillage en n’essayant qu’un ou deux mots de passe courants par compte sur des milliers de comptes simultanément. Même avec un taux de réussite inférieur à 1 %, pulvériser plus de 300 organisations produit des centaines d’identifiants valides. La technique exploite l’écart entre la politique de sécurité et son application — de nombreuses organisations ont encore des comptes avec des mots de passe faibles et sans MFA.

Comment les attaquants ont-ils contourné les contrôles d’accès conditionnel géographiques ?

Après avoir identifié les identifiants valides via un scan routé par Tor, les attaquants sont passés aux services VPN commerciaux (Windscribe et NordVPN) avec des points de sortie géolocalisés pour correspondre aux pays des organisations cibles. Les connexions semblaient ainsi provenir des emplacements attendus, contournant la détection d’anomalies géographiques sur laquelle de nombreuses organisations s’appuient comme défense principale.

Quelle est la défense la plus efficace contre ce type de campagne ?

L’authentification multifacteur (MFA) universelle sur chaque compte — y compris les comptes de service, les boîtes aux lettres partagées et les comptes d’urgence. La MFA rend les mots de passe volés inutiles car les attaquants ne peuvent pas compléter le second facteur d’authentification. Les organisations devraient également désactiver les protocoles hérités (POP, IMAP, SMTP AUTH) qui ne supportent pas la MFA.