Attaques et menaces
Pulvérisation de mots de passe
Aussi appelé: Devinette à faible débit
Définition
Attaque "low and slow" qui essaie un petit lot de mots de passe courants sur de nombreux comptes, en restant sous les seuils de verrouillage et de rate-limit.
Exemples
- Un APT teste "Printemps2025!" sur tous les comptes d'un tenant Entra ID pendant une heure chaque jour.
- Des bots parcourent des mots de passe saisonniers sur un SSL VPN d'entreprise pour repérer les utilisateurs faibles.
Termes liés
Attaque par force brute
Attaque qui essaie systématiquement toutes les valeurs possibles — typiquement mots de passe, PIN ou clés — jusqu'à trouver la bonne.
Bourrage d'identifiants
Attaque automatisée qui rejoue d'énormes listes de couples identifiant/mot de passe issues d'une fuite contre d'autres services, exploitant la réutilisation des mots de passe.
Attaque par dictionnaire
Attaque ciblée de devinette de mots de passe qui essaie des entrées d'une liste précompilée de mots probables, de mots de passe fuités et de variantes générées par règles.
Authentification défaillante
Catégorie de vulnérabilités où des failles d'authentification ou de gestion de session permettent à un attaquant d'usurper des comptes légitimes.
Authentification multifacteur (MFA)
Méthode d'authentification exigeant au moins deux facteurs indépendants — généralement de catégories différentes — avant d'accorder l'accès.
Password
Password — definition coming soon.