Au milieu de l'escalade du conflit au Moyen-Orient, une campagne de cyberattaque dirigée contre les environnements Microsoft 365 a mis en avant les organisations de la région. Selon l'analyse publiée par la société de sécurité Check Point, un acteur ayant des liens avec l'Iran aurait exécuté trois vagues de tentatives ciblées d'accès brut à la force les 3, 13 et 23 mars 2026, principalement en direction d'Israël et des Émirats arabes unis et touchant des centaines d'entités locales.
La technique utilisée - connue sous le nom de pulvérisation de mot de passe - est de tester le même mot de passe commun contre de nombreux utilisateurs différents dans une application donnée, une tactique qui réduit la probabilité d'activer des mécanismes de blocage par des tentatives ratées et permet de découvrir des pouvoirs faibles sur une échelle. Check Point relate cette approche aux modèles qui, dans le passé, ont été attribués à des groupes iraniens tels que Peach Sandstorm et Gray Sandstorm (également identifiés dans d'autres endroits par l'industrie), et note que l'attaque s'est développée en phases : balayage agressif des nœuds de sortie de Tor, tentatives d'authentification et, dans les cas où ils ont atteint l'accès, suppression d'informations sensibles telles que le contenu des boîtes aux lettres.
Le rapport technique de la société israélienne décrit également l'utilisation d'outils «d'équipe rouge» et l'utilisation de l'anonimisation commerciale et de l'infrastructure VPN - y compris les nœuds associés à AS35758 - pour cacher l'origine des connexions. Bien que l'accent ait été mis sur Israël et les Émirats arabes unis, Check Point a détecté des activités liées au même acteur contre des cibles en Europe, aux États-Unis, au Royaume-Uni et en Arabie saoudite, et a signalé les victimes, des organismes gouvernementaux et des municipalités aux secteurs tels que la technologie, les transports et l'énergie.
Ce type de campagne montre deux réalités critiques : d'une part, la persistance et la capacité de sophistication des acteurs opérant à partir des États ou ayant des liens avec eux; d'autre part, la vulnérabilité inhérente à de nombreux environnements nuageux lorsque des contrôles de défense approfondis de base ne sont pas appliqués.
Les recommandations visant à se défendre contre les tentatives de pulvérisation par mot de passe sont bien connues et, cependant, ne sont toujours pas appliquées de manière homogène. La surveillance des registres d'enregistrement pour détecter les tendances anormales, l'imposition de contrôles d'accès conditionnels qui limitent l'authentification aux emplacements autorisés, l'exigence d'authentification multifacteurs (AMF) pour tous les comptes et l'activation du registre de vérification pour permettre d'autres enquêtes sont des mesures fondamentales mais efficaces. Microsoft maintient des guides pratiques sur la façon de configurer l'accès conditionnel et MFA dans les environnements Azure / Microsoft 365 qui sont utiles pour tout administrateur: Guide d'accès conditionnel Microsoft et Documents relatifs à l'AMF.
Le contexte régional amplifie le risque : ce ne sont pas des incidents isolés, mais une dynamique où le cyberespace est devenu un autre domaine de confrontation géopolitique. Parallèlement aux campagnes d'accès et d'exfiltration, les opérations de Ransomware et d'autres activités de sabotage se sont multipliées, mélangeant motivations politiques et profits, brouillant la frontière entre le crime organisé et les opérations avec le soutien ou la tolérance de l'État.
Un exemple récent et pertinent est l'attaque contre une organisation de santé aux États-Unis à la fin de février 2026 attribuée au groupe Pay2Key, une opération Ransomware qui, selon des enquêtes indépendantes et d'assurance, montre des liens avec des opérateurs iraniens. Au cours de cet incident, les agresseurs auraient utilisé une voie d'accès non déterminée par le public, en profitant d'outils d'accès à distance légitimes pour établir la présence, recueillir des justificatifs, désactiver les défenses et déployer le chiffre. Les rapports de signatures tels que Halcyon et Beazley fournissent des détails sur la façon dont ces acteurs ont évolué leurs techniques: du fauxum de l'état des solutions antivirus au nettoyage des enregistrements à la fin de l'exécution pour effacer les traces de leurs propres actions. Des informations plus générales sur l'apparence et la tactique des groupes Ransomware sont disponibles dans les publications de Halcyon et dans l'analyse industrielle: Halcyon - analyse des menaces et Beazley - ressources sur les cyberincidents.
De plus, des variantes Ransomware adaptées aux environnements Linux ont été observées, ce qui complique encore la réponse, conçue pour fonctionner avec des privilèges root, voyager avec une large gamme de systèmes de fichiers et utiliser des chiffrements modernes comme ChaCha20, ainsi que désactiver les mécanismes de sécurité et assurer la persistance après le redémarrage. Des recherches techniques récentes sur les échantillons et le comportement de ces variantes ont été publiées par des sociétés de sécurité telles que Morphyec, qui documentent les techniques de défenses affaiblissant et persistant: Morphisec - blog technique.
Dans l'écosystème de Ransomware, des mouvements entre opérateurs et affiliés ont également été signalés: Les administrateurs de la famille Ransomware ont encouragé certains groupes à adopter d'autres chiffres ou à reprendre l'avantage de familles politiquement idéologiques, conduisant une circulation d'outils et de tactiques dans le sous-monde de la cybercriminalité qui ont éventuellement une incidence sur les objectifs civils et commerciaux. Ce phénomène renforce la thèse selon laquelle de nombreuses campagnes contemporaines combinent des objectifs géopolitiques et des modèles commerciaux criminels, et que les objectifs de la région - des infrastructures critiques aux prestataires de services - sont particulièrement souhaitables.
Que peut faire une organisation aujourd'hui? Au-delà de l'application du MFA et des contrôles d'accès conditionnel, il est essentiel de maintenir l'hygiène d'un compte : restreindre les comptes avec des privilèges, faire pivoter et exclure les mots de passe par défaut, mettre en place des environnements de détection et de messagerie des points d'extrémité, et pratiquer des plans de réponse et de récupération comprenant des procédures de sauvegarde et de restauration éprouvées. La visibilité est critique : l'enregistrement et l'analyse de la télémétrie des activités d'authentification et de nuage permettent de détecter les patrons de balayage et les mouvements latéraux avant que l'intrusion n'entraîne une infiltration massive ou un chiffrement.
Enfin, il convient de rappeler que la cyberdéfense n'est pas seulement une question technique mais aussi une question d'organisation et de politique. La collaboration entre les secteurs, l'échange de renseignements entre les entreprises et avec les agences nationales et l'adoption continue de bonnes pratiques par les fournisseurs et les clients sont des éléments nécessaires pour réduire l'impact de ces campagnes. Pour ceux qui gèrent les environnements Microsoft 365, les guides et outils publiés par le fournisseur et la communauté d'intervention en cas d'incident constituent un bon point de départ : Surveillance et rapports d'identité en Azure AD.
Le paysage de la menace change rapidement et souvent sans grandes annonces publiques : les attaques qui commencent par une simple tentative de mot de passe peuvent devenir des lacunes avec de graves conséquences économiques et opérationnelles. La meilleure défense est d'anticiper avec des contrôles de base bien configurés, une visibilité continue et des procédures de réponse ajustées. Pour suivre ces menaces et ces recommandations techniques, il convient de suivre les publications des entreprises spécialisées et des centres d'intervention en cas d'incident qui documentent et analysent ces événements en temps réel.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...