password-security-guideINFO

Qu'est-ce que le password spraying ? Fonctionnement et protection (2026)

Le password spraying teste un mot de passe courant sur de nombreux comptes pour échapper aux verrouillages, au lieu de nombreux mots de passe sur un seul compte. Fonctionnement, différences avec le brute force et le credential stuffing, et comment s'en protéger.

Par Eric Gerard · Éditeur · PwdFortress4 min de lecturePhoto: Pexels

La plupart des gens imaginent une attaque de mot de passe comme un ordinateur martelant une seule boîte de connexion avec des millions de tentatives. Le password spraying, c'est l'inverse, et c'est exactement ce qui le rend dangereux. Au lieu de nombreuses tentatives contre un seul compte, il utilise un mot de passe courant contre de nombreux comptes - une approche discrète conçue pour se faufiler directement au-delà des défenses bâties pour contrer les tentatives ordinaires.

Ce qu'est réellement le password spraying

Dans une attaque de password spraying, l'attaquant part d'une liste de noms d'utilisateur ou d'adresses e-mail - souvent faciles à collecter parce que les organisations utilisent des formats prévisibles comme prenom.nom@entreprise.com. Ensuite, au lieu de deviner de nombreux mots de passe pour une seule personne, il choisit un unique mot de passe très courant, comme Password2026! ou Company@123, et le teste sur chaque compte de la liste. Si celui-là échoue, il attend et essaie un deuxième mot de passe courant sur tout le monde.

L'astuce, c'est la patience. Les politiques de lockout verrouillent généralement un compte après une poignée de tentatives échouées. En n'essayant qu'un ou deux mots de passe par compte, le spraying reste sous ce seuil sur chaque compte, si bien que rien n'est verrouillé et que peu d'alarmes se déclenchent. L'attaquant parie que, dans un groupe de personnes suffisamment grand, au moins une a utilisé ce mot de passe faible et évident. En général, quelqu'un l'a fait.

En quoi il diffère du brute force et du credential stuffing

Ces trois attaques sont constamment confondues, mais la différence est simple une fois qu'on voit la forme de chacune :

  • Brute force - de nombreux mots de passe contre un seul compte. Bruyant, déclenche les lockouts, et mis en échec par un mot de passe long et aléatoire.
  • Password spraying - un mot de passe contre de nombreux comptes. Discret, évite les lockouts, et mis en échec en n'utilisant pas de mots de passe courants (plus la MFA).
  • Credential stuffing - de vraies paires identifiant et mot de passe fuitées, rejouées sur plusieurs sites. Exploite la réutilisation des mots de passe, et mis en échec par un mot de passe unique par site.

L'idée clé : le brute force est vaincu par la force du mot de passe, tandis que le spraying et le stuffing sont vaincus par l'unicité et l'imprévisibilité du mot de passe. Un mot de passe fort que vous partagez avec un schéma courant aide encore un attaquant ; un mot de passe unique et aléatoire, non.

Touches de clavier blanches disposées pour épeler un mot de passe. Le password spraying s'attaque aux mots de passe courants et prévisibles - l'opposé des longues chaînes aléatoires que crée un gestionnaire de mots de passe.
Touches de clavier blanches disposées pour épeler un mot de passe. Le password spraying s'attaque aux mots de passe courants et prévisibles - l'opposé des longues chaînes aléatoires que crée un gestionnaire de mots de passe.

Pourquoi ça marche, et où on le rencontre

Le password spraying prospère dans deux conditions : des noms d'utilisateur prévisibles et au moins un mot de passe faible dans la foule. Les grandes organisations cochent les deux cases, ce qui explique pourquoi c'est une technique si courante contre les connexions d'entreprise - Microsoft 365, les passerelles VPN et les portails de single sign-on sont des cibles fréquentes. Les attaquants, y compris des groupes bien dotés en ressources, l'apprécient parce qu'il est peu bruyant et qu'il passe à l'échelle : diffusez un mot de passe sur des milliers de comptes et les probabilités disent que quelques-uns aboutiront.

Cela se rattache aussi directement à des attaques que nous traitons ailleurs. Si vous voulez la version verticale, voyez ce qu'est une attaque par force brute ; si vous voulez la version rejeu-de-fuite, voyez ce qu'est le credential stuffing. Le spraying se situe entre les deux : aucune donnée de violation requise, juste des mots de passe faibles et une longue liste de noms.

Comment l'arrêter

La bonne nouvelle, c'est que le même petit ensemble d'habitudes met le spraying hors d'état de nuire :

  • Activez la multi-factor authentication (MFA). C'est la défense la plus importante à elle seule. Même si un mot de passe diffusé est correct, la connexion est stoppée au second facteur. Les campagnes de password spraying réussissent très majoritairement contre des comptes sans MFA.
  • Utilisez des mots de passe uniques et non courants. Le spraying dépend du fait que les gens choisissent leurs mots de passe dans une liste prévisible. Un gestionnaire de mots de passe en génère de longs et aléatoires qui n'apparaissent jamais sur ces listes, si bien qu'il n'y a rien de courant à diffuser. C'est là qu'un gestionnaire justifie son utilité.
  • Pour les organisations : activez un smart lockout qui repère les échecs de connexion répartis en faible densité sur de nombreux comptes, bloquez les protocoles de legacy authentication qui contournent la MFA, et surveillez les échecs de connexion distribués plutôt que ceux propres à un seul compte.

Le password spraying fonctionne en trouvant l'unique mot de passe faible dans une foule. La solution consiste à s'assurer qu'il n'y a aucun mot de passe faible et courant à trouver - et à placer la MFA derrière chaque connexion pour que même une tentative chanceuse ne mène nulle part.

Questions fréquentes

Qu'est-ce que le password spraying ?

Le password spraying est une attaque où un criminel prend un mot de passe courant - comme 'Password2026!' ou 'Company@123' - et le teste sur de nombreux comptes différents, plutôt que d'essayer de nombreux mots de passe sur un seul compte. En ne tentant qu'un ou deux mots de passe par compte, l'attaquant reste sous le seuil de lockout qui se déclencherait normalement après plusieurs échecs de connexion, si bien que l'attaque passe inaperçue. Il suffit qu'une seule personne dans une organisation utilise ce mot de passe faible pour que l'attaquant entre.

En quoi le password spraying diffère-t-il du brute force ?

Le brute force fonctionne verticalement : de nombreuses tentatives de mots de passe contre un seul compte, jusqu'à ce que l'une réussisse. C'est pourquoi il déclenche les verrouillages de compte et qu'un mot de passe long et aléatoire le met en échec. Le password spraying fonctionne horizontalement : un mot de passe contre de nombreux comptes. Comme chaque compte ne voit que quelques tentatives, il évite entièrement les lockouts. La force du mot de passe seule ne protège pas une organisation contre le spraying - il suffit d'un seul utilisateur avec un mot de passe faible et courant pour que la tentative de connexion réussisse.

En quoi le password spraying diffère-t-il du credential stuffing ?

Le credential stuffing rejoue des paires réelles d'identifiant et de mot de passe déjà fuitées lors d'une précédente violation de données, en pariant sur la réutilisation des mots de passe. Le password spraying n'a besoin d'aucune donnée fuitée - il associe simplement une liste de noms d'utilisateur ou d'e-mails (souvent faciles à deviner ou publics) à une poignée de mots de passe très courants. Le stuffing exploite la réutilisation ; le spraying exploite les mots de passe faibles et prévisibles. Les deux sont mis en échec par les deux mêmes choses : des mots de passe uniques et la multi-factor authentication.

Où le password spraying est-il utilisé ?

C'est une technique courante contre les organisations, en particulier les connexions cloud et d'accès à distance comme Microsoft 365, les portails VPN et le single sign-on. Les attaquants, y compris certains groupes bien dotés en ressources, le privilégient car il est discret et efficace à grande échelle : diffusez un mot de passe courant sur des milliers de comptes d'entreprise et quelques-uns correspondront. Il apparaît aussi contre toute grande surface de connexion où les noms d'utilisateur suivent un schéma prévisible comme prenom.nom.

Comment me protéger contre le password spraying ?

Deux défenses font l'essentiel du travail. D'abord, la multi-factor authentication (MFA) : même si le mot de passe diffusé est correct, l'attaquant est stoppé au second facteur. Ensuite, des mots de passe uniques et non courants - un gestionnaire de mots de passe en génère de longs et aléatoires qui n'apparaissent jamais sur les listes de mots de passe courants dont dépend le spraying. Pour les organisations, ajoutez un smart lockout qui détecte les échecs de connexion répartis sur de nombreux comptes, bloquez les protocoles de legacy authentication qui contournent la MFA, et surveillez les échecs de connexion distribués.