Bien que l'authentification multifacteur (MFA) soit devenue la norme, les attaques de type Force Brute (Brute Force) et Password Spraying (pulvérisation de mots de passe) continuent de saturer les journaux de sécurité des entreprises. Les cybercriminels déploient des botnets automatisés pour tester des milliers de combinaisons de mots de passe sur les comptes Microsoft Entra ID (Azure AD) exposés sur Internet.
L'objectif de l'attaquant ? Trouver un compte où le MFA a été mal configuré, un compte de service oublié, ou simplement inonder l'utilisateur légitime de notifications MFA (MFA Fatigue) jusqu'à ce qu'il valide l'accès par lassitude. Face à cette menace bruyante, le SOC doit être capable de détecter la tentative, de la qualifier rapidement et de verrouiller le compte cible.
Comment Entra ID Protection détecte-t-il la force brute ?
Microsoft Entra ID Protection est doté d'algorithmes de détection heuristique avancés. Il ne se contente pas de compter le nombre d'échecs de connexion. Il analyse le contexte :
- L'adresse IP d'origine a-t-elle déjà été associée à des comportements malveillants par le passé (Microsoft Threat Intelligence) ?
- Les tentatives visent-elles un seul compte (Force Brute classique) ou plusieurs comptes de l'entreprise avec le même mot de passe courant (Password Spraying) ?
- Le format de la tentative d'authentification utilise-t-il des protocoles d'authentification hérités (Legacy Authentication) souvent exploités par les pirates car ils ne supportent pas le MFA ?
Dès que l'algorithme confirme l'attaque, il attribue un niveau de risque à l'utilisateur ciblé (Faible, Moyen, ou Élevé).
La centralisation et la qualification avec Akuity SOC
Pour un administrateur système, surveiller le portail Entra ID en permanence pour repérer ces élévations de risque est chronophage. L'orchestrateur Akuity SOC rassemble tous ces événements critiques dans l'onglet "Identités à risque".
Lorsqu'un compte subit une attaque par force brute soutenue, il apparaît immédiatement dans la liste. Mais bloquer un compte au premier échec de connexion est contre-productif. Il faut qualifier l'attaque.
L'analyse des signaux faibles (JIT)
Grâce à l'analyse Just-In-Time (JIT) d'Akuity, l'analyste clique sur l'icône de loupe pour interroger Microsoft Graph. Le panneau latéral révèle si le risque provient d'une simple erreur de frappe répétée par l'employé ou s'il s'agit d'une adresse IP anonymisée liée à un réseau de piratage. Si l'IA Gemini (intégrée aux notes de l'analyste) identifie l'IP comme une source de spam connue sur AlienVault OTX, la menace est confirmée.
La remédiation : Bloquer par le statut "Compromis"
Lorsqu'une attaque par force brute est en passe de réussir (par exemple, si l'attaquant a trouvé le bon mot de passe mais est bloqué par la demande MFA qu'il tente de contourner), l'équipe SOC doit intervenir fermement.
Plutôt que de supprimer le compte ou de changer le mot de passe manuellement (ce qui ne stoppe pas forcément les scripts de l'attaquant), la bonne pratique consiste à utiliser l'action API confirmUserCompromised (Confirmation de compromission).
Ce que fait l'action "Confirm Compromised"
Accessible en un clic sécurisé (MFA AAL2) depuis le cockpit d'Akuity, cette action envoie un signal fort à Microsoft Entra ID : "L'équipe de sécurité certifie que ce compte est sous attaque sévère ou piraté".
Ce statut officiel permet de déclencher automatiquement vos boucliers défensifs : les politiques d'Accès Conditionnel (Conditional Access Policies).
Si vous avez configuré une règle stipulant que tout compte avec un risque d'utilisateur "Élevé" voit ses accès bloqués, l'action déclenchée via Akuity va instantanément fermer toutes les portes à l'attaquant. Les tentatives de connexion de l'IP malveillante seront rejetées dès la première étape, protégeant ainsi l'infrastructure tout en conservant une trace d'audit irréprochable dans les journaux JSON SOC 2 de l'application.
Conclusion : Transformez le bruit en action
Les attaques par force brute génèrent beaucoup de bruit de fond et peuvent masquer des intrusions plus ciblées. En utilisant une interface unifiée pour surveiller les identités à risque et en exploitant les API d'Entra ID Protection pour confirmer rapidement la compromission, vous mettez fin à l'attaque de manière systémique et automatisée.
Protégez vos identités cloud contre l'automatisation malveillante. > Apprenez à bloquer les attaques par force brute avec notre module de Gestion des Identités à Risque Entra ID en un seul clic.