Microsoft met au point un nouveau modèle de Machine Learning pour détecter les attaques par « vaporisation de passwords »…

Bon commençons par revenir sur ce qu’est la « Vaporisation de passwords » ou « Password spraying » en anglais. C’est une forme relativement grossière et courante de cyberattaque dans laquelle un acteur malveillant attaque des milliers d’IP avec quelques mots de passe couramment utilisés plutôt que d’essayer de nombreux mots de passe contre un seul utilisateur. Si cela indique que le taux de réussite par compte peut être assez faible mais que sur la masse cela marche… Problème : cette attaque est très difficile à détecter car elle est étalée sur plusieurs comptes dans un schéma de connexion qui peut paraitre normal, avec des erreurs courantes de saisie de mot de passe que ferait le véritable propriétaire du compte en question. Cette attaque ne peut être détectée sur plusieurs compte que si vous remarquez qu’une seule et même tentative avec le même « hash » échoue sur plusieurs comptes.

Voilà pour l’explication théorique de cette technique.

Pour contrer les attaques par « vaporisation de mots de passe », Microsoft avait auparavant mis au point un mécanisme heuristique dans lequel la société observait « la défaillance principale du système dans… le trafic mondial ! » et informait les organisations à risque. Aujourd’hui, la société a amélioré ce mécanisme en formant un nouvel algorithme de Machine Learning supervisé qui utilise des caractéristiques telles que la réputation IP, les propriétés de connexion inconnues et d’autres différences sur les comptes pour détecter quand un compte est attaqué.

Microsoft affirme que son nouveau modèle présente une augmentation de 100 % de la mémorisation par rapport à l’algorithme heuristique. Cela signifie qu’il détecte deux fois plus de comptes compromis. En outre, il a également une précision de 98%, ce qui signifie que si le modèle prétend qu’un compte a été victime d’une attaque par pulvérisation de mots de passe, alors cela est presque certainement vrai dans tous les cas… Un usage particulièrement interessant de l’IA donc, alors même que cette dernière est de plus en plus utilisée par les malfaiteurs eux-mêmes ! Une sorte de jeu du chat et de la souris…

Le nouveau modèle sera bientôt disponible pour les clients d’Azure AD Identity Protection, qui pourront l’utiliser via le portail et les API pour la protection de l’identité.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.