Les deux impliquent des connexions échouées. Comment distingueriez-vous une attaque par force brute d'un password spray dans vos journaux ?
Réponse courte
La force brute cible un seul compte avec de nombreuses tentatives de mot de passe, on voit donc beaucoup d'échecs concentrés sur un même identifiant. Le password spray inverse la logique : un ou quelques mots de passe courants essayés sur de nombreux comptes, lentement et discrètement, de sorte que chaque compte ne voit que quelques échecs. Le signal de détection est le ratio comptes/échecs et le timing, pas le nombre brut d'échecs.
Ces deux attaques se ressemblent superficiellement — beaucoup de connexions échouées — mais la forme des données est opposée, tout comme la bonne détection. Les recruteurs s'en servent pour tester si vous raisonnez sur l'intention de l'attaquant et la logique de détection plutôt que de simplement compter les erreurs.
Force brute : en profondeur sur un compte
Une attaque par force brute se concentre sur un seul compte et lui lance de nombreuses tentatives de mot de passe. Dans les logs, vous voyez un volume élevé d'échecs d'authentification tous liés à un identifiant, souvent depuis une ou quelques IP source, sur une courte fenêtre. C'est bruyant et cela déclenche généralement vite les politiques de verrouillage de compte, ce qui est à la fois une défense et un risque de déni de service.
Password spray : large et superficiel
Un password spray inverse la stratégie. L'attaquant prend un ou quelques mots de passe courants (pensez à « Spring2026! ») — du genre de ceux qui figurent en tête de toute wordlist de mots de passe courants — et les essaie sur de nombreux comptes, une tentative chacun, puis attend avant la prochaine vague. Comme chaque compte ne voit qu'un ou deux échecs, l'attaque reste sous les seuils de verrouillage et échappe aux règles naïves « 5 échecs = alerte ». L'indice est l'ampleur : de nombreux identifiants distincts échouant avec le même mot de passe depuis la même source au fil du temps.
Sur quoi détecter
Pour la force brute, alertez sur un nombre élevé d'échecs par compte. Pour le spray, changez de point de vue : comptez les comptes distincts ciblés par IP source dans une fenêtre, et surveillez de nombreux comptes échouant chacun un petit nombre de fois. Sous Windows, pivotez sur l'event ID 4625 (logon échoué) et corrélez par IP source et compte ; un 4624 réussi après un spray est le moment dangereux.
Pourquoi c'est important
Le MFA atténue les deux, mais la détection reste cruciale car un seul spray réussi peut signifier une prise de contrôle de compte. Montrer que vous ajustez la détection à la forme de l'attaque — et non au seul volume d'échecs — signale une vraie maturité analytique.
Questions de suivi probables
- Pourquoi le password spray échappe-t-il souvent aux politiques de verrouillage de compte ?
- Sur quels event IDs Windows pivoteriez-vous pour une authentification échouée ?
- Comment le MFA changerait-il l'impact de chacune de ces attaques ?