18/11/2024
IT-Connect » Actualités » Actu Cybersécurité » VPN : 2 millions de mots de passe compromis en 2024, quels sont les services affectés ?

Vol de mots de passe VPN en 2024
Actu Cybersécurité

VPN : 2 millions de mots de passe compromis en 2024, quels sont les services affectés ?

Florian BURNEL 0 commentaire

Une étude publiée récemment par l'équipe de recherche de Specops Software montre que les services VPN sont également vulnérables aux vols de mots de passe : plus de 2,1 millions de mots de passe VPN ont été compromis au cours de l'année écoulée.

L'équipe de recherche de Specops a mis en ligne un article pour évoquer les résultats de son étude sur les vols de mots de passe VPN, en particulier ceux de services tels que Proton VPN, NordVPN ou encore CyberGhost VPN. Il s'agit de services de VPN plutôt destinés au grand public, tandis que OpenVPN, aussi dans la liste, fait plutôt référence aux accès distant utilisés par les entreprises.

Notre équipe de recherche sur les menaces montre qu’au total, ce sont 2 151 523 mots de passe VPN qui ont été compromis par des logiciels malveillants au cours de l’année écoulée.", peut-on lire.

Comment les mots de passe VPN sont-ils volés ?

Il faut bien comprendre qu'il ne s'agit pas d'une fuite de données liées directement à un service VPN, mais un vol d'identifiant opéré directement sur les appareils des utilisateurs. Si la machine d'un utilisateur est infecté par un logiciel malveillant de type "infostealer", alors son mot de passe VPN est susceptible d'être volé et collecté par les pirates. Autrement dit, le service VPN n'est pas à remettre en cause.

Ce n'est pas la seule méthode employée par les cybercriminels pour collecter les mots de passe. Ils peuvent aussi utiliser la technique dite du « brute force » pour tenter de trouver un couple nom d'utilisateur et mot de passe valide. De plus, ils peuvent s'appuyer sur du phishing pour créer de fausses pages d'authentification et ainsi collecter les identifiants des utilisateurs. Dans une moindre mesure, nous pouvons aussi évoquer les keyloggers : enregistreur de frappes.

À quels services correspondent ces mots de passe ?

Plus un service est populaire, plus il compte d'utilisateurs, et donc plus il y a de chance qu'il y ait des comptes compromis... L'enquête de Specops montre que le service ProtonVPN est particulièrement "impacté" par ce vol de mot de passe.

Les 10 fournisseurs de services VPN les plus populairesNombre de mots de passe volés
protonvpn.com1,306,229
expressvpn.com94,772
nordvpn.com89,289
cyberghostvpn.com83,648
droidvpn.com77,429
vpnelf.com27,581
vyprvpn.com25,533
openvpn.com24,670
safervpn.com21,561
purevpn.com21,114

Dans le cas où il s'agit d'un identifiant volé à partir d'OpenVPN, cela est particulièrement gênant, car cela peut permettre à un attaquant de se connecter au réseau d'une entreprise. Les utilisateurs finaux utilisent souvent leurs identifiants Active Directory pour se connecter aux VPN d’entreprise, et ils peuvent également réutiliser leurs mots de passe Active Directory pour accéder à leurs VPN personnels.", précise le rapport.

Une liste de mots de passe à bloquer

Specops a publié la liste des principaux mots de passe compromis : et là, c'est particulièrement inquiétant. Surtout, nous pouvons avoir le sentiment que les années passent, mais que les utilisateurs continuent d'utiliser des mots de passe faibles... En effet, dans cette liste, nous retrouvons des mots de passe comme : 123456, 1234, admin, password, protonvpn, qwerty, 11111111.

Dans la grande majorité des cas, les mots de passe sont associés à une adresse e-mail Gmail, ProtonMail ou encore Hotmail. Il s'agirait donc de comptes VPN utilisés à titre personnel. Néanmoins, ce n'est pas le cas de tous les comptes, et Specops a identifié plusieurs mots de passe qui pourraient correspondre à ces comptes d'entreprises. "Si vous disposez d’une liste de blocage des mots de passe, il peut être utile d’ajouter ceux-ci.", précise le rapport.

Mots de passe VPN d’entreprise soupçonnés d’avoir été volés
admin
123456
Abcd@123#
admin123
P@ssword
abc123456+
Aa12345678
88366733
Milan0
Porta2016
Lordthankyou2
Vv888888
A10203040a
V3ls1s1234
zzx3239852
uzair12345
qst1234

En entreprise, certains accès distants VPN pouvant être associés à l'authentification Active Directory, c'est tout de même préoccupant. Dans ce cas, il peut s'avérer utile d'effectuer une analyse de votre Active Directory avec Specops Password Auditor. Ceci vous permettra de savoir si certains de vos comptes Active Directory utilisent un mot de passe déjà compromis.

Que pensez-vous de cette étude ?

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Piratage GoDaddy 2023

Pendant 3 ans, des pirates ont pu accéder à des serveurs de GoDaddy !

Florian BURNEL 1
Phishing Microsoft Teams Sous-domaines onmicrosoft.com

Phishing sur Microsoft Teams : des sous-domaines onmicrosoft.com utilisés par des pirates russes !

Florian BURNEL 0
Microsoft Patch Tuesday Juin 2023

Patch Tuesday – Juin 2023 : 78 failles de sécurité corrigées, mais pas de zero-day !

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.