En 2024, plus de 2 millions de mots de passe VPN ont été volés. Malgré leur réputation de sécurité, certains fournisseurs de réseaux privés virtuels parmi les plus populaires et sûrs du marché sont touchés.
Qui dit VPN dit sécurité. Qui dit sécurité dit rempart ultime contre les cyberattaques. Pourtant, l'équipe de recherche de Specops vient d'écorner un tant soit peu la réputation d'un des outils de cybersécurité les plus inviolables qui soient. Ce sont en effet plus de 2 millions de mots de passe VPN qui ont été dérobés par des malwares en 2024. Une véritable saignée dans le monde du réseau privé.
De grands noms du secteur ne sont pas épargnés. Ces géants, réputés pour leur fiabilité, se retrouvent en première ligne des victimes. Mais ils ne sont pas forcément en cause dans les pillages qu'ils subissent.
Les géants du VPN pillés
L'étude de Specops Software montre que rien, hélas, n'est invulnérable dans l'univers impitoyable du Web. Pas même les services VPN les plus populaires. Proton VPN arrive en tête de ce triste palmarès avec plus de 1,3 million de mots de passe compromis. ExpressVPN et NordVPN suivent, avec respectivement 94 772 et 89 289 identifiants volés.
Avant de tirer sur l'ambulance, encore faut-il être sûr du véritable responsable de cette mise à sac. Et il se trouve que l'étude révèle que la réponse est à chercher du côté des utilisateurs plutôt que dans la technologie VPN elle-même. En effet, les pirates ont ciblé le maillon faible de la chaîne : les pratiques de sécurité des internautes. Phishing, logiciels malveillants, réutilisation de mots de passe... Les techniques d'attaque sont variées et exploitent souvent la négligence ou le manque de connaissances en matière de cybersécurité. Quand on vous conseille, chez Clubic, de ne pas mettre tous vos œufs dans le même panier en utilisant, par exemple, un gestionnaire de mots de passe…
Les mots de passe trop simples, une faille encore et toujours exploitée
On vous en avait déjà parlé chez Clubic, mais même pour des services aussi critiques que les VPN. Les combinaisons les plus courantes sont d'une banalité affligeante : « 123456 », « password », ou encore « qwerty » figurent en bonne place dans le triste hit-parade des mots de passe compromis.
Ce qui aurait tendance à inquiéter davantage, c'est que cette négligence n'épargne pas le monde professionnel. Des mots de passe comme « admin » ou « P@ssw0rd » ont été identifiés sur des VPN d'entreprise, avec les conséquences désastreuses qu'on imagine. La réutilisation des identifiants aggrave encore le problème : un mot de passe volé sur un service peut compromettre l'ensemble des comptes d'un utilisateur, y compris son accès au réseau de son entreprise.
Hélas, il n'existe pas encore d'outil permettant une prise de conscience générale de l'importance des mots de passe. Alors, autant garder en tête ces bonnes pratiques que sont par exemple la mise en place de l'authentification à deux facteurs et la sensibilisation, du côté des DSI, des collaborateurs aux risques du phishing.
Source : Specops