Une étude publiée récemment par l’équipe de recherche de Specops Software montre que les services VPN sont également vulnérables aux vols de mots de passe : plus de 2,1 millions de mots de passe VPN ont été compromis au cours de l’année écoulée.
L’équipe de recherche de Specops a mis en ligne un article pour évoquer les résultats de son étude sur les vols de mots de passe VPN, en particulier ceux de services tels que Proton VPN, NordVPN ou encore CyberGhost VPN. Il s’agit de services de VPN plutôt destinés au grand public, tandis que OpenVPN, aussi dans la liste, fait plutôt référence aux accès distant utilisés par les entreprises.
Notre équipe de recherche sur les menaces montre qu’au total, ce sont 2 151 523 mots de passe VPN qui ont été compromis par des logiciels malveillants au cours de l’année écoulée.« , peut-on lire.
Table de Matieres
Il faut bien comprendre qu’il ne s’agit pas d’une fuite de données liées directement à un service VPN, mais un vol d’identifiant opéré directement sur les appareils des utilisateurs. Si la machine d’un utilisateur est infecté par un logiciel malveillant de type « infostealer », alors son mot de passe VPN est susceptible d’être volé et collecté par les pirates. Autrement dit, le service VPN n’est pas à remettre en cause.
Ce n’est pas la seule méthode employée par les cybercriminels pour collecter les mots de passe. Ils peuvent aussi utiliser la technique dite du « brute force » pour tenter de trouver un couple nom d’utilisateur et mot de passe valide. De plus, ils peuvent s’appuyer sur du phishing pour créer de fausses pages d’authentification et ainsi collecter les identifiants des utilisateurs. Dans une moindre mesure, nous pouvons aussi évoquer les keyloggers : enregistreur de frappes.
À quels services correspondent ces mots de passe ?
Plus un service est populaire, plus il compte d’utilisateurs, et donc plus il y a de chance qu’il y ait des comptes compromis… L’enquête de Specops montre que le service ProtonVPN est particulièrement « impacté » par ce vol de mot de passe.
Les 10 fournisseurs de services VPN les plus populaires | Nombre de mots de passe volés |
protonvpn.com | 1,306,229 |
expressvpn.com | 94,772 |
nordvpn.com | 89,289 |
cyberghostvpn.com | 83,648 |
droidvpn.com | 77,429 |
vpnelf.com | 27,581 |
vyprvpn.com | 25,533 |
openvpn.com | 24,670 |
safervpn.com | 21,561 |
purevpn.com | 21,114 |
Dans le cas où il s’agit d’un identifiant volé à partir d’OpenVPN, cela est particulièrement gênant, car cela peut permettre à un attaquant de se connecter au réseau d’une entreprise. Les utilisateurs finaux utilisent souvent leurs identifiants Active Directory pour se connecter aux VPN d’entreprise, et ils peuvent également réutiliser leurs mots de passe Active Directory pour accéder à leurs VPN personnels.« , précise le rapport.
Une liste de mots de passe à bloquer
Specops a publié la liste des principaux mots de passe compromis : et là, c’est particulièrement inquiétant. Surtout, nous pouvons avoir le sentiment que les années passent, mais que les utilisateurs continuent d’utiliser des mots de passe faibles… En effet, dans cette liste, nous retrouvons des mots de passe comme : 123456, 1234, admin, password, protonvpn, qwerty, 11111111.
Dans la grande majorité des cas, les mots de passe sont associés à une adresse e-mail Gmail, ProtonMail ou encore Hotmail. Il s’agirait donc de comptes VPN utilisés à titre personnel. Néanmoins, ce n’est pas le cas de tous les comptes, et Specops a identifié plusieurs mots de passe qui pourraient correspondre à ces comptes d’entreprises. « Si vous disposez d’une liste de blocage des mots de passe, il peut être utile d’ajouter ceux-ci.« , précise le rapport.
Mots de passe VPN d’entreprise soupçonnés d’avoir été volés |
admin |
123456 |
Abcd@123# |
admin123 |
P@ssword |
abc123456+ |
Aa12345678 |
88366733 |
Milan0 |
Porta2016 |
Lordthankyou2 |
Vv888888 |
A10203040a |
V3ls1s1234 |
zzx3239852 |
uzair12345 |
qst1234 |
En entreprise, certains accès distants VPN pouvant être associés à l’authentification Active Directory, c’est tout de même préoccupant. Dans ce cas, il peut s’avérer utile d’effectuer une analyse de votre Active Directory avec Specops Password Auditor. Ceci vous permettra de savoir si certains de vos comptes Active Directory utilisent un mot de passe déjà compromis.
Que pensez-vous de cette étude ?