VPN : 2 millions de mots de passe compromis, votre sécurité est-elle en jeu ?
septembre 2024 par Specops Software
L’équipe de recherche de Specops publie de nouvelles données sur les mots de passe VPN ayant été volés par des logiciels malveillants. Notre équipe de recherche sur les menaces montre qu’au total, ce sont 2 151 523 mots de passe VPN qui ont été compromis par des logiciels malveillants au cours de l’année écoulée. Il s’agit du vol de véritables mots de passe, choisis par des utilisateurs finaux pour accéder aux VPN, et ils représentent tous une opportunité pour un pirate d’obtenir un accès non autorisé. Cette étude coïncide également avec l’ajout récent de plus de 193 millions de mots de passe compromis au service Specops Breached Password Protection.
« Les organisations utilisent les VPN pour garantir la sécurité et la confidentialité des données transmises entre les appareils des utilisateurs et les réseaux d’entreprise, notamment sur des réseaux Wi-Fi publics. Les VPN permettent également aux services informatiques de gérer l’accès aux ressources et de surveiller le réseau. Cependant, si les mots de passe VPN sont compromis, ces mesures de sécurité peuvent être annulées, offrant une porte d’entrée aux attaquants. », déclare Darren James, Senior Product Manager chez Specops Software.
Les fournisseurs de VPN et les mots de passe les plus compromis
Si les VPN renforcent considérablement la sécurité en chiffrant les données et en fournissant une connexion sécurisée à Internet, ils ne sont pas exempts de vulnérabilités. Si les serveurs VPN sont configurés pour permettre un nombre illimité de tentatives de connexion, ils peuvent être vulnérables aux attaques par force brute, dans lesquelles les attaquants utilisent des outils automatisés pour essayer un grand nombre de combinaisons de mots de passe afin d’obtenir un accès non autorisé.
Comme le montre le tableau ci-dessous, les trois premiers fournisseurs de services VPN ciblés (ProtonVPN, ExpressVPN et NordVPN) sont trois des VPN les plus populaires et les plus sûrs du marché. Malgré la sécurité bien documentée du produit VPN lui-même, plus d’un million d’utilisateurs finaux de Proton VPN ont vu leurs informations d’identification compromises par des logiciels malveillants. Il est beaucoup plus facile pour les cybercriminels de cibler les identifiants de connexion des utilisateurs finaux que d’essayer de pirater les VPN eux-mêmes.
Les 10 fournisseurs de services VPN les plus populaires Nombre de mots de passe volés
protonvpn.com 1,306,229
expressvpn.com 94,772
nordvpn.com 89,289
cyberghostvpn.com 83,648
droidvpn.com 77,429
vpnelf.com 27,581
vyprvpn.com 25,533
openvpn.com 24,670
safervpn.com 21,561
purevpn.com 21,114
Principaux mots de passe VPN compromis
Le tableau ci-dessous présente les mots de passe des services VPN les plus couramment compromis. Les suites de caractères courantes sur un clavier comme « 12345 » et « qwerty » sont représentées, ainsi que les mots de passe faibles courants comme « Admin » et « password ».
Nous voyons également apparaître « P@ssw0rd » comme une mauvaise tentative de répondre aux exigences de complexité d’une organisation (lorsque par exemple le mot de passe doit contenir une lettre majuscule, un chiffre et un caractère spécial). Il est également intéressant de noter la présence de « protonvpn » et « dyadroid1 » dans la liste, car il s’agit de deux des cinq fournisseurs de services ayant subi le plus de violations. Certains utilisateurs finaux se sont clairement contentés de taper le nom du produit comme mot de passe.
Si une organisation n’applique pas une politique stricte en matière de mots de passe pour l’accès VPN, les utilisateurs peuvent choisir des mots de passe faibles ou faciles à deviner, ce qui permet aux pirates de pénétrer plus facilement dans le VPN.
Le mot de passe le plus courant n’a été trouvé que 5 290 fois (et le mot de passe très courant « password » seulement 554 fois) dans cet ensemble de données. Cela pourrait suggérer que les utilisateurs finaux ont généralement utilisé des mots de passe uniques, voire forts, pour leurs identifiants VPN. Mais cela ne les a pas empêchés d’être compromis.
Principaux mots de passe volés Nombre d’occurrences
123456 5,290
123456789 4,969
12345678 4,803
1234 2,665
12345 1,792
1234567890 1,398
admin 1,064
0868689849 622
password 554
qwertyuiop 475
1234567 460
123123123 457
Qu’en est-il de l’utilisation du VPN d’entreprise ?
Nous avons mis en évidence ci-dessous un certain nombre de mots de passe compromis plus susceptibles d’être volés directement à partir de VPN d’entreprise (après avoir exclu les domaines de messagerie électronique généralement associés aux consommateurs).
Bien qu’on y retrouve des mots de passe courants faibles comme « admin », il est intéressant de noter que plusieurs de ces mots de passe répondraient aux exigences de longueur et de complexité d’Active Directory dans de nombreuses organisations.
Si vous disposez d’une liste de blocage des mots de passe, il peut être utile d’ajouter ceux-ci.
Mots de passe VPN d’entreprise soupçonnés d’avoir été volés
admin
123456
Abcd@123#
admin123
P@ssword
abc123456+
Aa12345678
88366733
Milan0
Porta2016
Lordthankyou2
Vv888888
A10203040a
V3ls1s1234
zzx3239852
uzair12345
qst1234
Quels risques pour l’entreprise ?
Le risque le plus immédiat est que le pirate puisse obtenir un accès non autorisé au réseau de l’entreprise. Cet accès lui permet d’usurper l’identité de l’utilisateur légitime et d’obtenir potentiellement le même niveau d’accès aux données sensibles et aux systèmes clés que lui. Une fois à l’intérieur du réseau, le pirate peut voler des données sensibles : informations personnelles, dossiers financiers, propriété intellectuelle, etc. Ces données peuvent être utilisées à diverses fins malveillantes, notamment l’usurpation d’identité, la fraude financière ou la vente de données sur le dark web.
Comment détecter les informations d’identification Active Directory compromises ?
Il va de soi que les entreprises souhaitent que tous leurs mots de passe Active Directory soient robustes. Il est également important de garder à l’esprit que les deux millions de mots de passe VPN étudiés dans cette étude ont été volés par des logiciels malveillants. Même les mots de passe forts peuvent être volés. Et nous savons que les utilisateurs finaux admettent réutiliser régulièrement leurs mots de passe. Cela souligne l’importance de pouvoir scanner en permanence votre Active Directory pour détecter les menaces de compromission de mots de passe.
Specops Password Policy avec Breached Password Protection protège vos utilisateurs finaux contre l’utilisation de plus de 4 milliards de mots de passe uniques compromis, incluant des données provenant de fuites connues ainsi que de notre propre système honeypot qui collecte les mots de passe utilisés dans des attaques par pulvérisation de mots de passe réels.
La fonction de scan continu vérifie une fois par jour parmi tous les mots de passe d’Active Directory si certains sont compromis en les confrontant à l’API Breached Password Protection – l’API est mise à jour quotidiennement avec les mots de passe compromis récemment découverts grâce à notre système honeypot de mots de passe, ainsi qu’avec les fuites de mots de passe nouvellement découvertes lorsqu’elles se produisent.