Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
[Nouvelle étude] Les mots de passe VPN sont-ils sécurisés ?
La découverte de deux millions de mots de passe volés par des logiciels malveillants nous font répondre à cette question par la négative.
L’équipe de recherche de Specops publie aujourd’hui de nouvelles données sur les mots de passe VPN ayant été volés par des logiciels malveillants. Notre équipe de recherche sur les menaces montre qu’au total, ce sont 2 151 523 mots de passe VPN qui ont été compromis par des logiciels malveillants au cours de l’année écoulée. Il s’agit du vol de véritables mots de passe, choisis par des utilisateurs finaux pour accéder aux VPN, et ils représentent tous une opportunité pour un pirate d’obtenir un accès non autorisé.
Cette étude coïncide également avec l’ajout récent de plus de 193 millions de mots de passe compromis au service Specops Breached Password Protection.
Darren James, Senior Product Manager chez Specops Software, à propos de ces résultats : «Les organisations demandent à leurs utilisateurs finaux d’accéder aux réseaux d’entreprise via des VPN principalement pour des raisons de sécurité et de confidentialité. Les VPN chiffrent les données transmises entre l’appareil de l’utilisateur et le réseau de l’entreprise, ce qui permet de protéger les informations sensibles contre l’interception par des personnes non autorisées, en particulier lorsque les employés utilisent des réseaux Wi-Fi non sécurisés ou publics. »
« Les VPN permettent aux services informatiques de contrôler et de gérer l’accès aux ressources au sein du réseau de l’entreprise. Cela comprend l’application des politiques de sécurité, la gestion de la bande passante et la surveillance du trafic réseau, ce qui contribue à maintenir la santé et la sécurité globale du réseau. Ils aident également à se conformer à ces réglementations en sécurisant la transmission des données et en fournissant des contrôles d’accès et des pistes d’audit. »
« Mais si les mots de passe VPN sont compromis, ces bénéfices importants en matière de cybersécurité peuvent être réduits à néant et offrir aux attaquants une voie d’accès à votre organisation. Les utilisateurs finaux utilisent souvent leurs identifiants Active Directory pour se connecter aux VPN d’entreprise, et ils peuvent également réutiliser leurs mots de passe Active Directory pour accéder à leurs VPN personnels. »
Les fournisseurs de VPN et les mots de passe les plus compromis
Les fournisseurs de services VPN victimes d’intrusion
Si les VPN renforcent considérablement la sécurité en chiffrant les données et en fournissant une connexion sécurisée à Internet, ils ne sont pas exempts de vulnérabilités, notamment en ce qui concerne la sécurité des mots de passe. Si les serveurs VPN sont configurés pour permettre un nombre illimité de tentatives de connexion, ils peuvent être vulnérables aux attaques par force brute, dans lesquelles les attaquants utilisent des outils automatisés pour essayer un grand nombre de combinaisons de mots de passe afin d’obtenir un accès non autorisé.
Comme le montre le tableau ci-dessous, les trois premiers fournisseurs de services VPN ciblés (ProtonVPN, ExpressVPN et NordVPN) sont trois des VPN les plus populaires et les plus sûrs du marché. Malgré la sécurité bien documentée du produit VPN lui-même, plus d’un million d’utilisateurs finaux de Proton VPN ont vu leurs informations d’identification compromises par des logiciels malveillants. Il est beaucoup plus facile pour les cybercriminels de cibler les identifiants de connexion des utilisateurs finaux que d’essayer de pirater les VPN eux-mêmes.
Les utilisateurs peuvent être trompés et amenés à saisir leurs identifiants VPN sur des sites web frauduleux. Les attaques de phishing peuvent être sophistiquées, imitant des pages de connexion VPN légitimes afin de voler les noms d’utilisateur et les mots de passe. Les logiciels malveillants tels que les enregistreurs de frappe peuvent capturer les frappes sur le clavier, y compris les mots de passe VPN, s’ils ont été installés sur l’appareil d’un utilisateur. Cela peut arriver si l’appareil est déjà compromis avant la connexion au VPN ou si le VPN n’inclut pas ou n’impose pas l’utilisation d’outils anti-malware.
Les 10 fournisseurs de services VPN les plus populaires | Nombre de mots de passe volés |
protonvpn.com | 1,306,229 |
expressvpn.com | 94,772 |
nordvpn.com | 89,289 |
cyberghostvpn.com | 83,648 |
droidvpn.com | 77,429 |
vpnelf.com | 27,581 |
vyprvpn.com | 25,533 |
openvpn.com | 24,670 |
safervpn.com | 21,561 |
purevpn.com | 21,114 |
Principaux mots de passe VPN compromis
Le tableau ci-dessous présente les mots de passe des services VPN les plus couramment compromis. Les suites de caractères courantes sur un clavier comme « 12345» et « qwerty » sont représentées, ainsi que les mots de passe faibles courants comme « Admin » et « password ». Nous voyons également apparaître « P@ssw0rd » comme une mauvaise tentative de répondre aux exigences de complexité d’une organisation (lorsque par exemple le mot de passe doit contenir une lettre majuscule, un chiffre et un caractère spécial). Il est également intéressant de noter la présence de « protonvpn» et « dyadroid1» dans la liste, car il s’agit de deux des cinq fournisseurs de services ayant subi le plus de violations. Certains utilisateurs finaux se sont clairement contentés de taper le nom du produit comme mot de passe.
Si une organisation n’applique pas une politique stricte en matière de mots de passe pour l’accès VPN, les utilisateurs peuvent choisir des mots de passe faibles ou faciles à deviner, ce qui permet aux pirates de pénétrer plus facilement dans le VPN. La réutilisation des mots de passe constitue également un risque important. Les utilisateurs finaux réutilisent fréquemment leurs mots de passe entre différents services. Si un mot de passe est compromis sur un service, tous les autres comptes utilisant le même mot de passe, y compris éventuellement les comptes VPN, sont en danger.
Le mot de passe le plus courant n’a été trouvé que 5 290 fois (et le mot de passe très courant « password » seulement 554 fois) dans cet ensemble de données. Cela pourrait suggérer que les utilisateurs finaux ont généralement utilisé des mots de passe uniques, voire forts, pour leurs identifiants VPN. Mais cela ne les a pas empêchés d’être compromis.
Principaux mots de passe volés | Nombre d’occurrences |
123456 | 5,290 |
123456789 | 4,969 |
12345678 | 4,803 |
1234 | 2,665 |
12345 | 1,792 |
1234567890 | 1,398 |
admin | 1,064 |
0868689849 | 622 |
password | 554 |
qwertyuiop | 475 |
1234567 | 460 |
123123123 | 457 |
1346a1967 | 429 |
123123 | 394 |
kally256 | 394 |
Suzhou@123 | 388 |
hosein2181 | 384 |
qwerty123 | 368 |
sshstore | 368 |
o7r7p082izpshdzzx0cxsldenve3bcrf | 365 |
112233 | 348 |
11111111 | 344 |
123 | 324 |
protonvpn | 314 |
P@ssw0rd | 306 |
1111 | 294 |
02b1176JT | 284 |
qwerty | 282 |
asdfghjkl | 269 |
dyadroid1 | 268 |
Principaux domaines de courrier électronique associés
Nous avons également enregistré les principaux domaines de messagerie associés aux mots de passe VPN volés. Retrouver les quatre premiers n’est pas très surprenant en raison de leur popularité auprès des consommateurs. Proton VPN est le fournisseur qui a enregistré le plus de mots de passe volés, il est donc intéressant de voir son propre domaine de messagerie dans la liste.
Principaux domaines de messagerie associés | Nombre d’occurrences |
gmail.com | 606,605 |
hotmail.com | 50,859 |
yahoo.com | 26,820 |
outlook.com | 14,048 |
protonmail.com | 9,066 |
icloud.com | 6,118 |
qq.com | 3,563 |
live.com | 3,450 |
hotmail.fr | 2,914 |
proton.me | 2,765 |
Qu’en est-il de l’utilisation du VPN d’entreprise ?
Il est probable qu’un grand nombre des mots de passe compromis dans notre ensemble de données étaient des mots de passe de consommateurs, en raison des domaines de messagerie électronique associés. Le plus grand risque pour les organisations avec ces mots de passe est de savoir si les utilisateurs finaux réutilisent des mots de passe compromis au travail. Cependant, le risque est encore plus grand lorsqu’un VPN d’entreprise est directement compromis, car les mots de passe Active Directory sont souvent intentionnellement le mot de passe VPN, utilisé pour authentifier la connexion VPN à un réseau d’entreprise.
Nous avons mis en évidence ci-dessous un certain nombre de mots de passe compromis plus susceptibles d’être volés directement à partir de VPN d’entreprise (après avoir exclu les domaines de messagerie électronique généralement associés aux consommateurs). Bien qu’on y retrouve des mots de passe courants faibles comme « admin », il est intéressant de noter que plusieurs de ces mots de passe répondraient aux exigences de longueur et de complexité d’Active Directory dans de nombreuses organisations. Si vous disposez d’une liste de blocage des mots de passe, il peut être utile d’ajouter ceux-ci.
Mots de passe VPN d’entreprise soupçonnés d’avoir été volés |
admin |
123456 |
Abcd@123# |
admin123 |
P@ssword |
abc123456+ |
Aa12345678 |
88366733 |
Milan0 |
Porta2016 |
Lordthankyou2 |
Vv888888 |
A10203040a |
V3ls1s1234 |
zzx3239852 |
uzair12345 |
qst1234 |
Détectez plus de mots de passe compromis sur votre réseau
La mise à jour d’aujourd’hui du service Breached Password Protection comprend l’ajout de plus de 52 millions de mots de passe compromis à la liste utilisée par Specops Password Auditor. Vous pouvez découvrir combien de ces mots de passe compromis sont actuellement utilisés par vos utilisateurs finaux grâce à un scan rapide de votre Active Directory avec notre outil d’audit gratuit : Specops Password Auditor.
Specops Password Auditor fonctionne en lecture seule et ne stocke pas les données d’Active Directory. Il n’apporte pas non plus de modification à Active Directory. Vous obtiendrez un rapport exportable, facile à comprendre, détaillant les vulnérabilités liées aux mots de passe qui pourraient être utilisées comme points d’entrée par les attaquants. Téléchargez Specops Password Auditor gratuitement ici.
Quels sont les risques liés à la compromission des mots de passe VPN d’entreprise ?
Le risque le plus immédiat est que le pirate puisse obtenir un accès non autorisé au réseau de l’entreprise. Cet accès lui permet d’usurper l’identité de l’utilisateur légitime et d’obtenir potentiellement le même niveau d’accès aux données sensibles et aux systèmes clés que lui. Une fois à l’intérieur du réseau, le pirate peut voler des données sensibles : informations personnelles, dossiers financiers, propriété intellectuelle, etc. Ces données peuvent être utilisées à diverses fins malveillantes, notamment l’usurpation d’identité, la fraude financière ou la vente de données sur le dark web.
Le pirate peut utiliser les informations d’identification VPN compromises pour implanter d’autres logiciels malveillants dans le réseau. Ces logiciels malveillants peuvent être utilisés pour créer des portes dérobées, perturber les services ou compromettre davantage les systèmes de sécurité. En accédant au réseau, un pirate peut potentiellement perturber les opérations en déployant des ransomwares, en supprimant des données critiques ou en altérant l’infrastructure du réseau. Cela peut entraîner des temps d’arrêt d’utilisation importants et une perte de productivité.
Réutilisation des mots de passe Active Directory
La réutilisation de mots de passe est une pratique courante et inquiétante. Un sondage Google révèle que 52 % des adultes américains admettent réutiliser le même mot de passe pour plusieurs de leurs comptes en ligne – 1 utilisateur sur 8 réutilisant le même mot de passe pour l’ensemble de ses comptes en ligne .
Si un utilisateur final a réutilisé son mot de passe Active Directory comme mot de passe VPN et que ce mot de passe est compromis, les conséquences peuvent être beaucoup plus graves Si un pirate accède à un compte Active Directory, il a alors potentiellement accès à tous les systèmes et à toutes les ressources pour lesquels l’utilisateur dispose d’autorisations, et pas seulement au VPN. Cela peut inclure des comptes de messagerie, du stockage de fichiers, des bases de données et des systèmes administratifs.
Si le compte compromis dispose de privilèges administratifs, l’attaquant peut alors modifier les paramètres de sécurité, créer de nouveaux comptes, modifier ou supprimer des données et installer des logiciels malveillants sur le réseau. Ce niveau d’accès permet des dommages et des vols plus importants. Remédier à une compromission impliquant des informations d’identification Active Directory est souvent plus complexe et plus coûteux. Cela peut nécessiter un audit de sécurité complet, la réinitialisation des mots de passe sur l’ensemble du réseau et, éventuellement, la reconstruction des systèmes compromis à partir de zéro pour s’assurer que toutes les traces de l’attaquant ont été supprimées.
Comment détecter les informations d’identification Active Directory compromises ?
Il va de soi que les entreprises souhaitent que tous leurs mots de passe Active Directory soient robustes. Il est également important de garder à l’esprit que les deux millions de mots de passe VPN étudiés dans cette étude ont été volés par des logiciels malveillants. Même les mots de passe forts peuvent être volés. Et nous savons que les utilisateurs finaux admettent réutiliser régulièrement leurs mots de passe. Cela souligne l’importance de pouvoir scanner en permanence votre Active Directory pour détecter les menaces de compromission de mots de passe.
Specops Password Policy avec Breached Password Protection protège vos utilisateurs finaux contre l’utilisation de plus de 4 milliards de mots de passe uniques compromis, incluant des données provenant de fuites connues ainsi que de notre propre système honeypot qui collecte les mots de passe utilisés dans des attaques par pulvérisation de mots de passe réels. Notre fonction de scan continu vérifie une fois par jour parmi tous les mots de passe d’Active Directory si certains sont compromis en les confrontant à l’API Breached Password Protection – l’API est mise à jour quotidiennement avec les mots de passe compromis récemment découverts grâce à notre système honeypot de mots de passe, ainsi qu’avec les fuites de mots de passe nouvellement découvertes lorsqu’elles se produisent.
Vous souhaitez découvrir comment Specops Password Policy pourrait s’adapter à votre organisation ? Vous avez des questions sur la manière cette méthode pourrait répondre à vos besoins ? Contactez-nous ou découvrez comment cela fonctionne grâce à une démo ou un essai gratuit.
(Dernière mise à jour le 30/09/2024)