NordVPN : 2 000 comptes utilisateurs usurpés
publié le 5 novembre 2019 à 16h30, modifié le 24 janvier 2020 à 18h07.
Grâce à des attaques dites de "credential-stuffing", des pirates ont pu avoir accès à des milliers de comptes d'utilisateurs du VPN. Ce dernier répond à la polémique.
Il y a un peu plus d’une semaine, NordVPN, le service de réseau virtuel privé, annonçait avoir été affecté en 2018 par un piratage, bien qu’aucun dommage ni vol de données ne soit à relevé. Le pirate avait eu accès à une clé interne privée expirée qui n’ pu être utilisée pour déchiffrer le trafic ; TorGuard et VikingVPN avait également été touché par le hack. Un chercheur en sécurité en lien avec TechCrunch déclarait au moment des faits que NordVPN “dépense des millions en publicités mais rien en sécurité préventive”. Ces mots trouvent une résonance toute nouvelle aujourd’hui puisque l’on apprend via ArsTechnica que 2 000 comptes utilisateurs ont été compromis. Dan Goodin, qui a rédigé l’article, explique avoir reçu une liste de 753 couples mot de passe/identifiant associé aux dates d’expirations des abonnements au VPN. Certaines de ces listes ou dump circulent également sur PasteBin et d’autres forums en ligne.
Des attaques par “credential-stuffing”
Décrites comme credential-stuffing attacks, celles-ci sont une sous-catégorie des attaques par dictionnaire (brute force) qui consistent à tenter d’associer des mot de passe et identifiants d’utilisateurs trouvés sur des bases de données illégales sur les sites les plus populaires, de manière automatisée. L’attaque est d’ores et déjà répertoriée sur Have I Been Pwned qui permet de savoir si un utilisateur a été affecté ou non. Nous vous conseillons par ailleurs de faire un tour sur le site afin de vérifier l’intégrité de votre email et/ou de votre mot de passe.
Une erreur à responsabilité partagée
Selon le site américaine, l’erreur est partagée entre des utilisateurs inconscients d’utiliser des identifiants similaires sur plusieurs sites, et NordVPN, qui ne propose à l’heure actuelle même pas de double authentification. La firme s’est cependant défendu d’intégrer prochainement cette méthode de confirmation ainsi qu’un bot intelligent capable de limiter le nombre de tentatives d’identifications.
Nos conseils pour choisir un VPN
Afin de choisir un VPN sans être influencé par les multiples publicités et de démêler le vrai du faux, nous vous conseillons le site That One Privacy Site qui répertorie de façon transparente les différentes politiques des réseaux privés virtuels. Nous vous invitons également à consulter 10 mythes sur les VPN, notamment sur le prétendu anonymat que l’on peut obtenir en en utilisant un.
