Les mots de passe des utilisateurs de NordVPN sont compromis et dévoilés sur les forums en ligne

NordVPN Credential Stuffing Attack

Le 21 octobre, NordVPN a reconnu que des pirates informatiques avaient accédé à un serveur utilisé par le fournisseur de réseau privé virtuel. Moins de deux semaines plus tard, vendredi, il est devenu évident que les noms d'utilisateur et les mots de passe des utilisateurs de NordVPN avaient été divulgués sur des forums publics en ligne et des plateformes de partage telles que Pastebin. Sans surprise, les gens veulent savoir s’il existe un lien entre les deux incidents.

La violation qui a été rapportée en octobre a effectivement eu lieu en mars 2018. NordVPN n'a pas tardé à signaler que cela s'était produit parce que le centre de données finlandais qui exploitait le serveur compromis avait commis une erreur. Le blog a également souligné que les pirates informatiques n’avaient accès à aucune donnée personnelle et qu’il n’était pas prouvé que le trafic était surveillé. En d'autres termes, les identifiants de connexion dont Dan Goodin du groupe Ars Technica a parlé pour la première fois le 1er novembre n'ont pas été divulgués lors de l'attaque de NordVPN en mars 2018. D'où venaient-ils alors?

Les pirates informatiques lancent une attaque de bourrage d'informations d'identification sur les utilisateurs de NordVPN

Les noms d'utilisateur et les mots de passe ont été exposés après une attaque par empilement d'informations d'identification . En d'autres termes, ils ont été volés d'un autre service en ligne qui n'a rien à voir avec NordVPN. Après avoir volé les données de connexion, les pirates ont essayé les combinaisons nom d'utilisateur et mot de passe sur NordVPN. Etant donné que les utilisateurs avaient réutilisé les mêmes informations d'identification sur plusieurs sites Web, certains des mots de passe ont permis de déverrouiller les comptes de réseau privé virtuel des utilisateurs. Plus inquiétant encore, la plupart des mots de passe donnant accès aux VPN des personnes semblent toujours actifs.

Dan Goodin a reçu une liste de 753 paires adresse électronique et mot de passe en texte clair. Après avoir contacté un échantillon des utilisateurs concernés, il a conclu que toutes les combinaisons sauf une étaient valides. La seule personne qui avait mis à jour son mot de passe l'a fait après avoir été avisée que quelqu'un avait accédé à son compte.

Malheureusement, le lot reçu et analysé par Goodin est loin d’être le seul. Il a ajouté que Troy Hunt avait ajouté pas moins de dix listes similaires au service de notification d'infraction "En cas de doute" en l'espace d'une semaine. Bien que certains comptes apparaissent plusieurs fois, Dan Goodin a estimé qu’au moins 2 000 utilisateurs de NordVPN pourraient être affectés par l’incident de bourrage de justificatifs d'identité. Comparé à d'autres violations, ce nombre ne semble pas particulièrement énorme, mais la nature d'un compte de réseau privé virtuel signifie que les conséquences de la compromission d'un tel compte pourraient être assez dévastatrices. Alors, qui est à blâmer?

Tout le monde doit être plus conscient des dangers de la farce des informations d'identification

Comme toujours, dire qui est responsable d’un incident de cybersécurité est plus complexe qu’il n’apparaît au début.

Vous avez évidemment les services en ligne qui ont perdu les informations d'identification en premier lieu. Ils méritent des critiques non seulement parce qu'ils n'ont pas protégé les données de connexion des utilisateurs, mais également parce qu'ils n'ont pas stocké les mots de passe correctement, ce qui est évident par le fait que les informations d'identification circulent maintenant en texte brut.

NordVPN n'est pas simplement une victime, non plus. Comme l'a souligné Dan Goodin, il s'agit d'un service en ligne offrant une sécurité supplémentaire aux utilisateurs. Pourtant, la société qui facture de l'argent pour ce service n'a pas mis en place des mécanismes de limitation des taux suffisants pour arrêter les cybercriminels. NordVPN a déclaré à Ars Technica que, désormais, mieux vaut tard que jamais, il s'attaquera désormais à ce problème et développera également un système d'authentification à deux facteurs qui devrait rendre la vie des pirates plus difficile.

Une partie au moins de la responsabilité devrait cependant aller aux utilisateurs. Pendant des années, les experts en cybersécurité ont utilisé des exemples concrets pour enseigner aux gens à quel point la complexité des mots de passe est importante, mais les références que Dan Goodin a examinées ont montré de manière assez définitive que le message n'avait pas été transmis. Le journaliste d'Ars Technica a déclaré que tous les mots de passe qu'il avait examinés étaient faibles. Certains d'entre eux étaient identiques à la première partie de l'adresse électronique avec laquelle ils étaient jumelés, d'autres étaient les noms de famille des utilisateurs auxquels étaient associés quelques chiffres, et d'autres encore étaient des mots du dictionnaire qui pouvaient être devinés assez facilement.

La force du mot de passe (ou son absence) n'est même pas le plus gros problème. Le concept de bourrage d'informations d'identification repose sur le fait que des personnes utilisent des combinaisons identiques de nom d'utilisateur et de mot de passe pour plusieurs sites Web. Malgré le grand nombre d'incidents similaires observés au cours des dernières années, les utilisateurs continuent à utiliser les mêmes mots de passe pour de nombreux services en ligne et s'appuient ensuite sur ces services pour protéger correctement leurs données de connexion. Ce n'est clairement pas la meilleure stratégie à notre époque.

Il existe depuis longtemps des solutions de gestion des mots de passe, telles que Cyclonis Password Manager, qui permettent aux utilisateurs d'éviter de répéter les mêmes erreurs, mais pour diverses raisons, les taux d'adoption sont loin d'être aussi élevés qu'ils devraient l'être.

La vérité est que, même si vous choisissez de ne pas utiliser de gestionnaire de mot de passe, vous devez être conscient des dangers que représentent les attaques de bourrage d'informations d'identification et vous devez vous assurer que vos défenses sont suffisantes.

Par Duran
November 5, 2019
News
Français
November 5, 2019
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.