Les mots de passe des utilisateurs de NordVPN sont compromis et dévoilés sur les forums en ligne

NordVPN Credential Stuffing Attack

Le 21 octobre, NordVPN a reconnu que des pirates informatiques avaient accédé à un serveur utilisé par le fournisseur de réseau privé virtuel. Moins de deux semaines plus tard, vendredi, il est devenu évident que les noms d'utilisateur et les mots de passe des utilisateurs de NordVPN avaient été divulgués sur des forums publics en ligne et des plateformes de partage telles que Pastebin. Sans surprise, les gens veulent savoir s’il existe un lien entre les deux incidents.

La violation qui a été rapportée en octobre a effectivement eu lieu en mars 2018. NordVPN n'a pas tardé à signaler que cela s'était produit parce que le centre de données finlandais qui exploitait le serveur compromis avait commis une erreur. Le blog a également souligné que les pirates informatiques n’avaient accès à aucune donnée personnelle et qu’il n’était pas prouvé que le trafic était surveillé. En d'autres termes, les identifiants de connexion dont Dan Goodin du groupe Ars Technica a parlé pour la première fois le 1er novembre n'ont pas été divulgués lors de l'attaque de NordVPN en mars 2018. D'où venaient-ils alors?

Les pirates informatiques lancent une attaque de bourrage d'informations d'identification sur les utilisateurs de NordVPN

Les noms d'utilisateur et les mots de passe ont été exposés après une attaque par empilement d'informations d'identification . En d'autres termes, ils ont été volés d'un autre service en ligne qui n'a rien à voir avec NordVPN. Après avoir volé les données de connexion, les pirates ont essayé les combinaisons nom d'utilisateur et mot de passe sur NordVPN. Etant donné que les utilisateurs avaient réutilisé les mêmes informations d'identification sur plusieurs sites Web, certains des mots de passe ont permis de déverrouiller les comptes de réseau privé virtuel des utilisateurs. Plus inquiétant encore, la plupart des mots de passe donnant accès aux VPN des personnes semblent toujours actifs.

Dan Goodin a reçu une liste de 753 paires adresse électronique et mot de passe en texte clair. Après avoir contacté un échantillon des utilisateurs concernés, il a conclu que toutes les combinaisons sauf une étaient valides. La seule personne qui avait mis à jour son mot de passe l'a fait après avoir été avisée que quelqu'un avait accédé à son compte.

Malheureusement, le lot reçu et analysé par Goodin est loin d’être le seul. Il a ajouté que Troy Hunt avait ajouté pas moins de dix listes similaires au service de notification d'infraction "En cas de doute" en l'espace d'une semaine. Bien que certains comptes apparaissent plusieurs fois, Dan Goodin a estimé qu’au moins 2 000 utilisateurs de NordVPN pourraient être affectés par l’incident de bourrage de justificatifs d'identité. Comparé à d'autres violations, ce nombre ne semble pas particulièrement énorme, mais la nature d'un compte de réseau privé virtuel signifie que les conséquences de la compromission d'un tel compte pourraient être assez dévastatrices. Alors, qui est à blâmer?

Tout le monde doit être plus conscient des dangers de la farce des informations d'identification

Comme toujours, dire qui est responsable d’un incident de cybersécurité est plus complexe qu’il n’apparaît au début.

Vous avez évidemment les services en ligne qui ont perdu les informations d'identification en premier lieu. Ils méritent des critiques non seulement parce qu'ils n'ont pas protégé les données de connexion des utilisateurs, mais également parce qu'ils n'ont pas stocké les mots de passe correctement, ce qui est évident par le fait que les informations d'identification circulent maintenant en texte brut.

NordVPN n'est pas simplement une victime, non plus. Comme l'a souligné Dan Goodin, il s'agit d'un service en ligne offrant une sécurité supplémentaire aux utilisateurs. Pourtant, la société qui facture de l'argent pour ce service n'a pas mis en place des mécanismes de limitation des taux suffisants pour arrêter les cybercriminels. NordVPN a déclaré à Ars Technica que, désormais, mieux vaut tard que jamais, il s'attaquera désormais à ce problème et développera également un système d'authentification à deux facteurs qui devrait rendre la vie des pirates plus difficile.

Une partie au moins de la responsabilité devrait cependant aller aux utilisateurs. Pendant des années, les experts en cybersécurité ont utilisé des exemples concrets pour enseigner aux gens à quel point la complexité des mots de passe est importante, mais les références que Dan Goodin a examinées ont montré de manière assez définitive que le message n'avait pas été transmis. Le journaliste d'Ars Technica a déclaré que tous les mots de passe qu'il avait examinés étaient faibles. Certains d'entre eux étaient identiques à la première partie de l'adresse électronique avec laquelle ils étaient jumelés, d'autres étaient les noms de famille des utilisateurs auxquels étaient associés quelques chiffres, et d'autres encore étaient des mots du dictionnaire qui pouvaient être devinés assez facilement.

La force du mot de passe (ou son absence) n'est même pas le plus gros problème. Le concept de bourrage d'informations d'identification repose sur le fait que des personnes utilisent des combinaisons identiques de nom d'utilisateur et de mot de passe pour plusieurs sites Web. Malgré le grand nombre d'incidents similaires observés au cours des dernières années, les utilisateurs continuent à utiliser les mêmes mots de passe pour de nombreux services en ligne et s'appuient ensuite sur ces services pour protéger correctement leurs données de connexion. Ce n'est clairement pas la meilleure stratégie à notre époque.

Il existe depuis longtemps des solutions de gestion des mots de passe, telles que Cyclonis Password Manager, qui permettent aux utilisateurs d'éviter de répéter les mêmes erreurs, mais pour diverses raisons, les taux d'adoption sont loin d'être aussi élevés qu'ils devraient l'être.

La vérité est que, même si vous choisissez de ne pas utiliser de gestionnaire de mot de passe, vous devez être conscient des dangers que représentent les attaques de bourrage d'informations d'identification et vous devez vous assurer que vos défenses sont suffisantes.

November 5, 2019

Laisser une Réponse

IMPORTANT! Pour pouvoir procéder, vous devrez résoudre le calcul simple suivant.
Please leave these two fields as is:
Qu'est-ce que 10 + 9 ?