Des pirates informatiques mènent depuis plusieurs semaines une campagne coordonnée contre les passerelles VPN d’entreprise. Selon les chercheurs en sécurité de GreyNoise, les systèmes Cisco SSL VPN et Palo Alto Networks GlobalProtect sont systématiquement ciblés par des attaques sur les identifiants — une menace directe pour les entreprises françaises qui utilisent ces solutions de connexion à distance.
Ce n’est pas une attaque opportuniste isolée. Les analystes de GreyNoise ont identifié une opération structurée, menée à grande échelle, visant spécifiquement les portails d’authentification des deux principaux VPN d’entreprise du marché mondial. La méthode : des tentatives répétées de connexion avec des combinaisons d’identifiants volés ou générés automatiquement.
Comment fonctionnent ces attaques sur les VPN
Les attaquants ne cherchent pas de faille technique dans le logiciel VPN lui-même. Ils exploitent le maillon faible : les identifiants des utilisateurs.
En s’appuyant sur des bases de données d’emails et de mots de passe issus de précédentes fuites (comme celle de Crunchyroll qui a exposé 6,8 millions de comptes la semaine dernière), ils testent des milliers de combinaisons par heure sur les portails de connexion VPN. Si un employé réutilise un mot de passe piraté ailleurs, son compte VPN professionnel devient vulnérable.
D’après CyberPress, les passerelles Fortinet sont également visées en parallèle par une technique similaire d’exploitation de contournement.
Pourquoi les entreprises françaises sont exposées
Le travail hybride a généralisé l’usage des VPN d’entreprise en France depuis 2020. Cisco et Palo Alto dominent ce marché en entreprise, ce qui en fait des cibles prioritaires pour des attaquants cherchant à pénétrer des réseaux internes.
Une connexion VPN compromise ouvre typiquement l’accès à l’ensemble du réseau interne : serveurs de fichiers, bases de données clients, systèmes de facturation, outils de communication interne.
Les mesures de protection à mettre en place
Face à ces attaques, plusieurs actions concrètes réduisent significativement le risque. L’activation de l’authentification à deux facteurs (2FA) sur les accès VPN est la priorité absolue — elle neutralise la plupart des attaques sur les identifiants. Il faut également forcer la réinitialisation des mots de passe VPN si des employés utilisent les mêmes identifiants que sur des services grand public.
Les responsables informatiques peuvent consulter les alertes de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour suivre les campagnes actives ciblant les entreprises françaises.
