Neuf VPN sur dix ne sont pas sécurisés

Selon les conclusions d’une étude menée pendant trois ans par la firme de sécurité NTA Monitor, 90 % des réseaux privés virtuels (VPN pour Virtual Private Networks) présentent des vulnérabilités exploitables par des hackers. Si la plupart des sociétés qui ont vu leur VPN testé dans le cadre de ce projet se croyaient invulnérables aux attaques, les chercheurs ont découvert le même type de failles dans toute la gamme de produits.

Le rapport précise que, dans certains cas, les VPN constituent même le maillon faible de la sécurité de l’entreprise. « Les VPN ne sont pas les systèmes invulnérables que l’on croit », affirme Roy Hills, directeur technique de NTA Monitor et auteur du rapport. « En réalité, ils peuvent être le talon d’Achille d’un système sécurisé. Certains de ces problèmes viennent d’être découverts, tandis que d’autres sont dus à des limites connues des protocoles mises en évidence par de mauvaises configurations. »

Noms d’utilisateurs et mots de passe

La faille la plus répandue concerne la protection des noms d’utilisateurs. De nombreux VPN laissent filtrer des informations en suggérant les noms d’utilisateurs et, bien que NTA Monitor ait prévenu les sociétés concernées de cette faiblesse, beaucoup n’ont pas corrigé le problème. D’autres vulnérabilités existent au niveau des mots de passe. L’enquête a montré qu’un mot de passe composé uniquement de texte pouvait être découvert en 16 minutes grâce à une attaque en force, tandis qu’un autre plus complexe prenait jusqu’à deux jours.

Les VPN constituent également des cibles très tentantes pour les hackers pour une simple raison : étant considérés comme sécurisés, ils renferment souvent les données les plus sensibles de l’entreprise.

Article traduit de VNUnet.com