Depuis la ruée vers le télétravail lors de la pandémie en 2020, les réseaux privés virtuels (VPN) sont des outils essentiels pour les entreprises.
Un VPN pour les données circulantes entre les réseaux de l’entreprise et les appareils des employés, sécurise les informations sensibles sans compromettre la productivité ni paralyser les opérations critiques des entreprises. De nombreuses organisations fonctionnent aujourd’hui en travail hybride et les VPN sont incontournables pour la connectivité réseau et la sécurité.
Les VPN font l’objet d’une surveillance accrue suite à l’augmentation des vulnérabilités et des exploits qui les ciblent, parfois même avant le déploiement de correctifs. Les VPN représentant potentiellement les clés du royaume des entreprises et leur attrait, tant pour les pirates étatiques que pour les cybercriminels, est indéniable. Ces derniers consacrent d’énormes ressources à la recherche des points faibles des logiciels d’entreprise. Cela exerce une forte pression sur les organisations et souligne l’importance de pratiques solides pour limiter les risques.
Alors que l’exploitation massive des failles de sécurité, de la chaîne d’approvisionnement et autres violations sont de plus en plus courantes, les inquiétudes grandissent quant à la capacité des VPN à aider à protéger les données de l’entreprise et à ce que le logiciel constitue une autre source de cyber-risque. D’où la question : le VPN professionnel peut-il être un handicap augmentant la surface d’attaque d’une organisation ?
Un VPN fait passer le trafic de l’utilisateur par un tunnel crypté protégeant les données contre les regards indiscrets. La raison d’être d’un VPN professionnel est de créer une connexion privée sur un réseau public ou sur le net. Ainsi, le personnel dispersé géographiquement accède aux réseaux internes comme s’il était à son bureau dans l’entreprise.
Mais un VPN vulnérable doit faire face à toutes sortes de menaces. Les logiciels obsolètes sont souvent à la base des attaques dont des organisations sont victimes. L’exploitation d’une vulnérabilité VPN permet aux pirates de voler des informations d’identification, de détourner des sessions de trafic cryptées, d’exécuter du code arbitraire et d’avoir accès à des données sensibles. Le rapport VPN 2023 donne un aperçu des vulnérabilités de ces dernières années.
Les VPN nécessitent aussi une maintenance et des mises à jour de sécurité pour corriger les vulnérabilités. Les entreprises semblent cependant avoir du mal à suivre les mises à jour des VPN, parce que, souvent, elles n’ont pas de temps d’arrêt planifié et sont censées être opérationnelles à tout moment.
Les groupes de rançongiciels ciblent souvent les serveurs VPN vulnérables. En y accédant rien qu’une seule fois, ils peuvent voyager sur un réseau et faire ce qu’ils veulent : chiffrer et conserver des données contre rançon, les exfiltrer, faire de l’espionnage, etc. L’exploitation d’une vulnérabilité ouvre la voie à des piratages supplémentaires, pouvant conduire à une compromission généralisée du réseau.
En 2021, des cybercriminels liés à la Russie ont ciblé cinq vulnérabilités dans des produits d’infrastructure VPN. Résultat : un avertissement public de la NSA exhortant les organisations à appliquer immédiatement les correctifs sous peine de risques de piratage et d’espionnage.
Le VPN est un élément crucial pour un accès sécurisé et il peut être une cible juteuse pour les attaquants cherchant à s’introduire dans les réseaux d’entreprise. Divers groupes de menaces persistantes avancées (APT) ont récemment exploité des vulnérabilités connues des logiciels VPN pour voler les informations d’identification, exécuter du code à distance et extraire les informations sensibles. L’exploitation de ces vulnérabilités ouvre la voie à des accès supplémentaires, pouvant conduire à la compromission de réseaux.
Les modes de travail évoluent et la demande d’accès à distance persiste. Donner la priorité à la sécurité des télétravailleurs en tant qu’élément fondamental de la stratégie de sécurité d’une organisation est donc d’une importance capitale.