Netcrook Logo
👤 NETAEGIS
🗓️ 18 Dec 2025   🌍 North America

VPN assiégés : une vague massive d’attaques par « password spraying » frappe Cisco et Palo Alto Networks

Des attaques automatisées submergent les passerelles VPN d’entreprise, exposant les risques persistants liés aux identifiants faibles et aux menaces hébergées dans le cloud.

Alors que vous pensiez que votre accès à distance était sécurisé, une nouvelle vague de cyberattaques automatisées martèle les portes numériques des réseaux d’entreprise. En seulement 16 heures frénétiques, plus de 1,7 million de tentatives de connexion ont visé les portails VPN GlobalProtect de Palo Alto Networks, rapidement suivies d’une offensive contre les points d’accès VPN SSL de Cisco. Ces attaques - coordonnées, implacables et d’une sophistication inquiétante - marquent une nouvelle offensive contre la colonne vertébrale de l’accès distant en entreprise : le réseau privé virtuel (VPN).

En bref

  • Plus de 1,7 million de tentatives de connexion ont ciblé les VPN GlobalProtect de Palo Alto en seulement 16 heures.
  • Les attaques provenaient de plus de 10 000 adresses IP uniques, principalement d’un fournisseur cloud allemand (3xK GmbH).
  • Des tactiques similaires de « password spraying » ont frappé les VPN SSL de Cisco, avec un pic de 1 273 adresses IP attaquantes.
  • Les attaquants ont utilisé des scripts automatisés avec des identifiants courants, sans exploiter de vulnérabilités logicielles.
  • Les fournisseurs recommandent des mots de passe forts, l’authentification multifacteur et une surveillance accrue.

Au cœur de l’attaque : l’évolution du « password spraying »

La dernière offensive contre les VPN d’entreprise a débuté le 11 décembre, lorsque les analystes de sécurité de GreyNoise ont détecté une flambée spectaculaire de tentatives de connexion contre les portails GlobalProtect de Palo Alto Networks. Les attaques - provenant d’un vaste réseau de plus de 10 000 adresses IP - ont été presque entièrement attribuées au fournisseur cloud allemand 3xK GmbH, suggérant une opération centralisée et bien dotée. Les cibles ? Des infrastructures critiques aux États-Unis, au Mexique et au Pakistan.

Contrairement aux attaques par force brute qui bombardent un seul compte avec des milliers de mots de passe, ces attaquants ont utilisé le « password spraying » : ils testent des noms d’utilisateur et mots de passe courants sur un large éventail de comptes. Les scripts automatisés imitaient les flux de connexion légitimes, géraient même les protections CSRF, tout en se faisant passer pour un navigateur Firefox - un choix inhabituel pour des bots, mais qui leur permet de contourner les mesures de détection basiques.

En moins d’une journée, les attaquants ont déplacé leur attention vers les points d’accès VPN SSL de Cisco, utilisant à nouveau l’infrastructure IP hébergée en Allemagne et des empreintes techniques similaires. Le nombre d’IP attaquantes uniques a bondi à 1 273, une hausse nette par rapport au bruit de fond habituel. GreyNoise a souligné que ces incidents n’étaient pas liés à la faille zero-day (CVE-2025-20393) récemment révélée par Cisco, mais relevaient plutôt de techniques classiques de « credential stuffing ».

Palo Alto Networks et Cisco ont tous deux confirmé être au courant de cette activité. « Il s’agit de tentatives scriptées pour identifier des identifiants faibles », a déclaré un porte-parole de Palo Alto, précisant qu’aucune vulnérabilité de leurs produits n’avait été exploitée. Ces attaques mettent en lumière les risques persistants liés aux mots de passe faibles ou réutilisés, même lorsque les logiciels sont sécurisés.

GreyNoise et les fournisseurs appellent les entreprises à agir sans délai : appliquer des politiques de mots de passe robustes, activer l’authentification multifacteur, auditer les équipements VPN pour détecter des connexions suspectes et bloquer les plages d’IP malveillantes connues. À mesure que les attaquants exploitent les ressources cloud pour automatiser et étendre leurs campagnes, la responsabilité de la défense repose de plus en plus sur les organisations, qui doivent renforcer leurs passerelles d’authentification.

Conclusion : le facteur humain reste le maillon faible

Cette dernière vague de « password spraying » rappelle brutalement que même la technologie la plus robuste peut être compromise par des pratiques élémentaires d’hygiène des identifiants. Alors que les attaquants innovent grâce à l’automatisation et à l’infrastructure cloud, les défenseurs doivent redoubler d’efforts sur les fondamentaux : mots de passe forts, authentification en couches et vigilance constante. La guerre pour la passerelle VPN est loin d’être terminée - et la prochaine vague pourrait déjà être en marche.

WIKICROOK

  • Password Spraying : Le « password spraying » est une cyberattaque où quelques mots de passe courants sont essayés sur de nombreux comptes afin d’éviter la détection et de contourner les mécanismes de verrouillage de compte.
  • Passerelle VPN : Une passerelle VPN connecte de façon sécurisée des utilisateurs ou réseaux distants au réseau interne d’une entreprise, en chiffrant les données et en protégeant contre les accès non autorisés.
  • Credential Stuffing : Le « credential stuffing » consiste à utiliser des identifiants volés sur un site pour tenter d’accéder à des comptes sur d’autres sites.
  • CSRF (Cross : Le CSRF est une attaque web où des pirates incitent votre navigateur à envoyer des requêtes non autorisées à un site sur lequel vous êtes connecté, exploitant ainsi votre session.
  • Zero : Une vulnérabilité zero-day est une faille de sécurité inconnue de l’éditeur du logiciel, sans correctif disponible, ce qui la rend très précieuse et dangereuse pour les attaquants.
VPN Security Password Spraying Cyberattacks
NETAEGIS NETAEGIS
Distributed Network Security Architect
← Back to news