Cet été, c’est une liste de près de 500 000 noms de connexion et de mots de passe VPN Fortinet qui a été divulgué par un hacker. Ces données auraient été extraites d’appareils exploitables. 

Cette fuite est un incident grave car les informations d’identification VPN pourraient permettre aux acteurs malveillants d’accéder à un réseau pour effectuer une exfiltration de données, installer des logiciels malveillants et effectuer des attaques de ransomware. 

Même si nous mettons régulièrement en garde contre les cyber-attaques et que nous prônons la prévention et la vigilance quant à la sécurité de vos données IT, une piqure de rappel n’est jamais de trop. 

Retour sur cet acte de piratage, ses conséquences et les mesures à prendre pour l’éviter. 

Fuite de données d’un VPN Fortinet

Les identifiants Fortinet divulgués sur un forum de piratage : état des lieux de cette fuite de données VPN 

La liste des informations d’identification Fortinet a été divulguée gratuitement par un acteur de menace connu sous le nom d'”Orange”, qui est l’administrateur du nouveau forum de piratage RAMP et un ancien opérateur de l’opération Babuk Ransomware. 

Après des différends entre les membres du gang Babuk, Orange s’est séparé pour lancer RAMP et est maintenant considéré comme un représentant de la nouvelle opération de ransomware Groove. 

Cet hacker menaçant a donc créé un message sur le forum RAMP avec un lien vers un fichier qui contiendrait des milliers de comptes VPN Fortinet. 

Dans le même temps, un article est apparu sur le site de fuite de données de Groove ransomware faisant également la promotion de la fuite Fortinet VPN. 

Les deux publications mènent à un fichier hébergé sur un serveur de stockage Tor utilisé par le gang Groove pour héberger des fichiers volés divulgués pour faire pression sur les victimes du ransomware pour qu’elles paient. 

Les conséquences de cette fuite de données 

Selon BleepingComputer, qui a fait une analyse de ce fichier, il contient des informations d’identification VPN pour 498 908 utilisateurs sur 12 856 appareils. 

Bien que BleepingComputer n’est pas testé si l’une des informations d’identification divulguées était valide, il peut cependant confirmer que toutes les adresses IP qu’il a vérifié sont des serveurs VPN Fortinet. 

À la suite de cette fuite de données, chez Infologo, nous sommes allés contrôler que nos clients ne faisaient pas partie dans cette base de données qui a fuité. Fort heureusement, aucun de nos clients n’ont été victimes de ce piratage.  

Comment éviter ce type de cyber-attaque ? 

Tout d’abord, si vous êtes administrateur de serveurs VPN Fortinet, vous devez supposer que la plupart des informations d’identification répertoriées sont valides et prendre des précautions. 

Ces précautions incluent l’exécution d’une réinitialisation forcée de tous les mots de passe utilisateur pour être sûr et pour vérifier vos journaux pour d’éventuelles intrusions. 

Si quelque chose vous semble suspect, vous devez immédiatement vous assurer que les derniers correctifs sont installés, effectuer une enquête plus approfondie et vous assurer que les mots de passe de votre utilisateur sont réinitialisés. 

Enfin, pour vérifier si un appareil fait partie de la fuite, le chercheur en sécurité Cypher a créé une liste des adresses IP de l’appareil divulgué . 

Retenez surtout que vous devez rester vigilant à la moindre action que vous trouvez suspecte. En termes de prévention, pour renforcer la sécurité des accès VPN, nous vous recommandons de mettre en place la double authentification sur les routeurs FORTIGATE. Cela est possible grâce à des licences TOKEN. 

Pour plus d’informations à ce sujet et afin de renforcer votre sécurité, n’hésitez à pas à nous contacter. Nous vous accompagnerons dans les démarches pour plus de sécurité.