Un cybercriminel prétend avoir infiltré un serveur de développement de NordVPN au Panama, avec un accès à des données critiques de l'entreprise. De son côté, NordVPN dément complètement cette intrusion.
Article mis à jour en bas de page
Le 4 janvier 2026, le hacker sous le pseudonyme "1011" a diffusé sur un forum du dark web des preuves d'accès à l'infrastructure de NordVPN. Ces documents contiendraient des identifiants sensibles pour des plateformes tierces ainsi que l'architecture technique de plusieurs bases de données.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Des environnements de test vulnérables au brute-forcing
Selon les analystes de Dark Web Informer, l'attaque aurait visé un serveur de développement mal configuré. Le pirate aurait utilisé une technique de brute-forcing, une méthode qui consiste à tester automatiquement des milliers de combinaisons de mots de passe jusqu'à forcer l'entrée. Cela signifie donc qu'aucune mesure de protection n'aurait été mise en place sur le nombre de tentatives de connexion. Contrairement aux infrastructures de production souvent très surveillées, ces serveurs de tests constituent parfois un point d'entrée plus accessible, même si, eux aussi, hébergent des informations toutes aussi sensibles.
Parmi les échantillons, le hacker présente des fichiers SQL révélant la structure de tables comme salesforce_api_step_details et api_keys. Cette intrusion ne concerne donc pas les données de navigation des abonnés au service. Toutefois, cela pourrait permettre aux attaquants de récupérer les clés du back office de l'entreprise. Avec des jetons Jira et des clés API Salesforce dans la nature, un intrus pourrait par exemple s'infiltrer dans les outils de gestion de projet et de relation client de la société.
La sécurité des infrastructures périphériques est donc tout aussi critique que celle du cœur du réseau. Comme nous le soulignions dans notre test complet du service, NordVPN avait déjà opéré une refonte majeure de son architecture après une intrusion subie en 2018 sur un serveur finlandais. L'entreprise avait alors généralisé l'usage de serveurs fonctionnant uniquement sur mémoire vive (RAM) pour empêcher tout stockage persistant de données, une mesure radicale destinée à limiter les traces exploitables en cas d'intrusion.
Mise à jour : NordVPN dément avoir été victime d'une intrusion. l'entreprise affirme dans un communiqué :
Les allégations selon lesquelles les serveurs de développement Salesforce internes de NordVPN auraient été compromis sont fausses.
Hier, le 4 janvier, nous avons identifié une possible fuite de données sur un forum consacré aux violations de sécurité, contenant des allégations formulées par un acteur malveillant prétendant avoir accédé à un « serveur de développement Salesforce de NordVPN ». Nous avons immédiatement vérifié ces allégations.
Notre équipe de sécurité a effectué une analyse forensique initiale de la prétendue fuite de données, et nous pouvons confirmer qu'à ce stade, il n'y a aucun signe que les serveurs de NordVPN ou l'infrastructure de production interne aient été compromis.
Les données en question ne proviennent pas de l'environnement Salesforce interne de NordVPN ni d'aucun autre service mentionné dans l'allégation. Notre enquête a révélé que les fichiers de configuration divulgués étaient liés à une plateforme tierce, avec laquelle nous avions brièvement eu un compte d'essai.
Les systèmes de NordVPN restent entièrement sécurisés.
