Un pirate prétend avoir piraté NordVPN et volé des données confidentielles sur un serveur mal sécurisé. Le VPN lituanien dément fermement toute cyberattaque. En vérité, le cybercriminel est tombé sur des données factices.
De retour le mois dernier, BreachForums continue de se gorger de données piratées. Dans la journée du 4 janvier 2026, un cybercriminel a mis en ligne des données confidentielles censées appartenir à NordVPN, l’un des VPN les plus populaires du marché. Le pirate, qui se fait appeler 1011, prétend avoir mis la main sur une dizaine de bases de code source, des clés API, et d’autres données sensibles.
🚨 Threat actor claims to have leaked NordVPN Salesforce database containing 10+ database source codes on a dark web forum.
📌 Panama 🇵🇦
Industry: VPN
Type: Data Leak
Threat Actor: 1011
Samples: YesThe attacker claims they obtained the data by bruteforcing a misconfigured… pic.twitter.com/yurEMO1M2g
— Dark Web Informer (@DarkWebInformer) January 4, 2026
Le hacker assure que les informations ont été volées sur un serveur de développement mal configuré appartenant à NordVPN. Il s’agirait d’un serveur hébergé par SalesForce. Pour arriver à ses fins, le pirate aurait simplement lancé une attaque par force brute sur le serveur pour casser sa sécurité. Dans ce genre d’attaque, des algorithmes testent automatiquement un grand nombre de combinaisons pour trouver votre mot de passe.
Certains outils peuvent ainsi pirater un compte en ligne en ne connaissant que votre identifiant, en laissant l’algorithme deviner le reste. Plus votre mot de passe est simple, plus ils parviennent rapidement à le casser. En théorie, NordVPN aurait négligé d’appliquer des mécanismes de protection sur le serveur. Celles-ci sont notamment censées restreindre le nombre de tentatives de connexion, ce qui empêche les attaques par force brute.
À lire aussi : Une cyberattaque a frappé l’Office français de l’immigration et de l’intégration, des millions de données volées
NordVPN dément la fuite de données confidentielles
Contacté par 01net, NordVPN a tenu à démentir les assertions de 1011. La société lituanienne assure que « les allégations selon lesquelles les serveurs de développement Salesforce internes de NordVPN auraient été compromis sont fausses ». Après avoir « identifié une possible fuite de données sur un forum consacré aux violations de sécurité », l’entreprise a ouvert une enquête. Les investigations ont rapidement pu démontrer que le pirate s’appuie sur de fausses informations.
« Nous pouvons confirmer qu’à ce stade, il n’y a aucun signe que les serveurs de NordVPN ou l’infrastructure de production interne aient été compromis. Les données en question ne proviennent pas de l’environnement Salesforce interne de NordVPN ni d’aucun autre service mentionné dans l’allégation », nous explique NordVPN.
En fait, « les fichiers de configuration divulgués » sur BreachForums sont « liés à une plateforme tierce, avec laquelle nous avions brièvement eu un compte d’essai ». Pour en dire plus sur l’incident, NordVPN a publié un article détaillé sur son blog. La société basée à Vilnius révèle avoir réalisé un test avec un prestataire tiers il y a plus de six mois. Dans le cadre de ce test préliminaire à tout contrat, NordVPN a créé « un environnement de test temporaire » avec de fausses informations.
« Comme il ne s’agissait que d’un test préliminaire et qu’aucun contrat n’a jamais été signé, aucune donnée client réelle, aucun code source de production ni aucun identifiant sensible actif n’ont été chargés dans cet environnement », explique le groupe.
On y trouvait uniquement « des artefacts d’un environnement de test tiers isolé, ne contenant que des données factices utilisées pour des vérifications de fonctionnement ». Ce sont ces informations factices que les pirates sont parvenus à compromettre. Au terme de ce test, NordVPN a finalement choisi de se tourner vers un autre prestataire. L’environnement de test est resté en ligne et les pirates ont cru tomber sur une mine d’or.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.