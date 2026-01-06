Le 4 janvier 2026, un pirate a publié sur BreachForums ce qu'il présentait comme des fichiers de configuration et des clés API internes de NordVPN. Face à ces allégations, le fournisseur de VPN a démenti toute intrusion sur ses systèmes de production. Faisons le point.

Une revendication sur BreachForums

Comme bien souvent, l'alerte a été lancée sur BreachForums, un forum très apprécié par les cybercriminels. Cette fois-ci, le 4 janvier 2026, un pirate surnommé 1011 a mis en ligne un ensemble de données liées à NordVPN. Dans sa publication, le pirate affirme avoir réussi à exfiltrer des informations sensibles depuis un serveur de développement Salesforce interne à NordVPN.

En guise de preuves, l'attaquant a partagé des extraits techniques correspondant à des dumps SQL avec notamment des références à des tables comme api_keys et des fichiers de configuration. Il affirme qu'il est parvenu à voler ces données suite à une attaque brute force réussie sur un serveur NordVPN mal configuré.

À première vue, les allégations du pirate semblent vraies, puisqu'il y a la présence d'extraits de base de données et de jetons API spécifiques, ce qui donne du crédit à cette fuite potentielle. Cela est aussi inquiétant pour les millions d'utilisateurs de NordVPN : rappelons que le VPN est le service phare proposé par cette société.

La réponse de NordVPN : pas de données clients

La réaction de NordVPN ne s'est pas fait attendre. Par l'intermédiaire d'un article de blog officiel, NordVPN a rejeté l'idée selon laquelle un pirate aurait pu s'introduire sur ses infrastructures internes.

Voici ce que l'on peut lire dans cet article : "Les affirmations selon lesquelles les serveurs de développement Salesforce internes de NordVPN ont été piratés sont fausses." - NordVPN a pris au sérieux le post du pirate et une enquête a été menée.

Il y a bien eu une fuite de données, mais elle ne provient pas des systèmes internes de NordVPN. Il s'agirait en réalité de vestiges d'un test effectué en mode PoC, il y a environ six mois, avec un fournisseur tiers.

"Ce qui s'est réellement passé : il y a six mois, NordVPN a évalué un fournisseur potentiel pour des tests automatisés. Dans le cadre d'une phase standard de validation de concept (PoC), un environnement de test temporaire a été créé afin d'évaluer ses fonctionnalités.", peut-on lire. NordVPN affirme qu'aucun contrat n'a été finalisé avec ce fournisseur à l'issue de la phase de test.

Il est également précisé que cet environnement de test contenait uniquement des données fictives ("dummy data") et qu'aucune infrastructure de production n'y était connectée. L'impact serait donc nul.

"Les systèmes NordVPN restent entièrement sécurisés. Vos données sont en sécurité et aucune action n'est requise de votre part.", peut-on lire à la fin de l'article.

