Si vous voulez utiliser NordVPN pour naviguer en ligne, regardez bien que vous êtes sur nordvpn.com et pas sur une adresse frauduleuse. Des hackeurs ont usurpé le site pour diffuser un cheval de Troie bancaire.

Crédit : Taskin Ashiq / Unsplash

Il faut toujours vérifier l’adresse des sites que l’on visite, y compris quand on se rend sur un VPN. D’après la firme de cybersécurité Doctor Web, des pirates ont créé des répliques frauduleuses de la page de NordVPN, un des principaux services d’anonymisation en ligne, dans le but de propager un virus bancaire.

Les attaquants n’en sont pas à leur coup d’essai pour propager Win32.Bolik.2, le cheval de Troie en question. Leur tactique précédente était de pirater des sites légitimes pour y insérer des liens de téléchargement frauduleux, comme celui du logiciel d’édition multimédia VSDC, attaqué en avril 2019 et aujourd’hui sain et sauf. Mais pour des raisons de simplicité, les hackeurs auraient opté pour la solution moins coûteuse de créer leur propre copie d’un site légitime (nordvpn.com), en l’occurence avec la fausse adresse nord-vpn[.]club.

Contrairement à la plupart des sites de hameçonnage, nord-vpn[.]club utilise un certificat SSL valide, qui permet de passer le site en HTTPS et d’afficher un petit cadenas dans la barre du navigateur web. Le certificat a été délivré le 3 août dernier via Let’s Encrypt, un service tout à fait respectable qui permet librement à chacun de sécuriser son site web, avec une date d’expiration le 1er novembre 2019. Des milliers d’internautes auraient déjà visité le site depuis sa mise en ligne.

Win32.Bolik.2 permet de réaliser « des injections web, des interceptions de traffic, du keylogging, et de voler des informations de différents systèmes client bancaires ». D’après le chercheur Ivan Korolev de Doctor Web, les cibles visées sont essentiellement des particuliers anglophones.

« Parce que NordVPN est une entreprise de sécurité en ligne à laquelle beaucoup font confiance, les escrocs se font aussi passer pour nous », a déclaré Laura Tyrell, porte-parole de NordVPN. Le vrai site est bien nordvpn.com. C’est pour cela que l’on doit toujours être sur ses gardes en ligne, et ne pas se fier uniquement aux certificats SSL.

Quel est le meilleur VPN en 2019 ?