Les attaques ciblant GlobalProtect de Palo Alto Networks atteignent un nouveau pic. Des millions de tentatives d’usurpation d’identifiants sont détectées en un temps record. Qu’est-ce qui motive cette recrudescence de cyberattaques ?
Hausse spectaculaire des attaques sur les VPN GlobalProtect
Depuis début décembre, les tentatives de connexion frauduleuses sur les portails GlobalProtect ont explosé. Plus de 1,7 million de sessions ont été observées en à peine 16 heures. C’est énorme, surtout quand on sait que ces attaques ne cherchent pas à exploiter de vulnérabilités techniques spécifiques !
Les pirates utilisent une méthode vieille comme le monde : des scripts automatiques de brute force ciblant les identifiants faibles. Ces attaques consistent à tester frénétiquement des combinaisons de noms d’utilisateur et mots de passe pour prendre le contrôle.
Les IP à l’origine de ces assauts proviennent majoritairement de serveurs cloud centralisés, principalement en provenance du fournisseur 3xK GmbH. Ce n’est pas une opération dispersée, mais bien un travail organisé et massif.
Pourquoi GlobalProtect attire autant les hackers ?
GlobalProtect est un des VPN les plus déployés en entreprise pour sécuriser les accès distants. C’est un véritable point d’entrée vers le réseau interne. Quand les identifiants sont compromis, la porte s’ouvre en grand aux attaques.
Les cybercriminels ne cherchent pas à zapper un pare-feu sophistiqué. Non, ils s’appuient sur la facilité des identifiants faibles ou réutilisés. C’est une technique simple, mais hélas terriblement efficace. Et en 2025, les mots de passe “Password123” pullulent encore.
Les experts de GreyNoise soulignent que cette série d’attaques s’inscrit dans un cycle constant. Novembre déjà avait vu un pic similaire, et même d’autres VPN comme ceux de SonicWall sont dans leur viseur.
Le ciblage de Cisco SSL VPN confirme la tendance
Quelques jours après la vague visant Palo Alto, l’attention s’est portée sur Cisco SSL VPN. Là aussi, une hausse des attaques par brute force a été détectée, avec un bond des IP attaquantes de 200 à plus de 1200.
Ce n’est pas un hasard, mais la preuve que les attaquants élargissent leur champ d’action aux VPN leaders du marché. Les méthodes déployées utilisent des outils et infrastructures communes à celles des attaques vers GlobalProtect.
L’approche reste la même : raffiner les scripts d’attaque pour balancer automatiquement des milliers de tentatives depuis une même base cloud. C’est bien organisé, en mode “prêt-à-l’emploi offensif”.
Que fait Palo Alto Networks face à cette offensive ?
Palo Alto insiste sur le fait que ces attaques ne compromettent pas directement leur environnement ni ne tirent parti d’une faille technique. Il s’agit d’un déluge de “probes” automatisés ciblant les identifiants faibles, rien de plus.
Le message officiel : renforcer la gestion des accès. Mettre en place une authentification multifactorielle s’impose, couplée à une politique stricte de mots de passe. En somme, pas de secret, mais peu appliqué hélas dans bien des organisations.
Chez les experts, la recommandation est claire : ne laissez pas une porte ouverte en espérant qu’elle restera fermée. Surtout pas si la clé tient dans un vieux mot de passe facile à deviner.
Les entreprises françaises aussi dans le collimateur
Cette offensive touche particulièrement les infrastructures critiques et entreprises en France. Selon des spécialistes de la cybersécurité, l’Hexagone fait partie des pays les plus visés. Il y a urgence à resserrer la sécurité des accès distants.
Il ne suffit plus d’avoir un simple VPN. La surveillance des tentatives de connexion, les alertes en temps réel et la rotation régulière des identifiants sont indispensables pour éviter une brèche. Chaque faille devient une opportunité pour les hackers.
Cette tendance souligne aussi un défaut récurrent : la mauvaise gestion des identifiants et des accès dans les environnements sensibles. Et ce, malgré les nombreux outils disponibles pour automatiser la sécurité.
Source: www.cybersecuritydive.com
- Windows 11 : correction des commandes PowerShell après des erreurs initiales - janvier 13, 2026
- Comment une startup expérimentée en cybersécurité prend la tête de la course à l’armement de l’IA - janvier 13, 2026
- Ce Leader de la Cybersécurité Prêt à Conquérir un Marché de 300 Milliards de Dollars d’ici 2030 - janvier 13, 2026
