Les VPN en 2025 : une surface d’attaque critique à surveiller

Dans cet article, je vous propose une analyse détaillée des menaces pesant sur les technologies VPN en 2025, à destination des équipes SOC, CERT, RSSI et architectes sécurité.

L’objectif est d’apporter une lecture sur des vulnérabilités identifiées comme les plus critiques cette année, en combinant observation terrain, veille technique et implications opérationnelles.

Le VPN n’est plus seulement un vecteur d’accès distant : il est devenu un pivot stratégique dans la chaîne d’intrusion.

1. Périmètre VPN : un point d’entrée privilégié pour les ransomwares

Les passerelles VPN et firewalls continuent d’être ciblés massivement. Selon le Cyber Threat Index 2025, 58 % des incidents ransomware en 2024 ont débuté par l’exploitation de ces équipements.

Les produits Ivanti sont particulièrement touchés :

La CVE-2025-0282 et la CVE-2025-22457 permettent une exécution de code à distance sans authentification sur Connect Secure et Policy Secure.
La CVE-2025-20212 affecte les appliances Cisco Meraki (AnyConnect VPN), en provoquant un déni de service par variable non initialisée.

Au-delà des failles, l’exposition sur Internet de panneaux d’administration non protégés est encore trop fréquente. Elle facilite les attaques par dictionnaire ou l’exploitation de vulnérabilités non corrigées, malgré les recommandations de durcissement.

2. L’intelligence artificielle transforme le phishing et l’évasion

Les groupes cybercriminels intègrent désormais des modèles génératifs pour industrialiser le spear phishing vocal, simuler des voix internes ou rédiger des emails mimant parfaitement le ton des cibles habituelles.

Le développement de malwares adaptatifs basés sur le machine learning permet en parallèle de contourner les moteurs antivirus traditionnels. Ces programmes mutent en temps réel pour échapper aux détections signature-based. L’agentic AI permet, elle, de piloter automatiquement l’ensemble d’une attaque : du repérage d’infrastructure VPN jusqu’à l’exfiltration des données.

Ces techniques posent un risque accru pour les identifiants VPN, en particulier lorsque l’implémentation du MFA est partielle ou faiblement conçue.

3. Problèmes protocolaires : entre héritage et limitations structurelles

OpenVPN

CVE-2024-5594 : injection de données dans des exécutables tiers.
CVE-2025-2704 : crash du serveur via paquets TLS-crypt-v2 malformés.

WireGuard

Ce protocole rapide et moderne souffre de trois limites :

stockage temporaire d’IP côté serveur,
absence d’obfuscation native,
dépendance exclusive à UDP, ce qui le rend vulnérable à certains filtrages.

IKEv2/IPsec

S’il est robuste en conception, son implémentation dans les produits reste hétérogène :

CVE-2025-21208 et CVE-2025-21401 dans Windows RRAS permettent une exécution de code.
Cisco ASA est aussi affecté par une vulnérabilité de déni de service liée à IKEv2.

Les limites protocolaires ne sont pas théoriques. Mal comprises ou mal intégrées, elles exposent les organisations à des attaques complexes, difficiles à contenir.

4. Infrastructures VPN : une surface d’attaque souvent négligée

La compromission de serveurs VPN reste un vecteur d’intrusion majeur, notamment via :

des mots de passe par défaut ou faibles,
des interfaces mal sécurisées ou accessibles depuis Internet,
des configurations laxistes (tunnels non authentifiés, accès SSH ouverts).

Certaines failles anciennes sont toujours activement exploitées en 2025 :

CVE-2018-13379 (Fortinet)
CVE-2022-40684 (Fortinet) Elles permettent l’extraction de credentials VPN ou la prise de contrôle total des appliances.

En janvier, une attaque supply chain a été révélée : le groupe PlushDaemon APT a compromis les fichiers d’installation du client VPN sud-coréen IPany pour y injecter une backdoor active dès l’installation.

L’usage croissant des VPN cloud n’échappe pas à cette tendance : les erreurs de configuration sur les accès IAM ou les partages exposés dans le cloud étendent encore la surface de vulnérabilité.

5. Surveillance réseau, chiffrement et menaces émergentes

La montée en puissance de la surveillance réseau par Deep Packet Inspection (DPI) ou Encrypted Traffic Intelligence (ETI) sape progressivement la confidentialité assurée par les VPN. Ces techniques analysent les métadonnées chiffrées (même sous TLS 1.3) pour détecter, bloquer ou profiler le trafic VPN.

À cela s’ajoute une pression croissante sur les fournisseurs, illustrée par la loi australienne TOLA ou les débats en cours au Royaume-Uni. Des backdoors imposées ou des réquisitions abusives pourraient compromettre la promesse de non-traçabilité des fournisseurs VPN.

Enfin, à moyen terme, le risque posé par le calcul quantique devient tangible. Certains acteurs malveillants commenceraient à stocker des flux chiffrés dans l’optique de les casser une fois les capacités post-quantiques disponibles.

Recommandations pour les professionnels

Pour les organisations :

Remplacer les VPN traditionnels par des solutions ZTNA,
Imposer le MFA avec authentification forte,
Appliquer une politique de mise à jour stricte sur les appliances VPN,
Contrôler l’exposition Internet des interfaces,
Auditer régulièrement la configuration des serveurs VPN et l’intégrité de la chaîne d’approvisionnement logicielle.

Pour les individus :

Choisir un fournisseur VPN audité et transparent sur sa politique de logs,
Activer le MFA quand il est disponible,
Vérifier régulièrement la mise à jour du client VPN,
Désactiver WebRTC dans le navigateur pour éviter les fuites d’IP.

Vulnérabilités et Alertes