Sept VPS exposés sur Internet: 10 000 attaques par jour Des tests sur sept VPS exposés montrent en moyenne 10 000 tentatives quotidiennes sur SSH, révélant les risques d'exposer des serveurs en ligne.
Dans le cadre d'une expérience sur sept VPS laissés en accès public, nous avons mesuré une tempête d'accès non autorisés dès les premiers instants. En moyenne, chaque VPS a subi plus de 10 000 tentatives quotidiennes sur le port SSH (22). Cette proximité du monde extérieur illustre le risque d'exposer des serveurs sur Internet.
Sept VPS exposés à Internet : un test révélateur
Les serveurs étaient laissés tels quels, avec le système d'exploitation livré par l'hébergeur et sans configuration de sécurité renforcée. Après 25 jours, les logs indiquent deux types d'événements: ECHEC (mot de passe incorrect) et ECHEC_USER_INVALIDE (utilisateur inexistant). L'intervalle quotidien oscille entre 6 500 et 14 000 tentatives par jour et par machine, soit une moyenne autour de 10 000.
Une diversité d'attaquants et des chiffres marquants
Plus de 11 000 adresses IP différentes ont tenté de se connecter, avec une prépondérance des attaques venant de quelques opérateurs d'hébergement. Sur la période analysée, Hetzner et LWS affichent les volumes les plus élevés: 313 245 et 346 334 tentatives sur 25 jours, soit respectivement environ 12 529 et 13 853 attaques par jour.
Au total, 4 109 IP différentes ont tenté de se connecter à un VPS OVHcloud, et près de 2 000 ont tenté sur trois VPS différents. Seulement une poignée d'adresses est apparue sur jusqu'à 6 ou 7 machines.
Root, admin et autres comptes : le trio gagnant
En scrutant les logs d'utilisateurs, les attaques ciblent principalement des comptes bien connus. Le compte root domine le classement, suivi par admin, user, ubuntu et test, puis d'autres comptes courants comme oracle, postgres et debian.
Temps jusqu'à la première attaque
Le délai entre l'allumage d'un VPS et la première tentative est très court: entre 10 secondes et 30 minutes. Cela varie selon l'hébergeur: moins de 30 secondes pour LWS et OVHcloud, moins de 20 minutes pour Pulse et Ionos, et moins de 30 minutes pour HelloServ et York.
Contexte et limites
Il faut garder à l'esprit que ces VPS étaient livrés avec des configurations par défaut et sans ajustements de sécurité avancés. Le cadre de l'étude est volontairement simple et ne reflète pas nécessairement les environnements protégés. Les résultats montrent toutefois que l'exposition directe d'un port SSH est une porte d'entrée prisée par des bots et des acteurs malveillants qui n'hésitent pas à scanner massivement l'Internet.
Pour terminer
En clair: exposer des VPS sans protection, même brièvement, attire une pluie de tentatives automatisées. La question n'est pas de savoir si l'attaque arrivera, mais quand. La mise en place de mesures de sécurité adaptées — désactivation par défaut de l'accès root, renforcement des mots de passe et usage d'authentification par clé — devient une évidence pour réduire l'exposition.
