Les logiciels VPN ont pour mission principale de sécuriser votre navigation et l’ensemble de vos données personnelles. Mais des membres de la société Cisco Talos ont découvert récemment des failles de sécurité importantes chez deux VPN très populaires : NordVPN (voir notre test) et ProtonVPN. Et ce n’est pas la première fois.
Cela remet-il en cause la fiabilité de ces plateformes ?
Sommaire
Proton VPN et NordVPN pointés du doigt pour leurs failles de sécurité
Il y a quelques jours, des chercheurs de la société Cisco Talos ont découvert une importante faille de sécurité, assez similaire chez les deux VPN suivants : NordVPN et ProtonVPN.
Ces deux logiciels de protections utilisent OpenVPN pour paramétrer les données et pour créer un tunnel sécurisé entre deux points de connexion. Mais les employés de Cisco Talos se sont rendu compte qu’il était possible de pirater facilement ce logiciel, en l’exécutant en tant qu’administrateur sur les machines Windows.
Un hacker ayant un accès physique à votre ordinateur pourra alors insérer du code malveillant en créant une ligne de commande OpenVPN. Il sera alors en mesure de prendre le contrôle de votre machine et des données qu’elle contient.
Il s’agit de failles importantes, qui ont vu cette alerte obtenir 8,8 / 10 sur l’échelle de sévérité de Cisco Talos. On les a baptisées CVE-2018-3952 et CVE-2018-4010, et elles se rapprochent fortement des brèches de sécurité qui avaient été découvertes en début d’année.
N’hésitez pas à consulter notre comparatif des meilleurs VPN 2018.
Failles VPN : ce n’est pas la première alerte
Il y a quelques mois, les chercheurs de VerSprite, une autre société de sécurité informatique, avaient mis en avant le même type de problème chez les deux plateformes (NordVPN et ProtonVPN). Ils avaient alors démontré que l’on pouvait utiliser facilement la machine via le service OpenVPN, et se connecter en tant qu’administrateur système.
Ces failles sont dus à la conception même de l’interface des deux plateformes, codées en binaires, qui nécessite une intervention de l’utilisateur dans les options de configuration. Mais bien évidemment, après les premières révélations de ces failles, des mesures ont été prises chez les deux VPN visés.
Des patchs ont rapidement corrigé les failles, et des mises à jour ainsi que des instructions ont été fournis aux utilisateurs. Mais à peine quelques mois plus tard, on se retrouve avec des nouvelles faiblesses sécuritaires sur ces logiciels de protection.
Quelques jours après l’annonce de Cisco Talos concernant les bugs de sécurité des deux programmes, des mises à jour sont apparues. Pour ProtonVPN, un correctif ajouté dans le répertoire d’installation, que l’utilisateur ne peut pas modifier, a été choisi. Pour activer ce correctif, il est nécessaire de le faire manuellement.
Du côté de NordVPN, c’est un modèle XML fichier de configuration qui a été préféré, et lui non plus ne peut pas être touché par un utilisateur. La mise à jour est faite automatiquement pour les utilisateurs de NordVPN
Les explications des représentants des deux VPN
Les sociétés ont bien sur réagi à ces nouvelles déclarations démontrant les risques de leur logiciel respectif.
Du côté de NordVPN, c’est l’attache de presse Laura Tyrell qui a pris la parole, pour déclarer que La vulnérabilité avait déjà été corrigée lorsque Cisco a dévoilé publiquement le CVE. Au début du mois d’août, une mise à jour automatique a été transmise à tous nos clients, ce qui signifie que la majorité des utilisateurs ont mis à jour leurs applications bien avant leur publication. Un mécanisme qui élimine en théorie la plupart des risques d’exploitation de la vulnérabilité dans des conditions réelles.
Elle rappelle également qu’il est nécessaire d’avoir accès au PC de la personne pour pouvoir effectuer un acte malveillant. Et que cela met en avant des failles de sécurité plus graves, notamment pour les entreprises, et non liées au VPN lui-même.
ProtonVPN, via la voix de son porte-parole, est allé dans le même sens, en rappelant que le correctif lancé a résolu le souci et que tous les utilisateurs ont reçu la marche à suivre. De la même façon, il a tenu à rappeler que la faille ne permettait pas un contrôle à distance sans un premier accès direct à l’ordinateur de la victime.
Si la protection est assurée pour le moment, les logiciels de VPN ne doivent donc pas relâcher leurs efforts, pour continuer à proposer une sécurité maximale à leurs utilisateurs.