Des pirates ont pénétré dans des serveurs utilisés par NordVPN

Cybercriminalité

NordVPN, fournisseur de VPN de premier plan, a été obligé d’admettre qu’un pirate avait volé une clé de certificat TLS ayant expiré, et utilisée pour connecter en toute sécurité des clients aux serveurs web de l’entreprise.

nordvpn

Selon une déclaration, la cyberattaque aurait eu lieu début 2018 dans le centre de données finlandais d’un fournisseur de services utilisé par l’entreprise, exploitant une vulnérabilité dans une interface de gestion à distance dont NordVPN n’avait pas connaissance.

Il ne s’agit pas d’une très bonne nouvelle pour une entreprise offrant un service VPN que les clients achètent pour renforcer la sécurité et la confidentialité de leur connexion Internet. Cependant, dans un communiqué publié récemment, l’entreprise a minimisé le risque d’utilisation abusive :

Le serveur lui-même ne contenait aucun log d’activité de l’utilisateur. Aucune de nos applications n’envoie des identifiants créés par les utilisateurs pour l’authentification. Les noms d’utilisateur et les mots de passe n’ont donc pas pu être interceptés.

Il n’y a aucune preuve que la clé volée ait été utilisée de manière malveillante, ni qu’elle aurait pu l’être tout simplement en raison de l’expiration de celle-ci.

Donc c’est tout ? Malheureusement non. En effet, c’est là que l’histoire du piratage de NordVPN prend une tournure confuse impliquant des sociétés VPN concurrentes.

En fait, nous sommes au courant de cet incident grâce à l’utilisateur Twitter @hexdefined qui a tweeté à ce sujet récemment :

Et comment @hexdefined en a-t-il eu connaissance ? Eh bien parce que la clé volée, et probablement quelques autres, circulaient apparemment sur le Dark Net depuis un certain temps.

L’intrigue se corse

Tout récemment, NordVPN a révélé l’incident, affirmant qu’il avait décidé de ne pas le mentionner pendant 18 mois au cas où la même vulnérabilité serait présente sur certains de ses 3 000 autres serveurs.

Comme la possibilité que d’autres fournisseurs de VPN soient victimes du même piratage, TorGuard a publié une déclaration dans laquelle il a admis que l’un de ses serveurs avait subi le même sort :

Le certificat TLS pour *.torguardvpnaccess.com sur le serveur affecté est un certificat de proxy squid qui n’est plus valide sur le réseau TorGuard depuis 2017 …

Il s’agit là d’une situation assez déroutante.

Un piratage s’est produit chez un fournisseur de services utilisé par NordVPN. D’une manière ou d’une autre, deux concurrents ont été touchés également. Mais nous ne savons pas si cela s’est passé au même moment ou lors d’un incident distinct révélé par cet événement. Jusqu’à présent, les déclarations faites ne le disent pas clairement.

Ces VPN sont-ils toujours sécurisés ?

Si une telle faille avait été exploitée avant sa découverte, un attaquant aurait en principe pu mettre en place un faux serveur NordVPN garanti par le certificat volé et, éventuellement, l’utiliser pour lancer des attaques dite de l’Homme du Milieu (MitM).

Ce risque était probablement faible et n’est plus d’actualité. Mais rappelons que, même si les VPN offrent une sécurité pour le trafic réseau en transit et un certain degré de confidentialité en masquant votre adresse IP, ils restent des réseaux construits à partir de serveurs, configurés par des humains, fonctionnant sur une infrastructure gérée par des fournisseurs tiers.


Billet inspiré de Hacker breached servers used by NordVPN, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.