Selon une déclaration, la cyberattaque aurait eu lieu début 2018 dans le centre de données finlandais d’un fournisseur de services utilisé par l’entreprise, exploitant une vulnérabilité dans une interface de gestion à distance dont NordVPN n’avait pas connaissance.
Il ne s’agit pas d’une très bonne nouvelle pour une entreprise offrant un service VPN que les clients achètent pour renforcer la sécurité et la confidentialité de leur connexion Internet. Cependant, dans un communiqué publié récemment, l’entreprise a minimisé le risque d’utilisation abusive :
Le serveur lui-même ne contenait aucun log d’activité de l’utilisateur. Aucune de nos applications n’envoie des identifiants créés par les utilisateurs pour l’authentification. Les noms d’utilisateur et les mots de passe n’ont donc pas pu être interceptés.
Il n’y a aucune preuve que la clé volée ait été utilisée de manière malveillante, ni qu’elle aurait pu l’être tout simplement en raison de l’expiration de celle-ci.
Donc c’est tout ? Malheureusement non. En effet, c’est là que l’histoire du piratage de NordVPN prend une tournure confuse impliquant des sociétés VPN concurrentes.
En fait, nous sommes au courant de cet incident grâce à l’utilisateur Twitter @hexdefined qui a tweeté à ce sujet récemment :
So apparently NordVPN was compromised at some point. Their (expired) private keys have been leaked, meaning anyone can just set up a server with those keys… pic.twitter.com/TOap6NyvNy
— undefined (@hexdefined) October 20, 2019
Et comment @hexdefined en a-t-il eu connaissance ? Eh bien parce que la clé volée, et probablement quelques autres, circulaient apparemment sur le Dark Net depuis un certain temps.
L’intrigue se corse
Tout récemment, NordVPN a révélé l’incident, affirmant qu’il avait décidé de ne pas le mentionner pendant 18 mois au cas où la même vulnérabilité serait présente sur certains de ses 3 000 autres serveurs.
Comme la possibilité que d’autres fournisseurs de VPN soient victimes du même piratage, TorGuard a publié une déclaration dans laquelle il a admis que l’un de ses serveurs avait subi le même sort :
Le certificat TLS pour *.torguardvpnaccess.com sur le serveur affecté est un certificat de proxy squid qui n’est plus valide sur le réseau TorGuard depuis 2017 …
Il s’agit là d’une situation assez déroutante.
Un piratage s’est produit chez un fournisseur de services utilisé par NordVPN. D’une manière ou d’une autre, deux concurrents ont été touchés également. Mais nous ne savons pas si cela s’est passé au même moment ou lors d’un incident distinct révélé par cet événement. Jusqu’à présent, les déclarations faites ne le disent pas clairement.
Ces VPN sont-ils toujours sécurisés ?
Si une telle faille avait été exploitée avant sa découverte, un attaquant aurait en principe pu mettre en place un faux serveur NordVPN garanti par le certificat volé et, éventuellement, l’utiliser pour lancer des attaques dite de l’Homme du Milieu (MitM).
Ce risque était probablement faible et n’est plus d’actualité. Mais rappelons que, même si les VPN offrent une sécurité pour le trafic réseau en transit et un certain degré de confidentialité en masquant votre adresse IP, ils restent des réseaux construits à partir de serveurs, configurés par des humains, fonctionnant sur une infrastructure gérée par des fournisseurs tiers.
Billet inspiré de Hacker breached servers used by NordVPN, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.