Passer au contenu

Le hack de NordVPN incite à la méfiance quant à la sécurité des réseaux privés virtuels

Un serveur du célèbre fournisseur a été piraté en 2018. Des clés de chiffrement sont parties dans la nature. Les concurrents TorGuard et VikingVPN ont également été hackés. Des experts en sécurité informatique critiquent la gestion de la crise par NordVPN.

Les services VPN apportent une meilleure sécurité… sauf quand ils sont eux-mêmes cibles d’une attaque. Or, c’est justement ce qui vient d’arriver à l’un des fournisseurs phares du secteur, NordVPN. Il y a quelques jours, le Twittos @hexdefined a révélé que quelqu’un a mis la main sur des clés de chiffrement privées et un fichier de configuration de l’entreprise. Des preuves d’accès ont d’ailleurs été postées sur le forum 8chan. NordVPN a confirmé cette fuite d’informations dans une note de blog.

https://twitter.com/hexdefined/status/1185864801261477891

Selon le fournisseur, qui n’a eu vent de cet incident qu’il y a quelques mois, ces données proviennent d’un serveur hébergé en Finlande. Le pirate a accédé à cette machine en mars 2018 au travers d’un logiciel d’administration à distance qui était mis à disposition par l’hébergeur. Le pirate a pu exfiltrer la clé privée d’un certificat TLS pour le domaine « *.nordvpn.com », ainsi que la clé privée d’un certificat OpenVPN.

Avec la première clé, il aurait pu créer un faux site web de NordVPN sans que personne ne puisse s’en rendre compte. Avec la seconde clé, il aurait pu déchiffrer les flux VPN qui transitaient par le serveur compromis, et par conséquent accéder aux requêtes DNS et au trafic web qu’ils contenaient. En revanche, les données qui circulaient en HTTPS ne pouvaient, évidemment, pas être lues.

NordVPN sous le feu des critiques

Le fournisseur de services cherche à minimiser l’affaire. Ainsi, aucune donnée de connexion n’aurait fuité, aucun identifiant d’utilisateur n’aurait été dévoilé et aucun autre serveur sur les 3 000 que possède NordVPN dans le monde n’aurait été compromis. « Le seul moyen de compromettre le trafic web était d’effectuer une attaque man-in-the-middle personnalisée, complexe et ciblée sur une connexion particulière vers nordvpn.com », souligne par ailleurs le fournisseur dans son communiqué.

Mais des critiques acerbes ont également fusé. Selon le cryptographe Keen White, l’accès dont bénéficiait ce fameux hacker était comparable à un « God mode ». Le fait que NordVPN n’ait rien remarqué serait un point particulièrement négatif. Selon lui, les affirmations du fournisseur sont à prendre avec des pincettes.

https://twitter.com/kennwhite/status/1186369692694405120

Le concurrent Cryptostorm estime, pour sa part, qu’il n’est pas normal de trouver des clés de chiffrement sur un tel serveur. Il en conclut que NordVPN ne dispose pas d’une gestion d’infrastructure à clé publique (PKI).

https://twitter.com/cryptostorm_is/status/1185976505203118081

De son côté, The Register a pu identifier l’hébergeur finlandais en question. Il s’agit d’une société qui porte le nom de Creanova. D’après son PDG Niko Viskari, NordVPN n’aurait pas pris suffisamment de précautions dans la gestion de ses services. Contrairement à ce qu’il dit dans son communiqué, NordVPN connaissait parfaitement l’existence de l’outil d’administration à distance utilisé par le hacker. Ses administrateurs l’ont d’ailleurs utilisé pour leurs propres besoins. Mais le PDG de Creanova estime qu’ils n’ont pas suffisamment sécurisé l’accès à cet outil. De son côté, NordVPN explique que Creanova a créé des comptes à son insu, et que l’un d’entre eux a été utilisé par le hacker pour accéder au serveur.

Aucun flux TorGuard n’aurait été compromis

Deux autres fournisseurs de services VPN figurent également dans le fameux message de 8chan, à savoir TorGuard et VikingVPN. Dans le premier cas, qui a été confirmé par le fournisseur, un serveur a été piraté et des clés de chiffrement TLS et OpenVPN ont fuité. Dans un communiqué, la société explique n’avoir été informée de cet incident qu’en mai 2019. Elle souligne toutefois que ces clés étaient obsolètes et « qu’aucun trafic proxy ou VPN n’aurait été compromis durant cet incident ». Dans le cas de VikingVPN, des clés OpenVPN et des fichiers de configuration auraient également fuité. Mais le fournisseur n’a fait aucune communication à ce sujet.

En tous les cas, cette histoire montre que les services VPN sont loin d’être invulnérables. Mieux vaut ne pas trop s’appuyer sur eux pour des activités particulièrement sensibles.

Source: BleepingComputer, Register

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn