NordVPN

NordVPN, victime d’une brèche de donnée

NordVPN, l’un des services VPN les plus utilisés, a révélé des détails concernant un incident de sécurité qui a compromis l’un de leurs serveurs se trouvant en Finlande.

Un peu plus tôt cette semaine, un chercheur en sécurité a révélé sur Twitter que “NordVPN a été compromis,” affirmant que des pirates inconnus ont subtilisé les clés de chiffrement privées utilisées pour protéger le trafic des utilisateurs de VPN qui passait sur le serveur compromis.

En réponse à cela, NordVPN a publié un article détaillant l’incident. Nous avons résumé tout cela pour vous.

Qu’est-ce qui a été compromis?

NordVPN a des milliers de serveurs à travers le monde hébergés par des datacenters de parti tiers. L’un de ces serveurs hébergés par un datacenter finlandais a été accédé sans autorisation en Mars 2018.

Comment est-ce arrivé?

La compagnie a révélé qu’un pirate inconnu a obtenu l’accès au serveur en exploitant “un système de gestion à distance non-sécurisé.” Il semblerait que la compagnie ne savait même pas que ce système existait.

Qu’est-ce qui a été dérobé?

Comme NordVPN n’enregistre pas l’activité de ses utilisateurs, le serveur compromis “ne contenait aucun logs d’activité; aucune des applications n’envoient d’identifiants créé par l’utilisateur pour l’authentification, donc les noms d’utilisateur/mots de passe n’ont pas pu être anticipé.”

Cependant, la compagnie n’a pas confirmé si le pirate avait réussi à dérober la clé de chiffrement TLS utilisée pour protéger le trafic des utilisateurs du VPN qui passe par le serveur compromis.

nordvpn hacked

Bien que NordVPN ait essayé de calmer les esprits en disant simplement que la clé était “périmée,” ils ont ensuite admit que la clé était valide lors de la brèche et qu’elle a expiré en Octobre 2018, presque 7 mois après la brèche.

Qu’est-ce que les pirates ont pu réussir à faire?

Presque tout les sites d’aujourd’hui utilisent HTTPS pour protéger le trafic de leurs utilisateurs. Les VPN ajoutent une couche d’authentification et de chiffrement au réseau existant, empêchant même votre fournisseur d’accès de surveiller votre activité en ligne.

Avec la clé de chiffrement, les pirates ont pu déchiffré cette couche de protection passée par le serveur compromis, ils n’ont cependant pas pu utilisé cette même clé pour déchiffrer le trafic HTTPS.

“Même si le hacker a pu voir le trafic en étant connecté au serveur, il pouvait seulement voir ce qu’un fournisseur d’accès ordinaire peut voir, mais ils n’ont absolument pas pu lié ceci à un utilisateur particulier,” a déclaré le porte-parole de NordVPN.

“La seule façon d’abuser le trafic du site était d’exécuter une attaque Man-in-The-Middle pour intercepter une connexion qui a essayé d’accéder à nordvpn.com,” a déclaré la compagnie dans un communiqué.

En d’autres mots, l’attaque a sûrement permis aux pirates de capturer les données non-chiffrées échangées avec les sites qui n’utilisent pas HTTPS.

“Nous n’enregistrons pas d’activité, donc nous ne savons pas combien d’utilisateurs ont utilisé ce serveur,” a expliqué NordVPN. “Cependant, en évaluant a charge du serveur, il y’a eu entre 50 et 200 sessions actives.”

Il faut préciser que la clé de chiffrement volée n’a pas pu être utilisé pour déchiffrer le trafic VPN d’un autre serveur.

Comment NordVPN a adressé la brèche de donnée?

Après avoir découvert l’incident il y’a quelques mois, la compagnie a “immédiatement mis fin au contrat les liant au fournisseur de service” et se sont débarrassés de tout les serveurs qu’ils louaient.

NordVPN a immédiatement lancé un audit interne de ses serveurs pour vérifier son infrastructure entière et se sont assurés que d’autres serveurs ne pouvaient pas être exploiter de cette façon.

La compagnie a déclaré que l’année prochaine, ils lanceront aussi un audit externe indépendant pour être sure de ne pas passer à côté de quelque chose d’autre.

Ils ont aussi admit ne pas avoir réussi à assurer la sécurité de leurs clients en ayant fait appel à un fournisseur de service non-fiable.

Est-ce que les utilisateurs de NordVPN devraient être inquiets?

Pas vraiment. Les gens utilisent des VPN pour diverses raisons.

Cependant, avant de choisir un service il est recommandé de faire des recherches avant de payer pour un service.

TorGuard et VikingVPN ont aussi été compromis

Il semblerait que NordVPN ne soit pas seul. D’autres services VPN, y compris TorGuard et VikingVPN, ont aussi été victime d’un incident de sécurité similaire.

Dans un article publié Lundi, TorGuard a confirmé qu’un serveur TorGuard avait été compromis et supprimé du réseau au début de l’année 2018 et qu’ils ont cessé de travailler avec l’hébergeur concerné à cause d’activités suspectes.”

Comme TorGuard a porté plainte contre NordVPN le 27 Juin 2019, les blâmant pour la brèche, la compagnie a refusé de fournir des détails concernant l’hébergeur en question ou comment le pirate a obtenu un accès non-autorisé.

La compagnie a aussi déclaré que parmi les 3, TorGuard était les seuls à utiliser “une gestion PKI(Public Key Infrastructure) sécurisée,” ce qui veut dire que “la principale clé CA(Certificate Authority) n’était pas sur le serveur VPN affecté.”

VikingVPN n’a pas encore réagi à cet incident de sécurité.

Si cet article vous a plu, jetez un œil à notre précédent article.