Les services VPN apportent une meilleure sécurité… sauf quand ils sont eux-mêmes cibles d’une attaque. Or, c’est justement ce qui vient d’arriver à l’un des fournisseurs phares du secteur, NordVPN. Il y a quelques jours, le Twittos @hexdefined a révélé que quelqu’un a mis la main sur des clés de chiffrement privées et un fichier de configuration de l’entreprise. Des preuves d’accès ont d’ailleurs été postées sur le forum 8chan. NordVPN a confirmé cette fuite d’informations dans une note de blog.
So apparently NordVPN was compromised at some point. Their (expired) private keys have been leaked, meaning anyone can just set up a server with those keys… pic.twitter.com/TOap6NyvNy
— undefined (@hexdefined) October 20, 2019
Selon le fournisseur, qui n’a eu vent de cet incident qu’il y a quelques mois, ces données proviennent d’un serveur hébergé en Finlande. Le pirate a accédé à cette machine en mars 2018 au travers d’un logiciel d’administration à distance qui était mis à disposition par l’hébergeur. Le pirate a pu exfiltrer la clé privée d’un certificat TLS pour le domaine « *.nordvpn.com », ainsi que la clé privée d’un certificat OpenVPN.
Avec la première clé, il aurait pu créer un faux site web de NordVPN sans que personne ne puisse s’en rendre compte. Avec la seconde clé, il aurait pu déchiffrer les flux VPN qui transitaient par le serveur compromis, et par conséquent accéder aux requêtes DNS et au trafic web qu’ils contenaient. En revanche, les données qui circulaient en HTTPS ne pouvaient, évidemment, pas être lues.
NordVPN sous le feu des critiques
Le fournisseur de services cherche à minimiser l’affaire. Ainsi, aucune donnée de connexion n’aurait fuité, aucun identifiant d’utilisateur n’aurait été dévoilé et aucun autre serveur sur les 3 000 que possède NordVPN dans le monde n’aurait été compromis. « Le seul moyen de compromettre le trafic web était d’effectuer une attaque man-in-the-middle personnalisée, complexe et ciblée sur une connexion particulière vers nordvpn.com », souligne par ailleurs le fournisseur dans son communiqué.
Mais des critiques acerbes ont également fusé. Selon le cryptographe Keen White, l’accès dont bénéficiait ce fameux hacker était comparable à un « God mode ». Le fait que NordVPN n’ait rien remarqué serait un point particulièrement négatif. Selon lui, les affirmations du fournisseur sont à prendre avec des pincettes.
Missed detail in some of the online debate: based on the dumped pastebins, the Nord VPN not-a-hacker had full remote admin on their Finland node LXC containers. That's God Mode folks. And they didn't log and didn't detect it. I'd treat their all claims with great skepticism.
— Kenn White (@kennwhite) October 21, 2019
Le concurrent Cryptostorm estime, pour sa part, qu’il n’est pas normal de trouver des clés de chiffrement sur un tel serveur. Il en conclut que NordVPN ne dispose pas d’une gestion d’infrastructure à clé publique (PKI).
A bigger problem was that they weren't practicing secure PKI management (see https://t.co/5zcYHawEki ) because the CA private key was stupidly on the same server. With that private key, an attacker could easily generate their own server cert/key and MiTM any other server.
— ᓭ cryptostorm ᓯ (@cryptostorm_is) October 20, 2019
De son côté, The Register a pu identifier l’hébergeur finlandais en question. Il s’agit d’une société qui porte le nom de Creanova. D’après son PDG Niko Viskari, NordVPN n’aurait pas pris suffisamment de précautions dans la gestion de ses services. Contrairement à ce qu’il dit dans son communiqué, NordVPN connaissait parfaitement l’existence de l’outil d’administration à distance utilisé par le hacker. Ses administrateurs l’ont d’ailleurs utilisé pour leurs propres besoins. Mais le PDG de Creanova estime qu’ils n’ont pas suffisamment sécurisé l’accès à cet outil. De son côté, NordVPN explique que Creanova a créé des comptes à son insu, et que l’un d’entre eux a été utilisé par le hacker pour accéder au serveur.
Aucun flux TorGuard n’aurait été compromis
Deux autres fournisseurs de services VPN figurent également dans le fameux message de 8chan, à savoir TorGuard et VikingVPN. Dans le premier cas, qui a été confirmé par le fournisseur, un serveur a été piraté et des clés de chiffrement TLS et OpenVPN ont fuité. Dans un communiqué, la société explique n’avoir été informée de cet incident qu’en mai 2019. Elle souligne toutefois que ces clés étaient obsolètes et « qu’aucun trafic proxy ou VPN n’aurait été compromis durant cet incident ». Dans le cas de VikingVPN, des clés OpenVPN et des fichiers de configuration auraient également fuité. Mais le fournisseur n’a fait aucune communication à ce sujet.
En tous les cas, cette histoire montre que les services VPN sont loin d’être invulnérables. Mieux vaut ne pas trop s’appuyer sur eux pour des activités particulièrement sensibles.
Source: BleepingComputer, Register
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.