piratage nordvpn


Ce guide plonge en profondeur dans le récent hack NordVPN et examine les les faits entourant la situation, avec les derniers développements.

Récemment, les médias ont publié une avalanche de rapports concernant un piratage NordVPN sur un serveur en Finlande. Les rumeurs et les allégations se sont propagées rapidement, NordVPN étant l'un des plus grands VPN du marché.

Alors que les nouvelles peuvent être alarmantes pour certains, l'impact tangible de ce problème pour les utilisateurs de NordVPN est assez limité.

Piratage NordVPN: résumé des faits

Tout d'abord, pour mettre les choses en perspective, ce hack affecté un serveur NordVPN en Finlande sur un réseau d'environ 5 000 serveurs. Examinons maintenant ce qui est exactement arrivé à ce serveur.

En mars 2018, quelqu'un a posté Certificats TLS de NordVPN, TorGuard et VikingVPN sur 8chan. Alors que le message de 2018 semble être passé sous silence, le problème a récemment éclaté sur Twitter, qui a abouti à un article de TechCrunch alléguant que NordVPN avait été «piraté».

Que pourrait faire un pirate avec une clé TLS expirée?

Lorsque les gens entendent le mot «pirater», ils assument le pire. Mais creusons plus profondément.

Comme NordVPN l'a souligné dans sa réponse officielle,

L'intrus a trouvé et acquis un Clé TLS qui a déjà expiré. Avec cette clé, une attaque ne pourrait être effectuée que sur le Web contre une cible spécifique et nécessiterait un accès extraordinaire à l'appareil ou au réseau de la victime (comme un appareil déjà compromis, un administrateur réseau malveillant ou un réseau compromis). Une telle attaque serait très difficile à réussir. Expirée ou non, cette clé TLS ne pouvait en aucun cas être utilisée pour décrypter le trafic NordVPN. Ce n'est pas ce qu'il fait.

Il s'agissait d'un cas isolé et aucun autre serveur ou fournisseur de centre de données que nous utilisons n'a été affecté..

Cela nous amène à la question suivante.

Les utilisateurs de NordVPN sont-ils compromis?

Sur la base de toutes les preuves disponibles, la réponse semble être non. Les utilisateurs de NordVPN n'ont pas été compromis par un attaquant obtenant l'accès à une clé TLS expirée pour un seul serveur en Finlande.

Tout d'abord, le pirate n'aurait aucun accès aux journaux du serveur car NordVPN est un fournisseur VPN sans journaux qui ne stocke rien sur ses serveurs. NordVPN a passé un audit tiers par PricewaterhouseCoopers pour vérifier sa politique de non-journalisation.

Deuxièmement, NordVPN utilise un secret de transmission parfait, qui génère une clé unique pour chaque session à l'aide de clés éphémères Diffie-Hellman. Cela signifie que même avec une clé TLS, peu un pirate pourrait même faire, depuis le les clés sont utilisées pour l'authentification du serveur et non le chiffrement du trafic. Comme NordVPN l'a souligné ci-dessus, le pirate aurait besoin d'un accès direct à l'appareil ou au réseau de l'utilisateur pour une attaque efficace (extrêmement improbable).

Ce piratage affecte-t-il même quelqu'un?

Il n'y a aucun moyen d'être certain à 100% avec quoi que ce soit, mais la réponse semble être non.

Il n'y a aucune preuve suggérant que le trafic ou les données privées des utilisateurs de NordVPN ont été exploités dans ce hack. En l'absence de violation de données, il n'y a aucune obligation légale d'alerter quiconque.

Comment le pirate a-t-il obtenu les clés TLS?

La réponse à cette question ne semble pas claire - du moins pour moi.

NordVPN blâme le centre de données en Finlande, comme ils l'ont expliqué dans leur réponse officielle:

La violation a été rendue possible par une mauvaise configuration de la part d'un centre de données tiers dont nous n'avons jamais été informés. Les preuves suggèrent que lorsque le centre de données a pris connaissance de l'intrusion, il a supprimé les comptes qui avaient causé les vulnérabilités plutôt que de nous informer de leur erreur. Dès que nous avons appris la violation, le serveur et notre contrat avec le fournisseur ont été résiliés et nous avons commencé un audit approfondi de notre service.

Pendant ce temps, le centre de données blâme NordVPN dans un article publié dans The Register:

"Oui, nous pouvons confirmer qu'ils étaient nos clients", a poursuivi Viskari. «Et ils ont eu un problème avec leur sécurité parce qu'ils ne s'en sont pas occupés eux-mêmes.

«Tous les serveurs que nous fournissons ont l'outil d'accès à distance iLO ou iDRAC, et en fait cet outil d'accès à distance a des problèmes de sécurité de temps en temps, comme presque tous les logiciels dans le monde. Nous avons corrigé cet outil lors de la sortie d'un nouveau micrologiciel de HP ou Dell.

Enfin, il peut y avoir une troisième explication - un employé mécontent. Le fondateur de VikingVPN, qui n'est plus associé à VikingVPN, a suggéré sur reddit que,

cela ressemble plus à un employé mécontent de Nord ou au centre de données qui fuit les clés plutôt qu'à un «pirate informatique».

Nous avons donc ici trois possibilités différentes pour savoir comment le pirate aurait pu obtenir la clé TLS expirée du serveur NordVPN en Finlande. Quoi qu'il en soit, comme nous l'avons expliqué ci-dessus, l'impact pour les utilisateurs de NordVPN est essentiellement nul.

NordVPN fournit un résumé des événements

Avant de publier cet article, j'ai demandé à NordVPN des éclaircissements sur quelques points. Un de leurs représentants m'a fourni le résumé suivant:

  • Il n'y a aucun signe montrant que l'un de nos clients a été affecté ou que leurs données ont été consultées par l'acteur malveillant.
  • Le serveur lui-même ne contenait aucun journal d'activité utilisateur. Aucune de nos applications n'envoie les informations d'identification créées par l'utilisateur pour l'authentification, de sorte que les noms d'utilisateur et les mots de passe n'auraient pas pu être interceptés.
  • Notre service dans son ensemble n'a pas été piraté; notre code n'a pas été piraté; le tunnel VPN n'a pas été rompu. Les applications NordVPN ne sont pas affectées. Il s'agissait d'une instance individuelle d'accès non autorisé à l'un des 5000 serveurs que nous avons.
  • Le pirate a réussi à accéder à ce serveur en raison des erreurs commises par le propriétaire du centre de données, dont nous n'étions pas au courant.
  • Dès que nous avons découvert le problème, nous avons cessé nos relations avec ce centre de données particulier et déchiqueté le serveur.
  • Il n'est pas possible de déchiffrer une session VPN en cours ou enregistrée même si quelqu'un a obtenu des clés privées du serveur VPN. Perfect Forward Secrecy (avec l'algorithme d'échange de clés Diffie-Hellman) est utilisé. Les clés du serveur VPN sont utilisées uniquement pour authentifier le serveur et non pour le chiffrement.

Chronologie des événements de NordVPN:

  1. Le serveur affecté a été mis en ligne le 31 janvier 2018.
  2. Des preuves de la violation ont été rendues publiques le 5 mars 2018. * D'autres preuves suggèrent que ces informations ne sont devenues disponibles que peu de temps après la violation..
  3. Le potentiel d'accès non autorisé à notre serveur a été restreint lorsque le centre de données a supprimé le compte de gestion non divulgué le 20 mars 2018..
  4. Le serveur a été déchiqueté le 13 avril 2019 - au moment où nous soupçonnions une éventuelle violation.

Mises à niveau de sécurité du réseau de NordVPN

Pour améliorer encore la sécurité, NordVPN a annoncé les plans suivants dans sa réponse:

Depuis la découverte, nous avons pris tous les moyens nécessaires pour renforcer notre sécurité. Nous avons subi un audit de sécurité des applications, travaillons actuellement sur un deuxième audit sans journaux et préparons un programme de correction de bogues. Nous mettrons tout en œuvre pour maximiser la sécurité de chaque aspect de notre service et l'année prochaine, nous lancerons un audit externe indépendant de l'ensemble de notre infrastructure..

Comme indiqué ci-dessus, NordVPN est déjà l'un des rares fournisseurs de VPN à avoir fait l'objet d'un audit tiers complet pour vérifier leurs déclarations d'absence de journaux. Cet audit a été achevé en novembre 2018 et il semble qu'un deuxième audit soit en cours.

De plus, NordVPN m'a dit qu'il allait reconfigurer son réseau de serveurs courir Disque RAM mode uniquement. Il s'agit en effet d'une configuration plus sécurisée par rapport aux disques durs traditionnels car rien ne peut être stocké sur le serveur. Perfect Privacy gère leur réseau de cette façon et ExpressVPN est également passé à l'exécution de tous les serveurs sur disque RAM, qu'ils appellent .

Reste préoccupé par NordVPN

Contrairement à de nombreux autres sites discutant des VPN, NordVPN n'a jamais été notre principale recommandation ici à Restore Privacy. Bien qu'il s'agisse d'un VPN abordable avec de bonnes fonctionnalités, il n'a jamais occupé la première place sur la meilleure liste de VPN. Et malgré tout le tollé récent, je ne suis pas trop préoccupé par le problème de clé TLS avec un serveur en Finlande.

Néanmoins, voici trois préoccupations persistantes.

1. Notification plus rapide

Selon le calendrier fourni, NordVPN soupçonnait une possible violation en avril 2019. Leur raisonnement pour la notification différée était de garantir que le reste de leur réseau était protégé contre de nouvelles attaques. Une autre justification potentielle du retard est que les données de personne n'ont pas été affectées par ce «hack».

Néanmoins, attendre des mois pour alerter leurs utilisateurs n'était probablement pas la meilleure idée.

2. Marketing plutôt que sécurité

Au cours des dernières années, j'ai vu NordVPN injecter des sommes incalculables dans le marketing. Les publicités NordVPN ont été diffusées partout sur Internet, à la télévision, et maintenant il y a une armée de YouTubers faisant également la promotion du VPN.

Bien que le marché des VPN soit en effet compétitif, il semble que le marketing soit désormais une priorité absolue, ce qui peut se faire au détriment de la sécurité. Espérons que ce dernier événement puisse aider NordVPN à réaligner ses priorités avec un accent renouvelé sur la sécurité et moins sur le marketing et la promotion.

3. Performance

Au début de l'été dernier, lors de l'exécution des tests pour la revue NordVPN, j'ai remarqué que les performances avaient pris un coup. Les vitesses étaient généralement plus lentes sur toute la ligne par rapport aux tests précédents sur les performances du réseau de serveurs de NordVPN.

J'ai également reçu des commentaires similaires de quelques utilisateurs de NordVPN. Le détournement de certaines ressources du budget marketing vers des mises à niveau du serveur et de la bande passante pourrait aider à résoudre ce problème..

Dernières réflexions sur le «hack» NordVPN

NordVPN est probablement le fournisseur VPN le plus populaire sur le marché. Par conséquent, il a un gros objectif sur le dos dans un secteur très concurrentiel. Cela peut expliquer pourquoi ce «hack» a explosé en premier lieu avec des médias sautant sur le clickbait bandwagon, avant d'étudier la portée du problème et comment il affecte même les utilisateurs de NordVPN.

Les gens semblent quelque peu divisés sur la question. Certains soutiennent que cela ne devrait même pas être appelé un «piratage» car il impliquait une clé TLS expirée sur un seul serveur en Finlande sans accès aux données utilisateur ou au trafic. D'autres suivent l'air de TechCrunch et dénoncent NordVPN.

Malgré le tollé récent et le barrage de gros titres sur les appâts cliquables, il semble y avoir peu, voire aucun, impact sur les utilisateurs de NordVPN - même ceux qui utilisaient le serveur Finlande en mars 2018. En tant que tel, je ne vois aucune raison de tirer la sonnette d'alarme et plaider pour un exode massif loin de NordVPN. Bien que le problème actuel soit préoccupant, il n'est pas catastrophique par un effort d'imagination.

Espérons que NordVPN utilisera cela comme une opportunité de réaligner leurs priorités en mettant davantage l'accent sur la sécurité et l'amélioration de leur VPN.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me