Poursuite NordVPN TorGuard


Publié à l'origine le 29 mai 2019, dernière mise à jour le 5 juillet 2019

Cet article est périodiquement mis à jour pour refléter le procès TorGuard contre NordVPN et les développements en cours, qui sont affichés en bas.

  • Mise à jour 1: TorGuard modifie le procès après avoir nommé par erreur la mauvaise partie
  • Mise à jour 2: TorGuard dépose une autre plainte et tweete d'autres allégations

Dans un tournant intéressant, TorGuard a récemment annoncé sur Twitter qu'il poursuivait NordVPN et un fournisseur d'hébergement Web canadien, C-Seven Media, Inc.

Nous avons une copie complète du procès qui a été déposé auprès d'un tribunal de district de Floride, que vous pouvez lire ici.

Pourquoi un service VPN américain en Floride (TorGuard) poursuit-il un service VPN basé au Panama (NordVPN) et un fournisseur d'hébergement Web canadien (C-7)?

Bouclez votre ceinture, car cela est sur le point de devenir intéressant!

Nous allons d'abord examiner les événements qui ont mené au procès, puis nous allons examiner de près le procès et les allégations spécifiques.

20 mai 2019: TorGuard allègue qu'il a été «fait chanter» par un autre VPN

Le 20 mai 2019, TorGuard a publié un article de blog intéressant où ils allèguent que les événements suivants ont eu lieu:

  1. Un «inconnu s'est présenté sans y être invité dans la résidence personnelle d'un membre du personnel et a demandé à parler de l'industrie du VPN». L'employé de TorGuard a également reçu des courriels sur un compte personnel de cet «inconnu» d'un service VPN concurrent.
  2. Au cours de la conversation, la personne a demandé un «gentleman’s agreement» pour persuader un affilié TorGuard du nom de «Tom Spark reviews» de «supprimer le contenu négatif de YouTube» qu’il avait publié sur le service VPN concurrent..
  3. Ensuite, l'individu a révélé qu'il avait «des informations préjudiciables» sur TorGuard concernant une faille de sécurité, qui serait «publiée» si TorGuard n'acceptait pas les demandes..
  4. TorGuard a reconnu la faille, mais a déclaré que le serveur «n'avait pas été utilisé pour les installations» depuis janvier 2018 et a déclaré qu'il n'y avait «aucun risque de sécurité» pour leurs utilisateurs.
  5. TorGuard a ensuite enquêté sur le problème, ce qui les a amenés à croire qu'une société d'hébergement Web était impliquée, et a promis "une action en justice en cours".

Dans le billet de blog, TorGuard ne nomme pas NordVPN ou la société d'hébergement impliquée, mais le titre du message allègue qu'il s'agissait d'une tentative de «chantage». Quatre jours plus tard, TorGuard a déposé une plainte.

24 mai 2019: TorGuard poursuit NordVPN et l'hébergement C-7

Quatre jours seulement après l'incident présumé de «chantage», TorGuard a déposé une plainte auprès d'un tribunal de district d'Orlando, en Floride (États-Unis) contre l'hébergement Web NordVPN et C-7..

nordvpn torguard action en justice chantage

Voici dix détails importants de la poursuite (TLDR):

  1. TorGuard (Data Protection Services, LLC basée en Floride) poursuit NordVPN (Tefincom S.A., basée au Panama) et C-7 (C-Seven Media, Inc. basée au Canada).
  2. Le procès s'ouvre avec une attaque contre NordVPN pour publicité "trompeuse" et location "malhonnête" d'adresses IP d'ARIN (même si ces choses ont rien à voir avec les allégations à portée de main).
  3. TorGuard affirme que NordVPN a "menacé TorGuard" avec une action en justice antérieure de "General Counsel Legal Affiairs Tefincom S.A."
  4. TorGuard affirme ensuite que NordVPN «orchestré stratégiquement chronométré» Attaques DDOS contre le site Web de TorGuard le vendredi noir, ce qui a entraîné «des dommages économiques et de réputation importants».
  5. TorGuard demande une réparation injonctive et équitable, des dommages-intérêts «supérieurs à 75 000 $», le recouvrement de tous les profits qui ont été perdus, tous les frais juridiques associés à l'affaire, des «dommages exemplaires» d'un montant de «deux fois les pertes réelles» encourues et « réparation supplémentaire »que la Cour juge« juste et équitable ».
  6. TorGuard allègue que C-7 est «affiliée à ou contrôlée par NordVPN» et que C-7 a sollicité une «offre d'achat» au nom de NordVPN.
  7. En 2018, TorGuard a passé un contrat avec C-7, c'est ainsi que C-7 a eu accès aux «informations confidentielles et commerciales secrètes» de TorGuard.
  8. TorGuard allègue que ces «informations confidentielles et secrètes commerciales» ont ensuite été fournies à NordVPN, qui a fait l'objet d'une tentative de «chantage» présumée le 17 mai 2019 concernant des failles de sécurité..
  9. Dans le procès, TorGuard déclare que NordVPN a demandé un «gentleman’s agreement» par lequel NordVPN ne publierait pas les failles de sécurité de TorGuard si TorGuard pouvait obtenir un de ses affiliés [Tom Spark reviews] pour supprimer les vidéos YouTube qui critiquaient NordVPN.
  10. TorGuard exige un procès devant jury et allègue que les défendeurs (NordVPN et C-7) ont violé la loi de la Floride sur les abus informatiques et la récupération des données («CADRA»), la Florida Uniform Trade Secrets Act («FUTSA») et également «l'interférence délictuelle» en ce qui concerne les relations commerciales de TorGuard.

Maintenant que nous avons couvert les principaux points du procès de douze pages, examinons quelques questions supplémentaires.

TorGuard jette-t-il de la boue? Le procès est-il légitime?

L'industrie du VPN est très compétitive et les enjeux sont importants. Cela pourrait être le plus grand facteur d'explication de tout ce drame que nous avons vu récemment, avec différents fournisseurs de VPN s'attaquant ouvertement dans divers lieux (en ligne et devant les tribunaux).

Il semble clair que TorGuard a pris un coup en raison de diverses attaques DDOS, mais le procès ne semble pas avoir de preuve d'arme à feu reliant cela à NordVPN.

Une autre grande question est de savoir si ce tribunal d'Orlando, en Floride, a juridiction légitime d'entendre une cause contre NordVPN, qui est basée au Panama, et C-7, qui est basée au Canada. Aucune de ces entreprises n'a de présence physique en Floride, alors peut-être que le procès sera simplement rejeté..

Réponse officielle de NordVPN

NordVPN a fourni à Restore Privacy une déclaration officielle, sortie de presse le 29 mai 2019:

Nous sommes conscients du procès, bien qu'il soit assez difficile de le prendre au sérieux. Toutes les accusations sont entièrement inventées. TorGuard (bien que probablement par erreur) a même intenté une action contre une société canadienne de conception de sites Web dont nous n'avons jamais entendu parler.

Nous avons reçu des informations qui nous ont amenés à trouver le fichier de configuration du serveur TorGuard disponible sur Internet. Nous avons ensuite remarqué que l'un de leurs serveurs était laissé sans protection et accessible au public pour quiconque. Il contenait des clés privées, des scripts et un certain nombre d'autres informations extrêmement sensibles qui, si elles étaient utilisées à mauvais escient, auraient pu causer un préjudice grave à TorGuard et à ses clients..

Nous leur avons révélé la vulnérabilité avec les meilleures intentions. C'est une pratique normale et juste la bonne chose à faire, mais ils ont décidé de porter plainte pour chantage. Nous ne voulions même pas le rendre public.

Nous attendons avec impatience le processus suivant. De plus, maintenant nous n'avons pas d'autre choix que de prendre des contre-mesures.

Vous pouvez également trouver notre article de blog sur cette affaire ici: https://nordvpn.com/blog/torguard-lawsuit/

La réponse du blog de NordVPN fait également des déclarations intéressantes.

Tout a commencé lorsque nous avons reçu des informations qui nous ont amenés à trouver un fichier de configuration de serveur TorGuard ouvert sur Internet.

Le fichier a révélé la configuration du service TorGuard, affiché les clés privées et contenait un tas d'autres adresses IP d'infrastructure, y compris les adresses IP de leurs serveurs d'authentification et des actifs similaires. Étant donné que le fichier pouvait faire partie d'un ancien système obsolète, nous avons décidé de vérifier s'il s'agissait réellement d'un problème en essayant d'accéder à certaines adresses IP via un navigateur standard..

À notre grande surprise, nous avons vu que l'un des serveurs était resté complètement non protégé. N'importe qui aurait pu y accéder en entrant simplement l'IP du serveur dans le champ d'adresse de son navigateur. Le serveur contenait un certain nombre de scripts et d'autres informations sensibles. Entre de mauvaises mains, ces informations auraient pu facilement être utilisées à mauvais escient, causant ainsi des dommages importants à TorGuard et à ses clients..

La publication explique ensuite comment NordVPN a communiqué le problème de sécurité au CTO de TorGuard Keith Murray et au PDG de TorGuard Benjamin Van Pelt "sans rien demander en retour" - c'est-à-dire sans tentatives de "chantage". NordVPN allègue également que TorGuard pourrait avoir été impliqué dans une «campagne de diffamation» visant NordVPN.

Enfin, NordVPN nie les autres allégations de DDOSing et d'accès non autorisé qui, selon eux, sont «fabriquées» par TorGuard.

NordVPN conclut le message en déclarant son intention de poursuivre:

Nous allons immédiatement demander le rejet de la poursuite en diffamation de TorGuard, mais tant que nous sommes sur le sujet: intenter des poursuites fausses et malveillantes et publier des informations fausses et trompeuses est contraire à la loi. Par conséquent, nous déposons notre propre poursuite pour diffamation et diffamation..

Nous surveillerons de près le déroulement de tout cela et mettrons à jour cet article en conséquence.

TorGuard est accusé pour la deuxième fois de failles de sécurité?

Pour mémoire, ce n'est pas non plus la première fois que TorGuard est publiquement accusé de failles de sécurité.

En 2015, VPN.ac, un fournisseur de VPN basé en Roumanie, a publié un article détaillant comment TorGuard a copié la conception d'extension de navigateur de VPN.ac, utilisé l'API de VPN.ac et également implémenté son service proxy de navigateur de manière non sécurisée.

failles de sécurité de torguard

Comme VPN.ac l'a expliqué dans le billet de blog:

Ce n'est pas seulement la conception qui est similaire, mais ils utilisent également la même adresse de serveur d'API de géolocalisation (mise en évidence dans l'image de comparaison ci-dessus). C'est notre propre API géo-IP serveur que nous utilisons en interne (pour les logiciels, les extensions, etc.).

Fyi, en utilisant les serveurs API de quelqu'un d'autre, comme un service VPN, est une erreur très irresponsable - tout simplement terrible d'une sécurité & point de vue vie privée. Ce qu'ils font en utilisant les serveurs de quelqu'un d'autre, comme notre service API, essentiellement, c'est d'exposer toutes les adresses IP de leurs utilisateurs Chrome Proxy à un concurrent. Nous n'interférons en aucune façon avec les requêtes, mais vous devez être conscient qu'un service concurrent malveillant pourrait utiliser cette opportunité pour enregistrer les adresses IP des utilisateurs ou pire encore, les rediriger ou forger les réponses JSON pour gâcher le fonctionnalité d'extension: par exemple scénario de pêche à la traîne où l'emplacement connecté affichera «Fort Meade, Maryland», quel que soit l'emplacement IP de la passerelle réelle.

VPN.ac a également répertorié d'autres failles de sécurité:

  • Torguard stocke les informations d'identification en texte clair; nous testons XOR le laissez-passer pour le protéger contre les logiciels espions qui rechercheront partout des informations d'identification en texte clair;
    Pour reproduire: ajoutez des informations d'identification et enregistrez-les > clic droit sur l'extension > Inspecter le popup > Ressources > Stockage local
  • Torguard obtient la liste à jour des passerelles proxy sur HTTP (encore une fois dans effacer le texte); nous les obtenons via HTTPS (A + sur Qualys / résultats en miroir): à partir de background.js de Torguard, à partir de notre background.js;
    Le risque évident de fournir des adresses IP de serveur sur HTTP est qu'elles peuvent être facilement détournées lors d'une attaque MitM;
  • Le proxy HTTPS de Torguard est très peu sûr: utilise des chiffrements non sécurisés comme RC4, prend en charge SSL 3, est vulnérable aux attaques POODLE, ne fournit pas de secret en amont. Obtient un honteux Grade C sur le test Qualys. Miroir de résultat 1, miroir 2 (pour voir le résultat d'origine). Et voici notre résultat / miroir (FS activé, pas de chiffrement faible, prise en charge uniquement pour TLS 1.1 et 1.2);

Revenons maintenant au procès TorGuard et NordVPN.

Conclusion sur le procès TorGuard et NordVPN

Le temps dira comment tout cela se joue.

Alors que TorGuard était auparavant dans l'actualité pour des failles de sécurité, NordVPN était également dans les nouvelles l'été dernier pour un autre procès impliquant Hola VPN.

À la fin de la journée, il est dommage que les combats VPN se fassent traîner de manière aussi visible et ouverte. Non seulement cela nuit aux services VPN impliqués, mais cela nuit également à la crédibilité de l'ensemble de l'industrie.

Je garderai cet article à jour au fur et à mesure que les informations seront disponibles.

Mise à jour 1: TorGuard nomme par erreur la mauvaise partie dans le procès

Dans un échec surprenant de diligence raisonnable, TorGuard a officiellement nommé la mauvaise partie dans son procès.

poursuite torguard mauvaise partieÉchec épique.

Tel que rapporté par l'Orlando Sentinel:

Jeudi, une société de technologie d'Orlando a modifié une action en justice fédérale parce qu'elle avait apparemment nommé le mauvais défendeur basé à Toronto dans le dossier initial.

TorGuard, qui propose à ses clients des réseaux privés virtuels, ou VPN, avait accusé une société appelée C-7 d'avoir obtenu ses secrets commerciaux illégalement, puis d'avoir utilisé ces informations dans un programme de chantage..

Cependant, lorsque les avocats de C-7 ont contacté l'équipe juridique de TorGuard pour en savoir plus, ils ont découvert que TorGuard avait incorrectement nommé leur entreprise dans le procès..

Le dépôt modifié nomme maintenant Collective 7 Inc., également situé à Toronto, comme défendeur.

Oups!

On dirait que quelqu'un n'a pas fait la diligence requise avant de déposer une plainte majeure devant le tribunal de district.

Mise à jour 2: TorGuard dépose une plainte et tweete des allégations

Le 26 juin 2019, TorGuard a déposé une plainte auprès du Middle District Court of Florida Orlando Division. J'ai lu toute la plainte et elle n'offre aucune nouvelle preuve ou évolution. Au lieu de cela, c'est juste un remaniement de ce que le procès original couvrait déjà, dont nous avons discuté ci-dessus.

TorGuard a annoncé cette mise à jour via son pseudo Twitter. En plus de tweeter sur la plainte, TorGuard a également publié une capture d'écran qui semble faire partie d'un échange qui a eu lieu sur une plate-forme de messagerie.

"Même si vous niez la vérité, la vérité continue d'exister." - George Orwell pic.twitter.com/tKRvLFtJFE

- TorGuard (@TorGuard) 27 juin 2019

J'hésite à tirer des conclusions ici, car il s'agit d'un petit extrait d'une conversation, mais cela semble suggérer que NordVPN demandait que certains contenus soient supprimés. S'agit-il d'une «preuve de chantage»? Qui sait. Nous verrons comment tout cela se passe en cour.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me