Rechercher sur ce blogue

mercredi 8 juillet 2015

Controverse autour de la sécurité des VPN grand public

Sécurité : Une étude publiée par des chercheurs britanniques et italiens met en lumière les failles de sécurité dont souffrent les offres de VPN grand public, mais celle-ci est largement contestée par les principaux intéressés, qui déplorent une étude obsolète et datée.


Alors que les gouvernements s’efforcent de développer les outils de contrôle et de surveillance du réseau, les VPN, outils qui proposent de sécuriser une connexion et d’anonymiser en partie l’utilisateur, sont en pleine croissance. Mais des chercheurs de l’université Sapienza à Rome et de l’université Queen Mary à Londres ont publié une étude soulignant des failles dans plusieurs VPN commerciaux à destination du grand public.
 
Le bilan établi par les chercheurs est sans appel : tous les services VPN testés sont vulnérables à l'une ou l'autre des failles de sécurité. 
Les chercheurs ont identifié deux failles affectant la plupart de ces services : d’une part, une vulnérabilité nommée IPv6 Leaks, qui prend sa source dans le fait que la plupart de ces VPN ne prennent pas en charge le trafic IPv6 et ne sécurisent pas ce trafic. Une faille de sécurité d'autant plus prégnante que la plupart des OS ont tendance à prioriser IPv6 lorsque cela est possible.
L’autre scénario détaillé par les chercheurs est celui d’une attaque DNS : en interceptant les requêtes DNS de l’utilisateur de VPN, un attaquant peut ainsi retracer l’historique de navigation de sa victime. Les chercheurs ont exposé 14 VPN à ces deux types d’attaques, et aucun des candidats n’a eu droit au sans-faute : tous sont, selon eux, vulnérables à l’une ou l’autre de ces attaques.

La grogne des VPN

Mais l’étude déplaît fortement aux éditeurs VPN ayant servi aux tests menés par les chercheurs. Ainsi, PureVPN a été le premier à dégainer en publiant sur son blog un démenti, qui pointe le caractère inexact et daté de certaines des informations contenues dans l’étude. L’éditeur explique ainsi avoir « depuis longtemps déployé leurs propres serveurs DNS sur leur réseau » ce qui selon eux corriger la faille de sécurité remarquée par les chercheurs.
Même logique pour IPv6leak, la société explique avoir également pris des mesures afin de corriger cette faille de sécurité et conseille à ses utilisateurs de désactiver eux même la prise en charge du protocole IPv6 pour éviter de s’exposer. Le VPN Tor guard, également évoqué dans l’étude, a lui aussi profité de l’occasion pour annoncer avoir renforcé ses mesures de sécurité à l’égard de cette faille. Une mesure compréhensible, mais qui ne va pas favoriser l’adoption déjà poussive de ce nouveau protocole d’adressage.
La faille détaillée par les chercheurs n’a rien de très nouveau et l’étude remarque que celle-ci, bien que connue depuis un certain temps, reste exploitable contre la plupart des fournisseurs VPN commerciaux. Les chercheurs notent dans leurs conclusions que les entreprises utilisant des services de VPN devraient être peu touchées par cette faille, pour peu qu’ils soient configurés correctement.
La prise de contrôle du DNS pourrait être envisageable, mais « nécessiterait de la part de l’attaquant une grande connaissance du réseau.» L’étude s’inquiète en revanche des conséquences de ce type de faille sur des individus ayant recours à ces technologies dans des régimes totalitaires, et du sentiment de fausse sécurité que celles-ci peuvent créer.
 
 
Source.:

Aucun commentaire: