Sécurité : Une étude publiée par des
chercheurs britanniques et italiens met en lumière les failles de
sécurité dont souffrent les offres de VPN grand public, mais celle-ci
est largement contestée par les principaux intéressés, qui déplorent une
étude obsolète et datée.
Alors que les gouvernements s’efforcent de développer les outils de
contrôle et de surveillance du réseau, les VPN, outils qui proposent de
sécuriser une connexion et d’anonymiser en partie l’utilisateur, sont en
pleine croissance. Mais des chercheurs de l’université Sapienza à Rome
et de l’université Queen Mary à Londres ont publié une étude soulignant des failles dans plusieurs VPN commerciaux à destination du grand public.
L’autre scénario détaillé par les chercheurs est celui d’une attaque DNS : en interceptant les requêtes DNS de l’utilisateur de VPN, un attaquant peut ainsi retracer l’historique de navigation de sa victime. Les chercheurs ont exposé 14 VPN à ces deux types d’attaques, et aucun des candidats n’a eu droit au sans-faute : tous sont, selon eux, vulnérables à l’une ou l’autre de ces attaques.
Même logique pour IPv6leak, la société explique avoir également pris des mesures afin de corriger cette faille de sécurité et conseille à ses utilisateurs de désactiver eux même la prise en charge du protocole IPv6 pour éviter de s’exposer. Le VPN Tor guard, également évoqué dans l’étude, a lui aussi profité de l’occasion pour annoncer avoir renforcé ses mesures de sécurité à l’égard de cette faille. Une mesure compréhensible, mais qui ne va pas favoriser l’adoption déjà poussive de ce nouveau protocole d’adressage.
La faille détaillée par les chercheurs n’a rien de très nouveau et l’étude remarque que celle-ci, bien que connue depuis un certain temps, reste exploitable contre la plupart des fournisseurs VPN commerciaux. Les chercheurs notent dans leurs conclusions que les entreprises utilisant des services de VPN devraient être peu touchées par cette faille, pour peu qu’ils soient configurés correctement.
La prise de contrôle du DNS pourrait être envisageable, mais « nécessiterait de la part de l’attaquant une grande connaissance du réseau.» L’étude s’inquiète en revanche des conséquences de ce type de faille sur des individus ayant recours à ces technologies dans des régimes totalitaires, et du sentiment de fausse sécurité que celles-ci peuvent créer.
Le
bilan établi par les chercheurs est sans appel : tous les services VPN
testés sont vulnérables à l'une ou l'autre des failles de sécurité.
Les
chercheurs ont identifié deux failles affectant la plupart de ces
services : d’une part, une vulnérabilité nommée IPv6 Leaks, qui prend sa
source dans le fait que la plupart de ces VPN ne prennent pas en charge
le trafic IPv6 et ne sécurisent pas ce trafic. Une faille de sécurité
d'autant plus prégnante que la plupart des OS ont tendance à prioriser
IPv6 lorsque cela est possible. L’autre scénario détaillé par les chercheurs est celui d’une attaque DNS : en interceptant les requêtes DNS de l’utilisateur de VPN, un attaquant peut ainsi retracer l’historique de navigation de sa victime. Les chercheurs ont exposé 14 VPN à ces deux types d’attaques, et aucun des candidats n’a eu droit au sans-faute : tous sont, selon eux, vulnérables à l’une ou l’autre de ces attaques.
La grogne des VPN
Mais l’étude déplaît fortement aux éditeurs VPN ayant servi aux tests menés par les chercheurs. Ainsi, PureVPN a été le premier à dégainer en publiant sur son blog un démenti, qui pointe le caractère inexact et daté de certaines des informations contenues dans l’étude. L’éditeur explique ainsi avoir « depuis longtemps déployé leurs propres serveurs DNS sur leur réseau » ce qui selon eux corriger la faille de sécurité remarquée par les chercheurs.Même logique pour IPv6leak, la société explique avoir également pris des mesures afin de corriger cette faille de sécurité et conseille à ses utilisateurs de désactiver eux même la prise en charge du protocole IPv6 pour éviter de s’exposer. Le VPN Tor guard, également évoqué dans l’étude, a lui aussi profité de l’occasion pour annoncer avoir renforcé ses mesures de sécurité à l’égard de cette faille. Une mesure compréhensible, mais qui ne va pas favoriser l’adoption déjà poussive de ce nouveau protocole d’adressage.
La faille détaillée par les chercheurs n’a rien de très nouveau et l’étude remarque que celle-ci, bien que connue depuis un certain temps, reste exploitable contre la plupart des fournisseurs VPN commerciaux. Les chercheurs notent dans leurs conclusions que les entreprises utilisant des services de VPN devraient être peu touchées par cette faille, pour peu qu’ils soient configurés correctement.
La prise de contrôle du DNS pourrait être envisageable, mais « nécessiterait de la part de l’attaquant une grande connaissance du réseau.» L’étude s’inquiète en revanche des conséquences de ce type de faille sur des individus ayant recours à ces technologies dans des régimes totalitaires, et du sentiment de fausse sécurité que celles-ci peuvent créer.