Tout récemment, NordVPN a admis qu’un de ses serveurs en Finlande avait subi une brèche de sécurité début 2018. L’incident est survenu à cause d’une vulnérabilité présente dans un système de gestion à distance utilisé par le datacenter finlandais. En s’infiltrant dans cette brèche, l’assaillant a dérobé une clé Transport Layer Security (TLS) à NordVPN qui pourrait être utilisée pour personnifier son site web ou ses serveurs VPN, mais ne permettrait pas de déchiffrer le trafic. Des clés OpenVPN ont également été volées, permettant potentiellement à l’assaillant de créer des serveurs se faisant passer pour des serveurs NordVPN légitimes. De même que les clés TLS, par contre, les clés OpenVPN ne peuvent pas être utilisées pour déchiffrer des données.

La brèche pourrait avoir exposé certains utilisateurs à une attaque “personnalisée et compliquée” de type MITM sur une connexion unique tentant d’accéder à nordvpn.com. Cela permettrait à l’assaillant de voir le trafic déchiffré.

Afin d‘illustrer la complexité d’une telle attaque, voici une liste des étapes que l’assaillant devrait suivre :

  1. Obtenir l’accès au réseau ou à l’appareil compromis, où il pourrait se placer entre l’utilisateur et un serveur NordVPN
  2. S’insérer entre l’utilisateur et un serveur NordVPN en utilisant une forme ou une autre de technique de camouflage, trompant ainsi l’appareil afin qu’il croie que l’assaillant est le destinataire normal des communications du réseau.
  3. Se faire passer pour el serveur en utilisant la clé volée

Selon l’article que NordVPN a publié au sujet de cette faille de sécurité, “la clé ne peut pas avoir été utilisée pour déchiffrer du trafic VPN ou tout autre serveur.” Puisque NordVPN ne conserve pas de journaux d’activité, les noms d’utilisateur ou mots de passe n’auront pas pu être interceptés non plus. La société a rapidement supprimé le serveur concerné lorsque la fuite a été découverte, limitant l’étendue de l’impact sur ses utilisateurs.

C’est ici qu’il faut souligner qu’il s’agit d’une faille sur un unique serveur parmi une flotte complète de plus de 3000 à travers le monde à l’époque (un nombre qui a fortement augmenté depuis 2018), une faille qui donc semble avoir un impact limité.

Mais au milieu de tout ce raffut, une autre histoire, plus intéressante, commence à émerger : l’histoire d’une publication tech qui souffle sur les braises pour que l’incident de sécurité de NordVPN apparaisse plus grand qu’il ne l’est tout en feignant d’ignorer des brèches similaires chez TorGuard ou Avast Secureline VPN.

La réponse des media

Bien avant que d’autres publications n’est vent de la brèche de sécurité chez NordVPN, Zack Whittaker de TechCrunch a écrit un article cinglant sur l’impact de la situation basé sur un post du tweetos @hexdefined. Bien que l’article de Whittaker débute de manière objective, il dérive rapidement vers la spéculation, semant ce que les anglophones appellent le FUD (pour Fear, Uncertainty, Doubt) : la Peur, l’Incertitude, le Doute.

Il y parvient en grande partie ave l’aide d’un “chercheur senior en sécurité” à qui Whittaker prétend avoir parlé, un chercheur qui ne craint pas de faire peur et tente de transformer une histoire somme toute normale en scénario digne des Oscars.

Ce “chercheur en sécurité” anonyme fait les déclarations graves qui suivent :

  • “C’est le signe d’une compromission à distance totale”
  • “Cela devrait être profondément inquiétant pour quiconque utilise ou promeut ces services en particulier”
  • “Votre voiture vient d’être volée pour un rodéo nocturne et vous discutez pour savoir quels boutons ont été poussés sur l’autoradio ?”

La question entière de l’identité de ce chercheur anonyme a été mal comprise de manière désastreuse par PCGamer qui a décidé que ce chercheur en sécurité était – on ne sait pourquoi – en fait “un chercheur de NordVPN, qui a souhaité rester anonyme.”

Les allégations de ce chercheur en sécurité sont-elles fondées ?

Il y a apparemment qu’une des affirmations graves faites par ie chercheur sans nom qui vaut la peine d’être commentée d’une perspective technologique. Il s’agit de l’affirmation que les révélations de NordVPN indique que la brèche localisée aurait pu se répandre à travers tout le réseau : [la preuve] est une indication d’une totale compromission à distance des systèmes de ce fournisseur.”

Nous avons joint NordVPN pour obtenir un commentaire sur cette déclaration. Selon les représentants de la société, cela ne peut en aucun cas être vrai :

“Notre infrastructure est bâtie de telle manière que la brèche d’un serveur VPN unique sera toujours restreinte à ce serveur particulier. Il est impossible d’atteindre toute autre partie du coeur de notre infrastructure (bases de données, web, ou autres serveurs VPN) depuis un serveur VPN unique. L’infrastructure de NordVPN ne “fait pas confiance” à nos serveurs VPN et a été conçue de cette manière depuis les premiers jours de NordVPN.”

Il est difficile de dire sur quoi les allégations présentes dans l’article de TechCrunch se basent, mais il n’y a quasiment rien qui vienne les étayer – au contraire, elles ne semblent servir que comme instrument pour attirer l’attention sur cette histoire.

Conclusion

Il convient enfin de souligner sur ce sujet que TechCrunch, d’où la majorité des exagérations sur cette affaire sont parvenues, pourrait ne pas être totalement objectif – et c’est quelque chose qui n’a pas été révélé dans leur article. Ce site web est la propriété de Verizon, qui opère son propre service VPN nommé Safe Wi-Fi. De plus, Verizon, Fournisseur d’Accès à Internet, a été déterminant dans l’abrogation de la neutralité du net aux États-Unis – ce que les VPN peuvent aider à contourner.

En réalité, la brèche ouverte dans un serveur de NordVPN, bien que malheureuse, semble être limitée, et la société semble avoir pris les précautions nécessaires pour empêcher que de tels événements ne se répètent dans le futur.