NordVPN admet qu’il a été piraté

NordVPN, l'un des fournisseurs de VPN grand public les plus importants et les plus respectés, a confirmé que l'un de ses serveurs était accessible sans autorisation.

L'histoire a éclaté après que NordVPN a publié une déclaration plutôt impulsive et téméraire sur Twitter.

Tweet NordVPN

Plutôt qu'une déclaration de fait, le twitterverse a vu cela comme un défi et il n'a pas fallu longtemps avant qu'un groupe se faisant appeler KekSec révèle que des pirates avaient accédé à un serveur et divulgué la configuration OpenVPN de Nord et la clé privée associée ainsi que les certificats TLS.

Réponse de Keksec sur Twitter

NordVPN a maintenant reconnu la violation, déclarant qu'un attaquant a eu accès à un serveur loué en Finlande en exploitant un système de gestion à distance non sécurisé laissé par le fournisseur du centre de données.

Contexte

En mars 2018, des certificats TLS appartenant aux serveurs Web NordVPN, VikingVPN et TorGuard ont été publiés sur 8chan. Ces certificats sont maintenant arrivés à expiration mais étaient à jour au moment de leur publication. Malgré les efforts de NordVPN pour minimiser la violation, la publication prouve sans aucun doute que NordVPN a été compromis à un moment donné dans le passé.

Celui qui a obtenu ces certificats doit avoir un accès root au conteneur Web des serveurs concernés et aurait donc eu un contrôle total sur les serveurs, y compris la possibilité de détecter et de falsifier les données qui les traversent..

En théorie, cela signifie également que n'importe qui aurait pu configurer un site Web factice prétendant appartenir à NordVPN, VikingVPN ou TorGuard, que votre navigateur aurait accepté comme authentique. En effet, quelqu'un a même posté un exemple d'une telle attaque en action:

Page d'accueil de Tianyu Zhu

NordVPN, cependant, nous a dit qu'une telle attaque MitM ne serait possible que si un attaquant était capable de pirater l'ordinateur de la personne d'un utilisateur ou d'intercepter et de modifier son trafic réseau.

Le plus gros problème

Il est également devenu évident que les clés SSL privées des certificats OpenVPN de NordVPN «viennent également de passer inaperçues» depuis un certain temps déjà. Oui! Cela a alimenté la spéculation qu'un attaquant pourrait décrypter les sessions VPN des utilisateurs, y compris les sessions VPN précédentes, leur permettant de voir ce que les clients NordVPN ont mis en ligne.

Encore une fois, NordVPN a tenu à verser de l'eau froide sur cette idée. "Ni le certificat TLS ni les clés VPN ne peuvent être utilisés pour déchiffrer le trafic VPN normal ou une session VPN précédemment enregistrée", ont-ils déclaré à ProPrivacy..

Il convient de se rappeler que les sessions OpenVPN de NordVPN utilisent une parfaite confidentialité secrète (clés de chiffrement éphémères) via les clés Diffie-Hellman DHE-2096 pendant l'échange de clés TLS. Donc, même si une session VPN était forcée brutalement à un coût énorme en argent, en effort et en puissance de calcul, seule une heure de la session VPN serait compromise avant le changement de clé.

Bien que ce point puisse être discutable puisque l'attaquant avait clairement un accès root au serveur VPN.

Le jeu du blâme

NordVPN a publié une déclaration officielle sur l'incident, dans laquelle elle explique qu'un seul serveur situé en Finlande a été touché. Il indique également que la faute incombe au personnel du centre serveur:

«L'attaquant a accédé au serveur en exploitant un système de gestion à distance non sécurisé laissé par le fournisseur du centre de données. Nous ne savions pas qu'un tel système existait. »

Nous devons dire, cependant, que nous pensons qu'une entreprise aussi grande que NordVPN devrait envoyer ses propres techniciens pour configurer ses propres serveurs VPN bare-metal, plutôt que de s'appuyer sur du personnel serveur tiers potentiellement non fiable pour configurer leurs serveurs VPN.

À notre avis, un service VPN devrait avoir un contrôle total sur ses serveurs. Cela contribuerait grandement à renforcer un réseau de serveurs VPN contre toutes les menaces. Il est intéressant de noter que c'est également le point de vue de Niko Viskari, PDG du centre serveur en question:

"Oui, nous pouvons confirmer que [Nord] étaient nos clients," Viskari a déclaré au Registre. "Et ils ont eu un problème avec leur sécurité parce qu'ils ne s'en sont pas occupés eux-mêmes.

...ils ont eu un problème avec leur sécurité parce qu'ils ne s'en sont pas occupés eux-mêmes

Niko Viskari

"Nous avons de nombreux clients, et certains grands fournisseurs de services VPN parmi eux, qui veillent très fortement à leur sécurité », a-t-il déclaré, ajoutant:« NordVPN semble ne pas avoir accordé plus d'attention à la sécurité par eux-mêmes, et essayer de mettre cela en quelque sorte nos épaules."

Dans sa déclaration, Viskari poursuit en expliquant que tous les serveurs fournis par sa société utilisent les outils d'accès à distance iLO ou iDRAC. Ceux-ci ont connu des problèmes de sécurité de temps en temps, mais le centre serveur les maintient corrigés avec les dernières mises à jour du micrologiciel de HP et Dell.

Contrairement à d'autres de ses autres clients, NordVPN n'a pas demandé que ces outils soient limités en les plaçant «dans des réseaux privés ou en fermant les ports jusqu'à ce qu'ils soient nécessaires».

NordVPN, pour sa part, affirme qu'il ne savait même pas que ces outils existaient; mais s'il avait configuré ses propres serveurs, le problème ne se serait jamais posé.

«Nous n'avons pas divulgué l'exploit immédiatement, car nous devions nous assurer qu'aucune de nos infrastructures ne pouvait être sujette à des problèmes similaires.»

Ce qui n'explique pas pourquoi le problème a mis environ 18 mois à se faire jour, NordVPN ne l'admettant finalement qu'à la suite d'un Twitterstorm qui a vu des preuves accablantes largement publiées sur Internet.

En fin de compte, cependant, plus de dommages ont été causés à la réputation de NordVPN qu'à la vie privée de ses utilisateurs..

"Même si seulement 1 des 3 000 serveurs que nous avions à l'époque était affecté, nous n'essayons pas de saper la gravité du problème" le fournisseur a déclaré dans sa déclaration.

Nous avons échoué en contractant un fournisseur de serveur peu fiable et nous aurions dû faire mieux pour assurer la sécurité de nos clients

"Nous avons échoué en faisant appel à un fournisseur de serveurs peu fiable et nous aurions dû faire mieux pour assurer la sécurité de nos clients. Nous prenons tous les moyens nécessaires pour renforcer notre sécurité. Nous avons subi un audit de sécurité des applications, travaillons actuellement sur un deuxième audit sans journaux et préparons un programme de correction de bogues. Nous mettrons tout en œuvre pour maximiser la sécurité de chaque aspect de notre service, et l'année prochaine, nous lancerons un audit externe indépendant de l'ensemble de notre infrastructure pour nous assurer de ne rien manquer d'autre.."

Déclaration ProPrivacy

ProPrivacy se consacre à fournir à ses utilisateurs des conseils auxquels ils peuvent faire confiance. Nous incluons régulièrement NordVPN dans nos recommandations en raison du service fantastique qu'ils offrent. À la lumière de cette histoire de rupture, nous supprimerons NordVPN de nos articles liés à la sécurité et à la confidentialité jusqu'à ce que nous soyons convaincus que leur service répond à nos attentes et à celles de nos lecteurs..

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me