Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

NordVPN admet que des hackers ont eu accès à un de ses serveurs en mars 2018
Suite à une polémique portant sur le degré de sécurité qu'elle propose à sa clientèle

Le , par Stéphane le calme

13PARTAGES

12  0 
NordVPN, un fournisseur de réseau privé virtuel qui promet de « protéger votre vie privée en ligne », a confirmé avoir été victime d'un piratage. Son aveu intervient à la suite de la mise en lumière d'un incident de sécurité qui l'a frappée sur les réseaux sociaux, obligeant l'entreprise spécialisée dans le VPN à réagir.

La plateforme est au cœur d’une polémique portant sur le degré de sécurité qu’elle propose à sa clientèle. Le 20 octobre, il a été constaté que l’infrastructure de NordVPN a été compromise et que des clés privées de chiffrement (qui ont expiré) ont pu être récupérées, ce qui permettait potentiellement à quiconque de faire tourner ses propres serveurs imitant NordVPN. L’incident a été confirmé le 21 octobre par NordVPN, mais sa portée a été fortement remise en question.

NordVPN a déclaré qu'un de ses serveurs a été victime d'une violation de licence en mars 2018, exposant certaines des habitudes de navigation des clients qui utilisaient le service VPN pour protéger leurs données. NordVPN indique que le serveur, situé en Finlande, ne contenait ni journaux d'activité, ni noms d'utilisateur, ni mots de passe. Mais l’attaquant aurait pu voir quels sites Internet étaient visités par les utilisateurs au cours de cette période, bien que le contenu des sites Web ait probablement été masqué du fait du chiffrement.

Les serveurs en cause étaient loués et NordVPN explique que l’assaillant a exploité un service de « remote management » (un système de gestion à distance) non sécurisé qui a été laissé par ledit prestataire. Or, assure l’entreprise, elle ignorait qu’un tel dispositif existait. Le serveur était vulnérable entre le 31 janvier 2018 et le 20 mars 2018, mais NordVPN estime que l'accès non autorisé n'a eu lieu qu'une seule fois et en mars.

Au cours des deux dernières années, NordVPN est devenu beaucoup plus populaire grâce à une campagne publicitaire intense. Vous entendrez souvent les publicités NordVPN au milieu de podcasts ou vous trouverez un hôte de YouTube interrompant ses discussions pour expliquer comment NordVPN peut protéger votre vie privée en masquant vos habitudes de navigation. La société a positionné son produit, qui envoie votre trafic via des serveurs situés dans d’autres villes ou pays, afin de masquer vos habitudes de navigation, comme un moyen facile de préserver votre confidentialité en ligne, mais la faille du serveur pourrait nuire à cette promesse pour les clients potentiels.


Les éclaircissements de NordVPN

Sur le blog de l'entreprise, Daniel Markuson, expert en cybersécurité, a déclaré :

« Il y a quelques mois, nous avons appris qu'en mars 2018, qu'il y a eu un accès sans autorisation à l'un des centres de données en Finlande où nous louions nos serveurs. L’attaquant a obtenu l’accès au serveur en exploitant un système de gestion à distance non sécurisé laissé par le fournisseur du centre de données. Nous ne savions pas qu'un tel système existait. Le serveur lui-même ne contenait aucun journal d'activité de l'utilisateur. Aucune de nos applications n’envoie des informations d’authentification créées par les utilisateurs pour l’authentification. Les noms d’utilisateur et les mots de passe n’ont donc pas pu être interceptés. Le fichier de configuration exact trouvé sur Internet par les chercheurs en sécurité a cessé d'exister le 5 mars 2018. Il s'agissait d'un cas isolé et aucun autre fournisseur de centre de données que nous utilisons n'a été affecté.

« Une fois que nous avons appris l'incident, nous avons immédiatement lancé un audit interne complet pour vérifier l'ensemble de notre infrastructure. Nous avons vérifié deux fois qu'aucun autre serveur ne pourrait être exploité de cette façon et avons commencé à créer un processus permettant de déplacer tous nos serveurs vers la RAM, processus qui sera achevé l'année prochaine. Nous avons également relevé la barre pour tous les centres de données avec lesquels nous travaillons. Maintenant, avant de signer avec eux, nous veillons à ce qu'ils répondent à des normes encore plus élevées.

« Lorsque nous avons appris la vulnérabilité du datacenter il y a quelques mois, nous avons immédiatement résilié le contrat avec le fournisseur de serveurs et détruit tous les serveurs que nous avions loués. Nous n'avons pas révélé l'exploit immédiatement, car nous devions nous assurer qu'aucune de nos infrastructures ne pourrait être exposée à des problèmes similaires. Cela ne pourrait pas être fait rapidement en raison de la quantité énorme de serveurs et de la complexité de notre infrastructure.

« La chronologie est la suivante : le serveur concerné a été créé et ajouté à notre liste de serveurs le 31 janvier 2018. Le centre de données a constaté la vulnérabilité qu'il avait laissée et a supprimé le compte de gestion à distance sans nous en avertir le 20 mars 2018. Le datacenter a mis le doigt sur la vulnérabilité dont il souffrait et a supprimé le compte de gestion à distance sans nous le faire savoir le 20 mars 2018. Nos techniciens ont découvert que le fournisseur avait ce compte dont ils ne nous avaient pas parlé des mois à l'avance. Nous avons ensuite immédiatement pris des mesures pour auditer l’ensemble de notre réseau de serveurs et avons accéléré le chiffrement de tous nos serveurs.

« La clé TLS expirée a été prise au moment où le centre de données était exploité. Cependant, la clé n’a pas pu être utilisée pour déchiffrer le trafic VPN d’un autre serveur. Sur la même note, le seul moyen possible d’abuser du trafic de sites Web était de lancer une attaque personnalisée et complexe par MiTM afin d’intercepter une seule connexion tentant d’accéder à nordvpn.com ».


Commentant cette déclaration, Tom Okman, un membre du conseil consultatif technique de NordVPN, a déclaré : « des attaquants potentiels auraient pu uniquement accéder à ce serveur, intercepter le trafic et voir quels sites Web les gens consultent - pas le contenu, mais uniquement le site Web - pendant une période limitée, uniquement dans cette région isolée ».

Okman a assuré que NordVPN change généralement le serveur auquel chaque utilisateur est connecté toutes les cinq minutes environ, mais que les utilisateurs doivent choisir le pays via lequel ils se connectent. Cela signifie que les utilisateurs n'auraient probablement été affectés que pendant des périodes intermittentes. La faille aurait également pu toucher uniquement les utilisateurs qui se connectaient via la Finlande, où se trouvait le serveur concerné.

NordVPN indique que les informations extraites du serveur n’auraient pas pu être utilisées pour déchiffrer le trafic d’un autre serveur. La société reconnaît qu'une clé de chiffrement volée, qui a maintenant expiré, aurait pu être utilisée pour mener une attaque de type MITM, le pirate se faisant passer pour un serveur NordVPN. Mais NordVPN affirme qu'une telle attaque devrait être « personnalisée et compliquée » et ne s'appliquer qu'à une seule personne à la fois.

Okman a déclaré que la société ne pensait pas qu’une information avait été prise, mais que NordVPN informerait ses clients de la violation par courrier électronique. « Je n'appellerais pas cela un piratage », a déclaré Okman. « Il s'agit d'une atteinte isolée à la sécurité. Le mot "piratage" est trop puissant dans ce cas ».

Aucun autre de ses serveurs (il y en a plus de 3 000) n'a été touché par ce problème

Selon NordVPN, aucun autre de ses serveurs (il y en a plus de 3 000) n’a été touché par ce problème. L'entreprise assure d'ailleurs avoir appris entre autres des leçons sur la communication :

« Pour résumer, début 2018, un centre de données isolé en Finlande a été accédé sans autorisation. Cela a été réalisé en exploitant une vulnérabilité de l’un de nos fournisseurs de serveurs qui ne nous avait pas été révélée. Aucune information d'identification d'utilisateur n'a été interceptée. Aucun autre serveur de notre réseau n'a été affecté. Le serveur concerné n'existe plus et le contrat avec le fournisseur de serveur a été résilié.

« Même si un seul des 3000 serveurs que nous avions à l'époque était affecté, nous n'essayons pas de minimiser la gravité du problème. Nous avons échoué en faisant appel à un fournisseur de serveur peu fiable et aurions dû mieux faire pour assurer la sécurité de nos clients. Nous prenons tous les moyens nécessaires pour renforcer notre sécurité. Nous avons subi un audit de sécurité des applications, nous travaillons actuellement sur un deuxième audit sans journaux et nous préparons un programme de prime aux bogues. Nous ferons de notre mieux pour maximiser la sécurité de chaque aspect de notre service et l'année prochaine, nous lancerons un audit externe indépendant sur l'ensemble de notre infrastructure pour nous assurer de ne rien manquer d'autre.

« Avec cet incident, nous avons tiré d'importantes leçons sur la sécurité, la communication et le marketing ».

Pourquoi parle-t-il de leçon de marketing ? En fait, en parallèle, NordVPN a également supprimé un tweet promotionnel qui défiait les hackeurs : « aucun hacker ne peut voler votre vie en ligne (si vous utilisez VPN). Restez en sécurité ». Finalement, l’entreprise a jugé préférable de le retirer devant le tollé qui est vite apparu sur les réseaux sociaux et l’affaire du serveur compromis (mais le tweet a été immortalisé par une capture d'écran).


« Notre département marketing a publié une annonce sur Twitter qui a mis en émoi la communauté des spécialistes en sécurité informatique. […] Leur critique, comme toujours, a été rapide et précise, dénonçant l’excès du message. L’annonce a été retirée juste après avoir été remarquée par notre direction. […] Nous l’avons supprimée parce que le texte manquait de contrôle éditorial », explique la société.

Pour certains, c'est ce message provocateur aurait poussé des hackeurs à s’en prendre à NordVPN. Toutefois, la chronologie des évènements relatée par NordVPN montre qu’il n’y a pas de causalité entre les deux évènements, puisque l’exploitation de la brèche a eu lieu il y a plus d’un an.

Il faut souligner que plusieurs autres fournisseurs de VPN auraient pu avoir noté un accès non autorisé à peu près à cette période. Des documents similaires publiés en ligne suggèrent que TorGuard et VikingVPN pourraient également avoir été compromis. Un porte-parole de TorGuard a déclaré qu'un « serveur unique » avait été compromis en 2017, mais a nié l'accès à tout trafic VPN. TorGuard a également publié une déclaration détaillée à la suite d’une publication sur le blog de mai, qui révélait pour la première fois l’infraction.

Sources : NordVPN (blog, tweet), TorGuard (1, 2)

Et vous ?

Faites vous usage d'un VPN ? Lequel ?
En général pourquoi en utilisez-vous un ?
Des raisons particulières pour avoir choisi celui dont vous vous servez ?
Que pensez-vous du défi lancé par la société sur son tweet : « aucun hacker ne peut voler votre vie en ligne (si vous utilisez VPN). Restez en sécurité » ?
Les explications de NordVPN vous semblent-elles convaincantes ?
La société aurait-elle dû, selon vous, parler de cet incident peu de temps après l'avoir découvert ou résolu ?

Voir aussi :

Airbus frappé par une série de cyberattaques contre des fournisseurs, les pirates ayant ciblé les VPN qui lient ces derniers au constructeur aéronautique, selon des sources de sécurité
CloudFlare annonce enfin la disponibilité générale de WARP, son service de VPN dont l'objectif est d'améliorer les performances et la sécurité de l'Internet mobile
Nombreux sont les produits VPN qui semblent être distincts mais sont tous gérés par la même poignée d'entreprises, d'après une enquête
Neuf VPN populaires pourraient être bloqués par la Russie dans 30 jours, s'ils ne bloquent pas l'accès de leurs utilisateurs aux sites web interdits

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de sebbod
Membre actif https://www.developpez.com
Le 22/10/2019 à 11:54
Je n'utilise pas NordVPN donc je n'ai aucun intérêt à dire cela, mais j'ai lu l'article et si ce qu'il y a d'écrit est vrai.
- 1 sur 3000 serveurs touchés
- cause du problème du au prestataire qu'ils ont dégagé de leur liste direct après l'incident
- le serveur de redirection NordVPN "changerait" tous les 5 minutes donc en gros si un hacker à pu voir les sites qu'un utilisateur consultent il n'a pu le faire que pendant 5 minutes

Bien franchement ça va, y'a pas mort d'homme.

La critique négative est souvent facile et elle est justifié si de gros préjudice son subit mais là on en est loin donc molo molo
7  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 22/10/2019 à 14:40
Citation Envoyé par benjani13 Voir le message
Je reprend ton exemple : Si je suis en Chine et que j'estime que d'un côté j'ai 50% de chance d'être écouté par les autorités chinoises, et de l'autre si je passe par un VPN j'estime que j'ai seulement 1% de chance d'être écouté (le fournisseur de VPN ne respecte pas ses engagement et nous espionne, ses serveurs se sont fait piraté, etc), bha c'est vite choisi.
Tu as oublié le 90% de chance de finir en prison pour utilisation d'un VPN sur le sol chinois.
2  0 
Avatar de tanaka59
Membre chevronné https://www.developpez.com
Le 22/10/2019 à 12:24
On nous pond des couches de sécurités ...

Bah comme avec LastPass , maintenant NordVPN ... je n'utiliserai jamais ces services car il y eu piratage. En cas de déplacement à l'étranger et que un VPN s'impose > bah minimiser son utilisation d'internet surplace ... C'est chiant mais c'est ainsi ...

Genre le mec qui va en Chine bah on lui conseillera vivement de limiter sa consultation internet ...
0  0 
Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 22/10/2019 à 13:57
Citation Envoyé par tanaka59 Voir le message
On nous pond des couches de sécurités ...

Bah comme avec LastPass , maintenant NordVPN ... je n'utiliserai jamais ces services car il y eu piratage. En cas de déplacement à l'étranger et que un VPN s'impose > bah minimiser son utilisation d'internet surplace ... C'est chiant mais c'est ainsi ...

Genre le mec qui va en Chine bah on lui conseillera vivement de limiter sa consultation internet ...
Pour la énième fois : la sécurité c'est pas binaire, sécurisé VS non sécurisé. Il faut faire de l'évaluation et de la gestion des risques/menaces (threat modeling).

Je reprend ton exemple : Si je suis en Chine et que j'estime que d'un côté j'ai 50% de chance d'être écouté par les autorités chinoises, et de l'autre si je passe par un VPN j'estime que j'ai seulement 1% de chance d'être écouté (le fournisseur de VPN ne respecte pas ses engagement et nous espionne, ses serveurs se sont fait piraté, etc), bha c'est vite choisi.

On peut aussi prendre en compte la nature des menaces. Inversons notre estimation de pourcentage, 1% de risque d'être écouté par les chinois, 50% de risque que son fournisseur VPN soit un escroc qui siphonne nos données. Rajoutons la nature des menaces (je caricature encore pour l'exemple). D'un côté (1%), la menace est la prison si ce n'est plus, de l'autre (50%), une "simple" perte de vie privée. Vous voyez qu'il y a beaucoup de chose qui entre dans la balance.

Maintenant le choix que tu proposes (se censurer, limiter son usage) est aussi une solution à évaluer, si on estime que ce l'on a à dire/faire ne vaut pas le risque encouru.

Et c'est de même en France, on nous vend partout qu'il est mieux de passer par un VPN (genre les pubs pour NordVPN faites par les 3/4 des youtubers), mais est-ce le cas? Tout dépend. Dans ce cas là le risque est plus difficile à évaluer. Est-ce que je fais plus confiance à mon fournisseur d'accès internet ou au fournisseur du VPN? Si je suis militant politique radicale je préfèrerai éviter d'être écouté par l'état et tant pis si mes données vont à une boite privée. Etc.
0  0 
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 22/10/2019 à 15:17
Citation Envoyé par Stéphane le calme Voir le message
En général pourquoi en utilisez-vous un ?
À la base pour le P2P, parce qu'au bout d'un moment c'est chiant de recevoir 3 emails et une lettre recommandée de la part d'Hadopi. (j'ai testé une seedbox avant également)
Ensuite je me suis rendu compte qu'il y avait plein de films et séries dispo sur Netflix US et pas sur Netflix Fr
Par contre sur Amazon Prime Video il faut surement faire quelque chose de plus, parce que ça ne passe pas automatiquement.

Citation Envoyé par Stéphane le calme Voir le message
Des raisons particulières pour avoir choisi celui dont vous vous servez ?
NordVPN sponsorise tellement de vidéastes que je voulais soutenir cette entreprise.
Merci NordVPN, parce que depuis que les annonceurs font chier à ne plus vouloir être associé à n'importe quoi et que les gens utilisent adblock, générer un profit avec YouTube et devenu compliqué (il faut des sponsors)...
0  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 22/10/2019 à 10:26
Et comme d'habitude...

1. L'entreprise s'excuse auprès de ses clients

2. L'entreprise s'excuse de s'être excuser trop tardivement

3. L'entreprise minimise en un "il y a que 2 ou 3 clients impactés et de toute manière les données volées étaient sans valeur"

Bref, toujours le même discours... Pendant ce temps, c'est "open bar" pour les hackers de tout poil!
1  6