Faille de sécurité : La liste de toutes les attaques contre le VPN

Avec la menace grandissante sur la vie privée et l’anonymat, le VPN qu’on peut trouver chez Hidemyass, NordVPN, VyprVPN est devenu très populaire.

On utilise les VPNs pour éviter des organisations comme Hadopi. Ou, on l’utilise aussi pour surfer sur le Wifi en toute sécurité ou pour éviter la publicité ciblée. Toutefois, le VPN peut être vulnérable à une faille de sécurité. C’est valable pour n’importe quels protocole et logiciel.

Mais on remarque aussi la réaction foudroyante des fournisseurs à les corriger aussi rapidement que possible. Certaines failles sont mineures tandis que d’autres affectent tous les VPN. On vous propose une liste des principales faille de sécurité qui ont touché les VPNs ces dernières années.

La fuite du DNS

Ce n’est pas vraiment une faille de sécurité, mais elle a secoué la communauté des VPN quand on l’a découvert en 2014. Quand vous utilisez un VPN, toute votre connexion est chiffrée du navigateur vers les serveurs VPN.

Cela permet d’éviter à votre FAI de vous espionner. Le DNS (Domain Name Service) est un élément crucial d’internet, car il associe l’adresse IP au nom de domaine.

Par exemple, il est plus facile de se souvenir du nom de meilleurvpn.net plutôt que de son adresse IP. Le DNS va simplement connecter les deux.

Quand vous êtes sous un VPN, le navigateur envoie une requête DNS et cette dernière doit d’abord aller au serveur VPN. Comme la plupart des gens utilisent les serveurs DNS de leur FAI, cela peut poser un risque de sécurité.

La faille de DNS implique que le navigateur ne comprend pas qu’il est sous un VPN. Et il se connecte au DNS en clair. Cela permet à votre FAI de vous espionner.

Il y a plusieurs solutions à cette faille de sécurité. En premier lieu, on peut utiliser d’autres serveurs DNS comme celle de Google ou d’OpenDNS.

Quand des fournisseurs comme Hidemyass, NordVPN, VyprVPN ont appris cette faille. Ils ont intégré une protection de la fuite du DNS dans toutes les offres.

Et sans aucun prix supplémentaire. Ainsi, cela garantit que votre requête DNS passe toujours par le serveur VPN pour éviter les fuites.

Le WebRTC, une faille de sécurité béante sur le VPN

Quand on a découvert cette faille de sécurité, les VPNs se sont arraché les cheveux pour la résoudre. Car ce n’est pas vraiment une faille, mais une caractéristique du WebRTC. Le WebRTC est un protocole de communication qui est utilisé par de nombreux navigateurs.

On peut utiliser le texte ou l’audio pour communiquer et il a permis l’émergence des services comme Discord. Avant, on devait utiliser des plugins qui pouvaient présenter une faille sécurité encore plus grave.

Le problème est que le WebRTC a besoin de l’adresse IP des machines pour lancer la communication. Et il utilise la vraie adresse IP indépendamment du fait qu’on utilise un VPN ou non.

Plus précisément, ce protocole utilise des serveurs appelés STUN/TURN. Ce sont ces derniers qui peuvent révéler vos vraies adresses publiques.

Un pirate peut créer un site malveillant qui exploite cette faille de sécurité du WebRTC. Le WebRTC peut également révéler toutes les adresses IP du réseau interne d’une machine.

Pour combler cette faille, certains fournisseurs comme Hidemyass, NordVPN, VyprVPN ont ajouté une protection spécifique pour le WebRTC. Par exemple, ces fournisseurs vous proposeront une extension VPN pour navigateur. N’hésitez pas à les utiliser, car elles bloquent cette faille. De même, un bloqueur comme uBlock Origin possède une option pour neutraliser cette faille.

La faille du WebRTC est minimale en soi, car ce n’est pas un protocole qui est massivement utilisé. Toutefois, il affecte tous les fournisseurs VPN sans exception.

Et il faut vérifier que le vôtre vous protège avec une protection spéciale. Si ce n’est pas le cas, installez uBlock Origin et activez l’option de protection.

La faille de l’élévation des privilèges

La faille de l’élévation des privilèges (Privilege Escalation) est aussi récente et elle affecte de nombreux VPN de manière aléatoire. Dans un ordinateur, vous avez différents types de comptes avec différents privilèges.

Par exemple, vous avez l’administrateur, l’utilisateur standard, l’utilisateur réseau, etc. La faille de l’élévation des privilèges implique qu’une application ou un service puisse avoir des privilèges plus importants que ce dont il a besoin à la base.

Concernant le VPN, il s’agit principalement de l’OpenVPN, l’un des protocoles les plus sécurisés sur le marché. Sur une machine, il se lance comme un service comme avec des droits d’administrateur.

Un pirate, ayant accès à la machine, peut exploiter ce service pour donner des droits d’administrateurs à d’autres logiciels. La faille est très ciblée.

Il faut que le pirate puisse déjà entrer dans votre machine pour l’exploiter. Il peut le faire en vous incitant à télécharger une application malveillante ou autre.

Chaque fournisseur de VPN comme Hidemyass, NordVPN, VyprVPN a sa propre manière de corriger la faille de sécurité. Certains vont déplacer le fichier de configuration d’OpenVPN, exploité par la vulnérabilité, dans un dossier où on ne peut pas le modifier.

D’autres corrigent directement leur logiciel pour bloquer l’élévation des privilèges en amont. Actuellement, il n’y a aucun fournisseur VPN sur le marché qui soit vulnérable à l’élévation des privilèges. Mais pour ça, il faut que votre logiciel VPN soit constamment à jour.

A penetrated security lock with aa hole on computer circuit board background

La faille VORACLE

La faille VORACLE est très récente, car elle a été découverte dans le courant de 2018. Elle concerne le protocole OpenVPN, mais qui permet de révéler des données via une connexion HTTP.

Par défaut, l’OpenVPN compresse les données avant de les chiffrer. La faille consiste à insérer du code malveillant sur un site en HTTP.

Comme ce protocole transmet les données en clair, alors le pirate peut récupérer des informations de la session de l’utilisateur. On peut citer les cookies, mais également les informations qu’il saisit sur le site, etc.

Même si le nom de l’attaque peut faire peur, elle est assez facile à corriger. En premier lieu, cette vulnérabilité ne concerne pas les navigateurs sous Chromium. C’est-à-dire que Chrome, Chromium ou Opera n’ont rien à craindre.

L’une des raisons est que Chromium sépare la connexion entre l’en-tête et le corps de l’information. Firefox est vulnérable, car il envoie l’information en un seul paquet. Pour la neutraliser, on peut utiliser un autre protocole VPN qu’OpenVPN.

Toutefois, ce n’est pas très conseillé, car l’OpenVPN est très sécurisé en général. Et comme il est ouvert et libre, on peut modifier facilement sa configuration pour qu’il ne compresse pas ses données.

Certains fournisseurs VPN comme Hidemyass, NordVPN, VyprVPN proposent des correctifs pour Voracle tandis que d’autres permettent de changer les paramètres de l’OpenVPN si c’est nécessaire.

Il faut qu’on se connecte à un site non sécurisé et qu’on soit infecté par un script malveillant pour que Voracle puisse fonctionner.

Comment se protéger définitivement contre les failles de sécurité des VPN ?

Régulièrement, on apprend des faille de sécurité sur les VPN. Et on peut se demander si ça vaut le coup d’utiliser un VPN. Dans une ville, on a des feux de circulation.

Est-ce qu’on doit supprimer les feux de circulation parce que temps en temps, certains ont brulé le feu rouge ? Ou imaginez qu’on cambriole votre maison alors que vous aviez une serrure ? Est-ce que vous diriez que ce n’est plus la peine d’installer une nouvelle serrure et de laisser la porte grande ouverte ?

C’est la même chose en sécurité informatique. Le VPN vous protège énormément que ce soit sur votre vie privée ou votre anonymat. Il vous protège contre la surveillance gouvernementale, la publicité ciblée, contre Hadopi et consorts.

Comme toute technologie, il est sensible aux failles de sécurité. Et en fait, on aura plus de failles à l’avenir, car de plus en plus de personnes utilisent des VPN. Donc, plus de cibles potentielles pour les pirates.

Mais à chaque fois qu’on a découvert une faille de sécurité du VPN, des fournisseurs comme Hidemyass, NordVPN, VyprVPN ont réagi au quart de tour. Dans de nombreux cas, ils ont corrigé la faille avant même qu’elle soit rendue publique.

Quand vous utilisez le VPN, activez constamment les mises à jour automatiques. Faites de même avec vos navigateurs et vos systèmes d’exploitation et vous serez protégé contre les nouvelles failles.

Donc oui, le VPN peut souffrir de faille de sécurité, mais c’est rapidement corrigé et sans un VPN, les risques sont 1 000 fois plus importants.