Actualité minceur : Quelle est la vérité sur la violation de NordVPN? Voici ce que nous savons maintenant

Actualité minceur : Quelle est la vérité sur la violation de NordVPN? Voici ce que nous savons maintenant

novembre 19, 2019 Non Par Camille Leroy


Après de grandes révélations sur Twitter En octobre 2019, le principal fournisseur de VPN NordVPN a confirmé qu'il avait été touché par une brèche de sécurité en mars 2018.

google.com, pub-3345026159339632, DIRECT, f08c47fec0942fa0

Ce qui s'est passé est une histoire compliquée, mais nous allons commencer par la version des événements NordVPN, comme détaillé dans un article de blog intitulé «Pourquoi NordVPN est-il sécurisé après une violation par un fournisseur tiers?».

Le piratage a affecté un seul serveur VPN en Finlande, a expliqué NordVPN. Vos propres serveurs n'ont pas été compromis.

NordVPN a affirmé que la violation était possible en raison de la mauvaise configuration d'un centre de données tiers que nous n'avons jamais notifié.

Le pirate informatique n'aurait pas pu obtenir les informations d'identification de l'utilisateur, nous a-t-il expliqué. L’accès au serveur a peut-être permis au pirate informatique de surveiller le trafic de toute personne utilisant ce serveur à ce moment-là, mais NordVPN affirme qu’il n’ya aucune preuve que cela se soit produit. Néanmoins, le trafic chiffré – HTTPS, connexions de messagerie sécurisées, etc. – serait protégé.

Les preuves indiquent que l'attaque a probablement eu lieu entre le 31 janvier 2018, date de la mise en ligne du serveur, et le 5 mars 2018.

L'attaque a été effectuée via un compte de centre de données compromis, et non un compte géré par NordVPN.

Le centre de données a supprimé ce compte le 20 mars 2018, bloquant tout accès supplémentaire au serveur.

NordVPN affirme ne pas avoir été informé de la violation avant le 13 avril 2019, plus d'un an après la violation. Il a arrêté le serveur le même jour et a lancé une vérification immédiate de ses 5 000 serveurs.

La société ne serait pas rendue publique jusqu'à ce que la preuve du piratage apparaisse six mois plus tard. Pourquoi Le blog disait: «Examiner minutieusement les fournisseurs et les configurations de plus de 5 000 serveurs dans le monde prend du temps. En conséquence, nous avons décidé de ne pas informer le public tant que nous ne serions pas certains que cette attaque ne pourrait être reproduite ailleurs sur notre infrastructure. & # 39;

Quel est le fond?

Le 3 mai 2018, un utilisateur du forum 8chan a entamé une discussion demandant des recommandations de réseau privé virtuel et d'autres utilisateurs ont commencé à ajouter leurs favoris: NordVPN, Mullvad, TorGuard, VikingVPN, cryptostorm, etc.

À 20h46, un autre utilisateur a publié un commentaire sur ces suggestions. Mullvad et cryptostorm ont eu le "bon choix!", Mais NordVPN, TorGuard et VikingVPN ont obtenu un "lol, pas", avec des liens vers des preuves montrant les détails du serveur piraté de chaque fournisseur: fichiers paramètres, clés privées, détails de session de base, etc.

En parcourant le texte, nous avons constaté que les liens VikingVPN et TorGuard semblaient indiquer les heures de connexion à la session et certaines informations sur les fichiers du jeudi 3 mai, le jour où la discussion à 8chan a commencé.

Cela suggère que l'utilisateur ne les a pas seulement trouvés quelque part ou obtenus de quelqu'un d'autre; Il a vu le sujet et a obtenu les informations du serveur en direct presque immédiatement. C'est un piratage très rapide ou l'utilisateur connaissait déjà la vulnérabilité de chaque fournisseur.

Les détails de NordVPN n'incluaient aucune information de datation. Quand le piratage s'est-il produit alors? C'est là que l'image est obscurcie.

NordVPN

(Crédit image: NordVPN)

Date de confusion

NordVPN nous a dit initialement: «Nous pensons que la discussion sur 8chan a poussé quelqu'un à rechercher des vulnérabilités provenant de différents fournisseurs de services VPN, et cette discussion a débuté le 5 mars.

Le fichier de configuration exposé indiquait que l'attaque avait eu lieu le même jour, poursuit la société: "Le 5 mars était le dernier jour où ce fichier de configuration existait. Plus tard, notre configuration a été modifiée pour que le fichier de configuration ait un aspect différent. & # 39;

C'est intéressant, mais il y a une certaine confusion dans le temps. La discussion de 8chan a commencé le 5-3-2018, oui, mais c'est le format américain mois-jour-année (3 mai), pas le jour européen mois-année (5 mars), comme NordVPN initialement cru. (Nous le savons avec certitude car 8chan a indiqué que 5-3 était jeudi; le 3 mai 2018 était jeudi, mais le 5 mars était lundi.)

Lorsque nous l'avons signalé, NordVPN a admis l'erreur, mais a déclaré que cela ne faisait aucune différence dans la description de l'attaque: «Il semble que nous ayons réellement commis une erreur en interprétant la date à laquelle la discussion de 8chan a commencé. Cependant, la ligne de temps en temps sauf cette date reste la même. & # 39;

Bien que cela puisse être vrai, nous pensons que cela change ce que nous savons sur la motivation des attaques.

NordVPN a suggéré que tout cela se produise en une seule journée en réponse à un thread à 8 canaux. L’attaquant a lu les messages, recherché des vulnérabilités, signalé les résultats et poursuivi son chemin en une journée environ. Pas grand chose à craindre, rien à voir ici.

Nous pouvons maintenant voir que le pirate informatique a compromis NordVPN entre le 31 janvier (lorsque le serveur a été mis en ligne) et le 5 mars 2018 et a attaqué séparément TorGuard et VikingVPN, peut-être des mois plus tard. L’attaquant a peut-être encore fait quelque chose mais a passé quelques minutes à parcourir le serveur, mais cela montre que ce n’est pas non plus quelqu'un qui plaisantait avec désinvolture une nuit non plus. Ils savaient ce qu'ils faisaient et le faisaient depuis des mois, sinon plus.

C'est intéressant, mais ce n'est pas la fin de nos préoccupations de date. Il s’avère que NordVPN n’est pas la seule entreprise à poser des questions sur la nature et le moment de l’attaque.

Torguard

(Crédit image: TorGuard)

Réponse de TorGuard

La réponse immédiate de TorGuard à la violation a déclaré qu'elle s'était produite en septembre 2017, qu'elle n'était pas compromise de manière externe, que les utilisateurs n'étaient jamais à risque et qu'elle avait signalé la violation plus tôt.

Mais les informations divulguées par TorGuard semblent inclure des sessions datées du jeudi 3 mai, jour du thread 8chan, datant de l'attaque jusqu'en 2018, et non pas en 2017. Cela indique que le pirate informatique avait un accès root au serveur, ce qui le rend potentiellement vulnérable. aussi grave que la violation de NordVPN. Et si vous lisez le rapport de TorGuard sur le problème de sécurité précédent, cela ressemble à un événement séparé. Le message parle de 'scripts d'installation du serveur de streaming IPsec 2017 (qui) sont récemment ouverts par erreur' #, par exemple, ce qui ne semble pas être lié à ce que nous voyons dans la violation.

Nous avons soumis ces contradictions apparentes à TorGuard, et un porte-parole de la société nous a déclaré qu '"en raison d'un processus en cours sur le sujet, je ne peux pas vous fournir de réponses directes à vos questions pour le moment". Mais plus d’informations finiront par sortir, a-t-il déclaré, ajoutant que "les choses auront plus de sens après la présentation des preuves au tribunal".

Torguard

(Crédit image: TorGuard)

Entre-temps, TorGuard nous a indiqué qu'il maintenait ses revendications principales concernant l'infraction: le serveur (votre) n'a pas été compromis de manière externe et il n'y a jamais eu de menace pour les autres serveurs ou utilisateurs de TorGuard. Le trafic VPN ou proxy TorGuard n’a pas été compromis lors de cette violation isolée d’un serveur VPN unique et aucune information confidentielle n’a été compromise lors de cet incident. & # 39;

Comme nous ne disposons pas de suffisamment d'informations pour tirer des conclusions ici, nous exclurons ces préoccupations de TorGuard du reste de cet article. Mais le point général à garder à l'esprit est qu'il existe quelques zones obscures pour cette attaque qui s'étendent au-delà de NordVPN, et cela peut prendre un certain temps avant que nous en sachions plus.

Quelle était la gravité de la violation?

L'attaque visait l'un des plus de 5 000 serveurs VPN de NordVPN, et non son infrastructure principale. En conséquence, l'attaquant n'avait pas accès aux informations d'identification de l'utilisateur, aux détails de facturation ou à toute autre information liée au profil.

Le pirate informatique a obtenu les clés de sécurité de la couche de transport que NordVPN utilise pour vérifier votre site. En théorie, cela pourrait être utilisé pour créer un faux site Web qui semble être le vrai NordVPN.com. La société a atténué le danger en affirmant qu'une attaque ne pouvait être menée que sur le Web contre une cible spécifique et nécessiterait un accès extraordinaire au périphérique ou au réseau de la victime (par exemple, un périphérique compromis, un administrateur de réseau malveillant ou réseau compromis). & # 39; Les clés ont également expiré en octobre 2018.

NordVPN

(Crédit image: NordVPN)

Le risque le plus important est qu’un attaquant pourrait, en théorie, surveiller le trafic non chiffré provenant des utilisateurs connectés à ce serveur. Il n’existait aucun moyen de lier ce trafic à un individu spécifique, mais il serait théoriquement possible au moins d’enregistrer des informations personnelles partagées en texte brut (accès à un site via une page HTTP non sécurisée).

NordVPN a minimisé cette possibilité dans son billet de blog initial en déclarant: "Rien n'indique que l'attaquant ait tenté de surveiller le trafic des utilisateurs de quelque manière que ce soit."

Nous avons demandé à l'entreprise comment il pouvait en être sûr et il nous a dit: «Aucune modification n'a été apportée à notre configuration, aucun processus supplémentaire en cours d'exécution, aucun fichier supplémentaire laissé sur le serveur. De tels changements de configuration étaient nécessaires pour inspecter le trafic.

C'est une interprétation raisonnable. Il est théoriquement possible pour un attaquant de mettre en place rapidement un schéma de surveillance et de le supprimer parfaitement avant que son accès ne soit bloqué, mais cela n'a pas beaucoup de sens. Après tout, ce n'est pas quelqu'un qui semble être très intéressé par la furtivité; il a admis le hack 8chan (ou au moins partagé les détails avec quelqu'un qui l'a fait).

Combien d'utilisateurs ont été touchés?

NordVPN a confirmé que le serveur concerné avait été mis en ligne le 31 janvier 2018.

La société suggère que l'attaque a eu lieu autour du 5 mars 2018. Toutefois, comme nous en avons discuté, nous savons qu'il s'agit d'un malentendu quant à la date de la discussion. Il n'y a rien à dire qui n'aurait pas pu se produire dès la mise en ligne du serveur.

Quelle que soit la vérité, NordVPN rapporte que le "compte de gestion non sécurisé non divulgué" utilisé pour pirater a été supprimé par le centre de données le 20 mars 2018, bloquant un accès supplémentaire.

Ces dates suggèrent une fenêtre de deux semaines lorsque le serveur a été exposé. À l'origine, NordVPN aurait laissé entendre que 50 à 200 utilisateurs auraient pu être affectés, mais lorsque nous avons demandé, cela nous a dit: «Nous ne connaissons pas l'heure exacte de l'événement et nous ne pouvons pas dire combien de personnes y ont été connectées. serveur car nous ne gardons aucun enregistrement. Nous ne pouvons que deviner: notre estimation brute se situe autour de 20 à 70 sessions actives. & # 39;

Il s’agit d’une gamme étendue, allant de moins de 20 à plus de 200 utilisateurs. Comme les dates d'origine de NordVPN étaient incorrectes, nous avons opté pour une estimation plus élevée. Autrement dit, jusqu'à 200 utilisateurs ayant établi des connexions avec un serveur finlandais spécifique entre le 5 et le 20 mars 2018 couraient le risque théorique de surveiller le trafic non chiffré. Il n'y a aucune preuve que cela soit arrivé, mais cela ne peut pas être exclu.

L'impact immédiat de cette attaque semble donc être limité. Mais ce n'est pas une excuse – le post de NordVPN le décrit comme une "erreur flagrante qui n'aurait jamais dû être commise" – et bidouille est juste une partie de cette histoire.

(Crédit image: NordVPN)

Problèmes et préoccupations avec NordVPN

Outre le problème de trafic sur le serveur, la déclaration de NordVPN a admis que l’attaquant avait acquis des clés TLS qui auraient pu permettre une nouvelle attaque. La société a laissé entendre que les chances que cela se produise étaient minces – NordVPN a déclaré qu’elle nécessitait des "circonstances extraordinaires" – mais pourquoi ces clés ont-elles été compromises?

À titre de comparaison, TorGuard a également été compromis par le même attaquant, mais un article de blog d'octobre 2019 indique que, comme il utilisait la gestion PKI sécurisée, sa clé principale ne se trouvait pas sur le serveur VPN concerné.

Une préoccupation plus fondamentale est de savoir comment l'attaque a pu se produire. La déclaration initiale de NordVPN a blâmé la société gérant le serveur en déclarant: "La violation a été rendue possible en raison de la mauvaise configuration d'un centre de données tiers dont nous n'avons jamais été informés."

Dans une réponse ultérieure, la société a expliqué: Il existait un compte IPMI (Intelligent Platform Management Interface) non divulgué (un puissant système d’accès à distance) permettant d’accéder au serveur. Ce compte a été violé et le serveur a donc été utilisé.

La société finlandaise impliquée a suggéré que NordVPN soit en partie responsable du problème. Elle affirme avoir d'autres clients VPN en tant que clients et avoir déployé plus d'efforts que NordVPN pour limiter l'accès à ces fonctionnalités d'accès à distance, par exemple en maintenant leurs portes fermées la plupart du temps et en ne les affichant que lorsque cela est nécessaire.

Quoi qu'il en soit, la ligne "c'est de leur faute" de NordVPN ne correspond pas à la déclaration du site selon laquelle "nous, NordVPN, avons confirmé que nous avions pris le contrôle intégral de notre infrastructure." Vous ne pouvez pas prétendre avoir le plein contrôle & # 39; et ensuite dépenser de l'argent s'il y a des problèmes.

Le vrai problème ici est probablement la transparence. NordVPN admet avoir eu connaissance de l'attaque en avril 2019, mais la société a été rendue publique six mois plus tard à la suite de la publication de détails sur Twitter.

NordVPN affirme que le délai était nécessaire pour lancer un audit interne complet. des fournisseurs et des configurations pour plus de 5 000 serveurs, et a décidé de ne pas informer le public tant que nous n'étions pas certains que cette attaque ne pourrait être reproduite nulle part ailleurs sur notre infrastructure.

Bien, bien. Il aurait certainement été possible de faire une déclaration générale sur l'attaque sans aborder les détails techniques de bas niveau: un seul serveur VPN a été compromis, aucune information d'identification ou utilisateur n'a été exposé, nous comprenons le vecteur de l'attaque, nous vérifions nos systèmes pour nous assurer qu'ils sont assurance, et émettra une autre déclaration bientôt. Ce n’est pas bon pour NordVPN, mais une réponse ouverte et rapide aurait peut-être contribué à créer un climat de confiance, et c’est certainement mieux que de sembler avoir la vérité arrachée plus tard.

Ce que NordVPN a ensuite fait

NordVPN mérite beaucoup de critiques pour la brèche et sa révélation, mais ce n’est pas tout. Cela vaut également la peine d’examiner ce que la société a appris du piratage et ce qu’elle envisage de faire ensuite.

Après avoir appris l'attaque, NordVPN a déclaré qu'il avait immédiatement lancé un audit interne complet. de toute votre infrastructure. La société nous a dit que cela révélait "certains serveurs susceptibles d'être exposés" via un système d'accès à distance similaire, mais ceux-ci ont été corrigés ou supprimés.

La sécurité des serveurs a été améliorée avec un stockage crypté, rendant très difficile l'accès aux données via un système de gestion à distance.

NordVPN s'est notamment associé au consultant en sécurité VerSprite pour travailler sur les tests d'intrusion, la gestion des intrusions et l'analyse du code source.

Un programme qui dure 24 heures sur 24 devrait permettre aux autres d’attraper les bogues plus tôt et de les réparer avant qu’ils ne puissent faire des dégâts.

La société promet un audit de sécurité tiers indépendant à grande échelle. de l’ensemble de votre infrastructure d’ici 2020: matériel, logiciels, architecture source et principale, et procédures internes. Il semble que cela surperformera facilement tous les audits de sécurité VPN que nous avons vus jusqu'à présent, bien que vous ayez besoin de voir les détails pour en être sûr.

Les plans à long terme comprennent la création d'un réseau de serveurs placés (appartenant à NordVPN) qui fonctionnent entièrement en RAM. Ils n'auront pas de données stockées localement ni de fichiers de configuration, tout ce qui peut être exposé dans un piratage. C’est aussi une bonne nouvelle, mais pas aussi avancée, car ExpressVPN a présenté sa technologie TrustedServer à base de RAM, au son similaire, il ya plus de six mois.

Si vous êtes sceptique – et dans ce secteur, vous devriez vraiment l'être – vous pourriez vous demander si NordVPN a jeté des promesses aériennes dans un article de blog pour tenter de regagner un peu de confiance. Mais il y a des preuves pour dire le contraire. La société a déjà progressé dans certains domaines et des avantages ont déjà commencé à apparaître avant même que le piratage ne soit rendu public.

Le 9 octobre, par exemple, NordVPN a annoncé les résultats d'un audit de ses applications effectué par VerSprite. 17 bogues ont été détectés et résolus.

C'est une grosse affaire en soi. Nous avons constaté que les applications VPN étaient suffisamment terribles pour savoir que de nombreux fournisseurs n'ouvriraient probablement jamais à ce niveau de contrôle.

Bien entendu, le succès de VerSprite ne compense pas le piratage, ni ne garantit absolument que NordVPN tiendra ses autres promesses. C'est un excellent premier pas, cependant. Et avec le monde des réseaux privés virtuels (VPN) attentif, NordVPN devrait savoir que même le moindre échec n’est pas une option.

(Crédit image: Shutterstock)

Notes d'évaluation

Il est difficile de décider de la manière dont un tel incident devrait affecter le résultat de l'examen, car plusieurs problèmes importants doivent être pris en compte et il n'existe pas de règles claires quant à celles qui doivent être prioritaires. Tout ce que nous pouvons faire est d'expliquer notre pensée et de porter un jugement.

Notre principale préoccupation en matière de confidentialité est la possibilité d’une surveillance du trafic, même minime. Cela ne devrait tout simplement pas arriver avec un VPN.

De l’autre côté, NordVPN déclare, et nous sommes plutôt d’accord pour dire, que la portée de l’attaque était limitée: un seul serveur affecté, aucune exposition d’informations d’utilisateur, aucun moyen de lier le trafic à un utilisateur spécifique, aucun risque pour le trafic déjà crypté. . Ce n'était pas une vulnérabilité à l'échelle du système.

En outre, NordVPN indique que la violation est due à une défaillance du centre de données et que celui-ci a à son tour critiqué la société, mais que nous ne l’avons pas encore vue répondre à des allégations spécifiques (un compte spécifique inconnu de NordVPN a été compromis, puis supprimé par le centre de données, en informant également NordVPN.)

Rappelez-vous qu'il ne s'agit pas uniquement de problèmes liés à NordVPN. Chaque VPN dépend dans une certaine mesure des compétences de gestion de ses centres de données. Les fournisseurs peuvent agir pour minimiser cela – comme le fait NordVPN, par exemple, avec son chiffrement de disque -, mais il existe toujours une vulnérabilité potentielle.

Nous pouvons voir des preuves de cela dans la brèche, qui comprenait des informations divulguées à partir d'autres VPN. Le hack n’est pas un problème spécifique à NordVPN, et tout ajustement de notre score d’examen devrait en tenir compte.

Bien que ce soient des points de défense de NordVPN, ils ne le dégagent pas de toute responsabilité. Les centres de données constituent un élément essentiel de l'infrastructure NordVPN, que l'entreprise prétend fièrement contrôler; tout problème représente également une défaillance de NordVPN à un certain niveau.

Il y a un point lié à la perte des clés NordVPN TLS. C'est simplement à cause de cette vulnérabilité spécifique, et l'impact semble être limité, mais ce n'est pas une excuse: c'est toujours une faille de sécurité.

La divulgation à contrecoeur d'événements NordVPN doit être une marque noire. Les VPN reposent sur la confiance, et vous ne créez pas cela en donnant l’impression que vous cachez des problèmes.

Cependant, quoi que l’on pense de son long silence, NordVPN a clairement utilisé ce temps pour remédier aux vulnérabilités potentielles.

Comme nous l'avons mentionné ci-dessus, engager VerSprite pour des tests de sécurité n'est pas une idée de ciel bleu et nous allons le faire un jour. que la société soit tombée dans un communiqué de presse pour paraître belle; commencé il y a quelque temps et les premiers résultats sont apparus avant que le hack ne soit exposé. NordVPN n’avait pas honte d’améliorer ses systèmes; Je faisais déjà ça.

En résumé, bien que nous croyions que NordVPN fait défaut dans certains domaines, nous estimons que la nature limitée de la brèche et les mesures correctives prises à ce jour justifient sa chute de 0,5 à 4 seulement. Mais ce n'est pas nécessairement le cas. La fin de l'histoire. Nous ne sommes pas tout à fait au courant de tous les aspects de l'attaque, mais nous garderons un œil sur tous les développements et si NordVPN est plus coupable que nous ne le pensons, nous ajusterons notre note en conséquence.

Promotion chez notre partenaire

google.com, pub-3345026159339632, DIRECT, f08c47fec0942fa0