Toutes les informations minceur |  Quelle est la vérité sur la violation de NordVPN? C'est ce que nous savons maintenant.

Toutes les informations minceur | Quelle est la vérité sur la violation de NordVPN? C'est ce que nous savons maintenant.

novembre 19, 2019 Non Par Camille Leroy


Après les principales révélations sur Twitter En octobre 2019, NordVPN, le principal fournisseur de réseau privé virtuel (VPN), a confirmé avoir été victime d'une atteinte à la sécurité en mars 2018.

Ce qui s’est passé est une histoire compliquée, mais nous allons commencer par la version des événements NordVPN, comme indiqué dans un article de blog intitulé "Pourquoi le réseau NordVPN est-il sûr après une violation d’un fournisseur externe"?

L'attaque a touché un seul serveur VPN en Finlande, a expliqué NordVPN. Vos propres serveurs n'ont pas été compromis.

NordVPN a déclaré que la violation "a été rendue possible par la mauvaise configuration d'un centre de données tiers dont nous n'avons jamais été informés".

Le pirate informatique n’aurait pas pu obtenir les informations d’identité des utilisateurs, nous a expliqué la société. L'accès au serveur aurait pu permettre au pirate informatique de surveiller le trafic de toute personne utilisant ce serveur à ce moment-là, mais NordVPN affirme qu'il n'y a aucune preuve que cela se soit produit. Même si c'était le cas, le trafic crypté (HTTPS, connexions de messagerie sécurisées, etc.) serait protégé.

Les preuves indiquent que l'attaque s'est probablement produite entre le 31 janvier 2018, lorsque le serveur s'est connecté, et le 5 mars 2018.

L'attaque a été effectuée via un compte de centre de données compromis et non pas un compte géré par NordVPN.

Le centre de données a supprimé ce compte le 20 mars 2018, bloquant tout accès supplémentaire au serveur.

NordVPN affirme ne pas avoir été informée de la violation avant le 13 avril 2019, plus d'un an après les faits. Il a arrêté le serveur le même jour et a lancé un audit immédiat de ses 5 000 les serveurs

La société ne serait pas rendue publique avant que la preuve de l'attaque ne soit apparue environ six mois plus tard. Parce que? Le billet de blog disait: & # 39; examiner attentivement les fournisseurs et les configurations de plus de 5 000 serveurs dans le monde prend du temps. En conséquence, nous avons décidé de ne pas avertir le public tant que nous ne serions pas certains qu'une telle attaque ne pourrait être reproduite nulle part ailleurs dans notre infrastructure & # 39;.

Quel est le fond?

Le 3 mai 2018, un utilisateur du tableau de messages 8chan a entamé une discussion demandant des recommandations de réseau privé virtuel (VPN), et d'autres utilisateurs ont commencé à ajouter leurs favoris: NordVPN, Mullvad, TorGuard, VikingVPN, cryptostorm, etc.

À 20h46, un autre utilisateur a publié un commentaire sur ces suggestions. Mullvad et cryptostorm ont un "bon choix" & # 39; approbation, mais NordVPN, TorGuard et VikingVPN ont obtenu un "lol et non", avec des liens vers des preuves montrant les détails des serveurs piratés de chaque fournisseur: fichiers de configuration, clés privées, détails de session de base, etc.

Lors de la numérisation du texte, nous avons constaté que les liens VikingVPN et TorGuard semblaient indiquer les temps de connexion de la session et certaines informations des archives depuis le jeudi 3 mai, le jour où la discussion à 8chan a commencé.

Cela suggère que l'utilisateur ne les avait pas trouvés quelque part ou obtenus d'une autre personne; Il a vu le fil et a pris les informations du serveur en direct presque immédiatement. C'est une astuce très rapide ou l'utilisateur connaissait déjà la vulnérabilité de chaque fournisseur.

Les détails de NordVPN n'incluaient aucune information de rendez-vous. Quand est-ce que le piratage est arrivé alors? C'est là que l'image devient trouble.

NordVPN

(Crédit image: NordVPN)

Date de confusion

NordVPN nous a dit initialement: "Nous pensons que la discussion sur 8chan a été la cause de quelqu'un qui a commencé à rechercher les vulnérabilités de différents fournisseurs de services VPN, et cette discussion a commencé le 5 mars."

Le fichier de configuration exposé indiquait que l’attaque s’était produite le même jour, poursuit la société: «Le 5 mars était le dernier jour où ce fichier de configuration existait. Notre configuration a été modifiée par la suite, de sorte que le fichier de configuration aura un aspect différent & # 39; & # 39;

C'est intéressant, mais il y a une certaine confusion dans le temps. La discussion de 8chan a commencé le 5-3-2018, oui, mais c'est le format américain mois-jour-année (3 mai), pas européen jour-mois-année (5 mars), comme NordVPN l'avait initialement cru. (Nous savons avec certitude que le site 8chan a indiqué que 5-3 était un jeudi; le 3 mai 2018 était un jeudi, mais le 5 mars était un lundi).

Lorsque nous avons constaté cela, NordVPN a admis l’erreur, mais a affirmé que cela n’apportait aucune différence significative dans son explication de l’attaque: «Il semble que nous ayons réellement commis une erreur en interprétant la date du début de la discussion à 8chans. Cependant, la chronologie réelle, à l'exception de cette date, reste la même.

Bien que cela puisse être vrai, nous pensons que cela change ce que nous savons sur la motivation de l'attaque.

NordVPN avait suggéré que tout cela se soit passé en une seule journée, en réponse à un fil de discussion 8chan. L’attaquant a lu les messages, est parti à la recherche de vulnérabilités, en a rendu compte les résultats et est reparti en une journée environ. Il n'y a pas grand chose à craindre, rien à voir ici.

Nous pouvons maintenant voir le pirate informatique engagé avec NordVPN entre le 31 janvier (lorsque le serveur est connecté) et le 5 mars 2018, et avoir attaqué TorGuard et VikingVPN séparément, peut-être des mois plus tard. Il est possible que l'intrus n'ait toujours rien fait de plus que de passer quelques minutes à naviguer sur le serveur, mais cela montre que ce n'était pas quelqu'un qui jouait avec discernement une nuit non plus. Ils savaient ce qu'ils faisaient et ils le faisaient depuis des mois, sinon plus.

C'est intéressant, mais ce n'est pas la fin de nos préoccupations concernant les fréquentations. Il s’avère que NordVPN n’est pas la seule entreprise à poser des questions sur la nature et le moment de l’attaque.

Torguard

(Crédit image: TorGuard)

Réponse TorGuard

La réponse immédiate de TorGuard à la violation indiquait que cela s'était passé en septembre 2017, qu'elle n'était pas compromise de manière externe, que les utilisateurs n'étaient jamais menacés et qu'ils avaient toutefois signalé la violation auparavant.

Mais les informations divulguées par TorGuard semblent inclure des sessions datées du jeudi 3 mai, jour du thread 8chan, datant de l'attaque de 2018, et non de 2017. Cela indique que le pirate informatique avait un accès root au serveur, ce qui pourrait être le cas. aussi grave que la violation de NordVPN. Et si vous lisez le rapport TorGuard sur le problème de sécurité précédent, cela semble être un événement séparé. L'article parle de "scripts d'installation de serveur de streaming IPsec 2017 (qui) ont récemment été ouverts par erreur", par exemple, ce qui ne semble pas être lié à ce que nous voyons dans la violation.

Nous avons exposé ces contradictions apparentes à TorGuard, et un porte-parole de la société nous a déclaré qu '"en raison d'un procès en cours lié à ce problème, je ne peux pas vous fournir de réponse directe à vos questions pour le moment". Mais finalement, plus d’informations seront publiées, a-t-il déclaré, ajoutant: "Les choses auront plus de sens après la présentation des preuves au tribunal."

Torguard

(Crédit image: TorGuard)

Pendant ce temps, TorGuard nous a dit défendre ses principales revendications concernant la violation: son serveur n’a pas été compromis de manière externe et il n’ya jamais eu de menace pour les autres serveurs ou utilisateurs de TorGuard, et Le trafic VPN ou proxy TorGuard n'a pas été compromis lors de cette violation isolée d'un serveur VPN unique et aucune information confidentielle n'a été compromise lors de cet incident.

Nous ne disposons pas de suffisamment d'informations pour en tirer des conclusions. Nous allons donc exclure ces préoccupations de TorGuard du reste de cet article. Cependant, il convient de garder à l’esprit que certaines attaques dans cette attaque s’étendent au-delà de NordVPN et qu’il faudra peut-être un certain temps avant que nous en sachions davantage.

Quelle était la gravité de la violation?

L'attaque visait l'un des plus de 5 000 serveurs VPN de NordVPN, pas son infrastructure principale. En conséquence, l'intrus n'avait pas accès aux informations d'identification de l'utilisateur, aux détails de facturation ou à toute autre information liée au profil.

Le pirate informatique a obtenu les clés de sécurité de la couche de transport que NordVPN utilise pour vérifier son site Web. En théorie, cela pourrait être utilisé pour créer un faux site Web qui semblait être le vrai NordVPN.com. Toutefois, la société a minimisé le danger, affirmant qu'une attaque ne pourrait être lancée que sur Internet contre un objectif spécifique et nécessiterait un accès extraordinaire au périphérique ou au réseau de la victime (comme un périphérique déjà compromis, un administrateur de réseau). réseau malveillant ou compromis). Les clés ont également expiré en octobre 2018.

NordVPN

(Crédit image: NordVPN)

Le risque le plus important est que l’attaquant puisse, en théorie, surveiller le trafic non chiffré des utilisateurs connectés à ce serveur. Il n’existait aucun moyen de lier ce trafic à un individu spécifique, mais il aurait été théoriquement au moins possible d’enregistrer des informations personnelles partagées en texte brut (connexion à un site Web via une page HTTP non sécurisée, par exemple).

NordVPN a minimisé cette possibilité dans son article de blog initial, en déclarant: "Rien ne laisse supposer que l'intrus ait tenté de surveiller le trafic des utilisateurs de quelque manière que ce soit."

Nous avons demandé à la société comment il pouvait en être sûr, et il a répondu: "Aucune modification n'a été apportée à notre configuration, aucun processus supplémentaire n'a été exécuté, aucun fichier supplémentaire n'a été laissé sur le serveur. De telles modifications de configuration étaient nécessaires pour inspecter le trafic.

C'est une interprétation raisonnable. Il est théoriquement possible que l'intrus ait configuré un schéma de surveillance avant de l'avoir supprimé, parfaitement, avant que son accès ne soit bloqué, mais cela n'a pas beaucoup de sens. Après tout, ce n'est pas quelqu'un qui semble être très intéressé par la furtivité; Il a admis le piratage dans 8chan (ou au moins, il a partagé les détails avec quelqu'un qui l'a fait).

Combien d'utilisateurs ont été touchés?

NordVPN a confirmé que le serveur concerné était en ligne le 31 janvier 2018.

La société suggère que l'attaque a eu lieu autour du 5 mars 2018. Toutefois, comme nous en avons discuté, nous savons que cela est basé sur une incompréhension de la date de discussion du 8chan. Il n'y a rien à dire qui n'aurait pas pu se produire dès que le serveur s'est connecté.

Quelle que soit la vérité, NordVPN rapporte que le 20 mars 2018, le centre de données a supprimé le compte de gestion de l'insécurité non divulgué. utilisé pour effectuer le piratage, bloquant un accès supplémentaire.

Ces dates suggèrent une fenêtre d'environ deux semaines lorsque le serveur a été exposé. Au départ, il a été signalé que NordVPN avait suggéré que 50 à 200 utilisateurs auraient pu être affectés, mais lorsque nous avons demandé, on nous a dit: "Nous ne connaissons pas l'heure exacte de l'événement et nous ne pouvons pas dire combien de personnes étaient connectées à ce serveur car elles ne le savaient pas." Nous ne gardons aucune trace. Nous ne pouvons que deviner: notre estimation brute est d’environ 20 à 70 sessions actives.

C'est une large gamme, peut-être moins de 20 à plus de 200 utilisateurs. Comme les dates d'origine de NordVPN étaient incorrectes, nous aurions opté pour l'estimation la plus élevée. Autrement dit, jusqu'à 200 utilisateurs ayant établi des connexions avec un serveur spécifique en Finlande entre le 5 et le 20 mars 2018 couraient un risque théorique que leur trafic non crypté soit surveillé. Il n'y a aucune preuve que cela soit arrivé, mais cela ne peut pas être exclu.

L'impact immédiat de cette attaque semble donc être limité. Mais ce n’est pas une excuse: le blog de NordVPN le décrit comme "une erreur odieuse qui n’aurait jamais dû être commise", et le hack n’est qu’une partie de cette histoire.

http://www.bing.com/

(Crédit image: NordVPN)

Problèmes et préoccupations de NordVPN

Au-delà du problème de trafic du serveur, la déclaration de NordVPN a reconnu que l'intrus avait acquis des clés TLS qui auraient pu permettre une attaque supplémentaire. La société a laissé entendre que les chances que cela se produise étaient minces: NordVPN a déclaré avoir besoin de "circonstances extraordinaires", mais pourquoi ces clés ont-elles été compromises?

À titre de comparaison, TorGuard a également été compromis par le même attaquant, mais un article de blog d'octobre 2019 indique que, puisqu'il utilisait l'administration sécurisée de l'infrastructure à clé publique (PKI), sa clé principale ne se trouvait pas sur le serveur VPN concerné.

Une préoccupation plus fondamentale est de savoir comment l'attaque pourrait se produire. La déclaration initiale de NordVPN a blâmé la société qui gère le serveur et a déclaré: "La violation a été rendue possible par une configuration médiocre par un centre de données tiers dont nous n'avons jamais été informés."

Dans une réponse ultérieure, la société a expliqué: "Il existait un compte IPMI (interface de gestion de plate-forme intelligente) non divulgué (un système d'accès distant puissant) permettant d'accéder au serveur. Ce compte a été violé. Par conséquent, le serveur a été utilisé & # 39;

La société finlandaise impliquée a suggéré que NordVPN ait une certaine responsabilité en la matière. Il affirme avoir d'autres clients VPN en tant que clients et avoir déployé plus d'efforts que NordVPN pour limiter l'accès à ces fonctions d'accès à distance, par exemple en maintenant les ports fermés la plupart du temps et en les ouvrant uniquement lorsque cela était nécessaire.

Quelle que soit la vérité, la ligne est de votre faute. NordVPN ne se conforme pas bien à la déclaration sur le site Web selon laquelle "nous, NordVPN, confirmons que nous prenons le contrôle intégral de notre infrastructure". Vous ne pouvez pas prétendre que vous êtes en "contrôle total", puis dépenser de l'argent si des problèmes apparaissent.

Le vrai problème ici est probablement la transparence. NordVPN admet avoir eu connaissance de l'attaque en avril 2019, mais la société n'a été rendue publique que six mois plus tard environ, après que les détails eurent été révélés sur Twitter.

NordVPN indique que le délai était nécessaire pour lancer un audit interne complet & # 39; des fournisseurs et des configurations de plus de 5 000 serveurs, et a décidé de ne pas informer le public tant que nous ne serions pas certains qu'une telle attaque ne pourrait pas être reproduite ailleurs dans notre infrastructure.

Eh bien c'est bon. Cependant, il aurait sûrement été possible de faire une déclaration générale sur l'attaque sans aborder les détails techniques de bas niveau: un seul serveur VPN a été compromis, aucune information d'identification ni aucun détail utilisateur n'a été exposé, nous comprenons le vecteur de l'attaque, nous sommes. auditer nos systèmes pour confirmer qu'ils sont en sécurité et émettra bientôt une autre déclaration. Ce n’est pas excellent pour NordVPN, mais une réponse ouverte et rapide aurait pu aider à créer un climat de confiance et c’est certainement mieux que de prétendre que vous obtiendrez la vérité ultérieurement.

Ce que NordVPN a ensuite fait

NordVPN mérite beaucoup de critiques pour la violation et la manière dont elle a été révélée, mais ce n'est pas toute l'histoire. Il convient également de voir ce que la société a appris du piratage informatique et ce qu’elle envisage de faire par la suite.

Après avoir entendu parler de l'attaque, NordVPN a déclaré qu'il avait immédiatement lancé un "audit interne complet". de toutes ses infrastructures. La société nous a indiqué que cela révélait certains serveurs potentiellement exposés. via un système d'accès à distance similaire, mais ceux-ci ont été corrigés ou supprimés.

La sécurité des serveurs a été améliorée avec le stockage crypté, ce qui rend beaucoup plus difficile l'accès aux données via un système de gestion à distance.

De manière particulièrement importante, NordVPN s'est associé au cabinet de conseil en sécurité VerSprite pour travailler sur les tests d'intrusion, la gestion des intrusions et l'analyse du code source.

Un programme de récompense d'erreur, qui sera lancé à tout moment, devrait encourager les autres à détecter les erreurs à l'avance et à les corriger avant qu'elles ne causent des dommages.

La société promet un audit de sécurité tiers à grande échelle & # 39; indépendant de toute son infrastructure en 2020: matériel, logiciels, architecture dorsale et code source, et procédures internes. Il semble que cela vaincra facilement tous les audits de sécurité VPN que nous avons vus jusqu’à présent, bien que nous devions connaître les détails pour en être sûr.

Les plans à plus long terme comprennent la construction d'un réseau de serveurs localisés (propriété exclusive de NordVPN) fonctionnant entièrement en RAM. Ils n'auront pas de données stockées localement ni de fichiers de configuration, tout ce qui peut être exposé dans un piratage. C’est aussi une bonne nouvelle, bien que moins avancée, puisque ExpressVPN a introduit sa technologie TrustedServer basée sur une mémoire RAM de son similaire il ya plus de six mois.

Si vous êtes du genre sceptique et que, dans ce secteur, vous devriez vraiment l'être, vous pourriez vous demander si NordVPN vient de publier des promesses fantaisistes dans un article de blog pour tenter de regagner un peu de confiance. Mais il y a des preuves pour dire le contraire. La société a déjà progressé dans certains domaines et les avantages ont commencé à apparaître avant même que le piratage ne soit rendu public.

Le 9 octobre, par exemple, NordVPN a annoncé les résultats d'un audit de ses applications effectué par VerSprite. 17 erreurs ont été détectées et corrigées.

C'est un gros problème, seul. Nous avons vu suffisamment d'applications VPN terribles pour savoir que de nombreux fournisseurs n'ouvriront probablement jamais, jamais, à ce niveau de contrôle.

Le succès de VerSprite ne compense certes pas le piratage, ni ne garantit absolument que NordVPN tiendra ses autres promesses. Cependant, c'est un excellent premier pas. Et avec le monde des réseaux privés virtuels (VPN) très attentif, NordVPN devrait savoir que même le plus petit échec n’est pas une option.

http://www.bing.com/

(Crédit image: Shutterstock)

Revoir les scores

Décider de la manière dont un tel incident devrait affecter le résultat d'un examen est difficile, car plusieurs questions importantes doivent être prises en compte et aucune règle claire ne doit prévaloir. Tout ce que nous pouvons faire est d'expliquer notre pensée et de porter un jugement.

Notre principale préoccupation en matière de confidentialité est la possibilité de surveiller le trafic, même s'il est petit. Cela ne devrait tout simplement pas arriver avec un VPN.

De l’autre côté, NordVPN déclare, et nous sommes plutôt d’accord pour dire, que la portée de l’attaque était limitée: un seul serveur affecté, aucune exposition d’informations d’utilisateur, aucun moyen de lier le trafic à un utilisateur spécifique, plus aucun risque de trafic. cryptage Ce n'était pas une vulnérabilité de l'ensemble du système.

En outre, NordVPN a déclaré que la violation était due à une défaillance du centre de données. Bien que le centre de données ait critiqué l'entreprise à son tour, nous ne l'avons pas vu répondre à des accusations spécifiques (un compte particulier inconnu de NordVPN). a été compromis, puis supprimé par le centre de données, également lorsqu’il a signalé NordVPN.)

Gardez à l'esprit que ce ne sont pas que des problèmes de NordVPN. Chaque VPN s'appuie dans une certaine mesure sur les capacités de gestion de ses centres de données. Les fournisseurs peuvent agir pour minimiser cela, comme le fait NordVPN, par exemple avec le chiffrement de son disque, mais il existe toujours une vulnérabilité potentielle.

Nous pouvons voir des preuves de cela dans la violation, qui incluait des informations divulguées d'autres VPN. L'astuce ne représente pas un problème spécifique à NordVPN, et tout ajustement de notre score d'évaluation devrait en tenir compte.

Bien que ces points soient à la défense de NordVPN, ils ne le dégagent pas de toute responsabilité. Les centres de données constituent un élément essentiel de l'infrastructure de NordVPN, que l'entreprise prétend fièrement contrôler; Tout problème représente également une erreur NordVPN, à un certain niveau.

Il y a un point lié à la perte des clés NordVPN TLS. Cela s'est produit uniquement à cause de cette vulnérabilité spécifique, et l'impact semble être limité, mais ce n'est pas une excuse: c'est toujours une faille de sécurité.

La divulgation d'événement réticent de NordVPN doit être une marque noire. Les VPN dépendent de la confiance et ne le croient pas en donnant l’impression que vous cachez des problèmes.

Mais peu importe ce que nous pensons de son silence prolongé, NordVPN a clairement utilisé ce temps pour remédier aux vulnérabilités potentielles.

Comme nous l'avons mentionné précédemment, engager VerSprite pour prouver la sécurité n'est pas une idée du ciel bleu "nous ferons cela un jour", la société a inclus un communiqué de presse pour bien paraître; Cela a commencé il y a quelque temps, et les premiers résultats sont apparus avant que le piratage ne soit exposé. NordVPN n'a pas eu honte d'améliorer ses systèmes; Je faisais déjà ça.

Rassemblez tout cela, et bien que nous croyions que NordVPN soit à blâmer dans certains domaines, nous estimons que la nature limitée de la violation et les mesures correctives prises à ce jour ne justifient la chute de NordVPN que de 0,5 à 4. Mais ce n’est pas nécessairement La fin de l'histoire. Nous ne sommes pas tout à fait au courant de tous les aspects de l'attaque, mais nous surveillerons tout développement et si NordVPN s'avère être plus coupable que nous le pensons pour le moment, nous ajusterons notre note en conséquence.

Promotion chez notre partenaire