NordVPN confirme qu’il a été piraté

0
129

La société NordVPN, qui propose un service de VPN grand public très populaire, confirme aujourd’hui avoir été victime d’un piratage ayant eu lieu en mars 2018. D’autres fournisseurs de VPN auraient également été affectés.

NordVPN, fournisseur de réseau privé virtuel qui promet de « protéger la vie privée en ligne » a confirmé avoir été piraté. Il s’est avéré que NordVPN avait laissé une clé privée interne expirée exposée, qui permettait à quiconque de faire tourner ses propres serveurs en imitant NordVPN. NordVPN vient de confirmer avoir été victime de piratage il y a plusieurs mois, en mars 2018. Des pirates ont ainsi eu accès à un serveur loué par la firme dans un datacenter en Finlande pendant environ un mois vie un système de gestion à distance dont la firme dément connaitre l’existence.

Kevin Bocek, VP security strategy & threat intelligence,Venafi commente :
“Les fournisseurs de RPV ont connu une croissance rapide en raison du besoin croissant de protection de la vie privée. Les fournisseurs de cloud VPN ont besoin de certificats TLS qui agissent comme des identités de machine pour autoriser la connexion, le cryptage et établir la confiance entre les machines.
 
Les identités machine sont des cibles extrêmement précieuses pour les cybercriminels et les grandes entreprises ont souvent des dizaines de milliers d’identités machine qu’elles doivent protéger.
 
Ces violations deviendront plus fréquentes à l’avenir. Il est impératif que les organisations aient l’agilité nécessaire pour remplacer automatiquement toutes les clés et tous les certificats qui ont pu être exposés en cas de violation. Le remplacement rapide des identités machine est le moyen fiable d’assurer la confidentialité et la sécurité dans un monde où les entreprises fonctionnent et dépendent du cloud. “

Depuis quelques jours, des copies d’écran contenant des fichiers de configuration d’un serveur NordVPN circulaient sur les réseaux sociaux. L’utilisateur twitter @hexdefined a ainsi publié plusieurs images dimanche laissant entendre qu’un serveur NordVPN avait été compromis, tout en précisant que ces informations circulaient depuis quelque temps déjà :

Parmi les données exposées, on retrouvait notamment une clef privée de certificat SSL expiré attribué à NordVPN : ce type de clef ne doit pas être exposé publiquement et le certificat en question, avant sa révocation, pouvait permettre à un tiers de se faire passer pour NordVPN. Autant d’indices qui laissaient penser que NordVPN avait bien été victime d’une attaque.

La société a publié aujourd’hui un article dédié à l’affaire détaillant l’origine de la fuite en question. Ils expliquent ainsi qu’un des serveurs loués par NordVPN dans un datacenter finlandais avait bien été victime d’une intrusion en début d’année 2018. Les attaquants ont exploité une faille dans « un système de gestion à distance » laissé accessible par le prestataire du datacenter. La faille a été corrigée par le prestataire, mais celui-ci n’a pas tenu NordVPN au courant de cet incident de sécurité. Si une attaque avancée de type man-in-the-middle n’a pas eu lieu, il n’existe aucune raison de s’inquiéter.

« Le serveur lui-même ne contenait aucun journal des activités des utilisateurs – aucune de nos applications n’envoyait de justificatifs d’identité créés par les utilisateurs pour l’authentification, de sorte que les noms d’utilisateur et les mots de passe ne pouvaient pas non plus être interceptés, indique un porte-parole de la firme. »

NordVPN, VikingVPN et TorGuard sont les trois fournisseurs connus touchés à ce jour. Lors de l’usage d’un VPN, pensez à réaliser un test de rapidité de connexion sur www.speedcheck.org afin d’être certain de ne pas avoir de déperdition par rapport à votre connexion.

 

Note : lien partenaire