Pour les plus attentifs VPN d'aujourd'hui, tant de choses dépendent d'une promesse de confidentialité, faite, trop souvent, par une entreprise sans preuve.
Les politiques de non-conservation des logs,chiffrement modernes, le refus de stocker les informations sensibles des clients et la pleine propriété des serveurs ne sont que quelques-unes des caractéristiques qui contribuent à la fiabilité VPN. Pourtant, ce sont précisément ces caractéristiques qu'il est souvent impossible pour unclient individuel de vérifier.
C'est pourquoi il est si important que VPN se soumettent à un audit indépendant, qui permet à des experts en sécurité externes d'examiner les logiciels et le matériel développés et déployés par une entreprise pour exploiter son VPN . À l'instar d'une inspection immobilière qui met en évidence les signes de détérioration, un auditVPN met en lumière les failles de sécurité qui peuvent exister dans l'une des technologies de protection de la vie privée les plus importantes à l'heure actuelle.
Nous sommes donc fiers d'avoir participé à notre tout premier audit indépendant portant surl'infrastructure qui alimente désormais à la foisMalwarebytes Privacy VPN AzireVPN, les deux VPN que nous exploitons et maintenons. Cette double structure résulte de notreacquisition d'AzireVPN fin 2024. Les deux produits utilisent le même logiciel et le même matériel serveur pour fournir à leurs clients VPN et chiffrement .
L'audit du logiciel Malwarebytes Privacy VPNa révélé que :
- 2 problèmes classés comme « critiques »
- 0 problèmes classés comme « Élevé »
- 2 problèmes classés comme « Moyen »
- 2 problèmes classés comme « Faible »
L'audit a déterminé le niveau de gravité des problèmes — allant de « critique » à « faible » — en attribuant des notes techniques conformes à Standard CVSS Standard Common Vulnerability Scoring Standard ). Ce système, adopté à l'échelle du secteur, est utilisé par les chercheurs en sécurité du monde entier pour évaluer la gravité des vulnérabilités découvertes dans les logiciels, le matériel et les micrologiciels. Plus le chiffre est élevé, plus la vulnérabilité est grave.
Selon le rapport final :
« Dans l'ensemble, les systèmes présentent un niveau de sécurité élevé et sont bien placés pour garantir la confidentialité des utilisateurs ; ils semblent offrir un bon niveau de sécurité par rapport à des systèmes de taille et de complexité similaires. Au cours de notre évaluation, nous n'avons constaté aucun signe d'enregistrement des activités des utilisateurs, et l'accès aux systèmes est strictement contrôlé, sans exposition d'accès à distance, locaux ou SSH non nécessaires. Bien que des vulnérabilités aient été identifiées, la plupart ont déjà été corrigées, y compris un problème critique, et les autres sont en cours de résolution. »
Comme l'ont constaté les auditeurs, nos ingénieurs ont déjà corrigé une vulnérabilité « critique », deux vulnérabilités « moyennes » et une vulnérabilité « faible ». Notre équipe s'emploie également activement à corriger la vulnérabilité critique restante et la vulnérabilité faible restante dans la pile logicielle.
Les enjeux
X41 D-Sec a détecté deux problèmes critiques.
Le premier problème critique, qui a reçu une note CVSS de 9,4, concerne la configuration initiale et le fonctionnement des serveurs Malwarebytes par Malwarebytes pour son VPN.
Lorsqu'un nouveau serveur est connecté au réseau, Malwarebytes lui Malwarebytes de télécharger et d'installer ce qu'on appelle une « image Debian ». Il s'agit simplement d'un fichier téléchargeable qui permet d'installer le système d'exploitation Debian sur un matériel informatique physique. C'est un processus qui se répète chaque jour d'innombrables fois dans le monde informatique afin de permettre un déploiement rapide, fiable et décentralisé des machines sur un réseau.
Les chercheurs ont découvert que, bien que l'image Debian ait été téléchargée à partir d'une URL sécurisée, la signature d'un petit élément de données vérifié — appelé « somme de contrôle » — n'avait pas été validée à l'aide de la clé de signature du CD Debian.
Les signatures revêtent une importance capitale dans le monde des logiciels, car elles permettent de vérifier qu'un programme téléchargé sur un appareil est bien celui qui a été publié par son développeur. Sans une vérification adéquate de la signature, un pirate pourrait diffuser une version modifiée d'un programme tout en faisant croire à l'ordinateur qu'il s'agit d'une version légitime.
Nous sommes conscients de la gravité de cette faille de sécurité et avons déjà mis en place un correctif.
La deuxième faille critique, qui a reçu une note CVSS de 9,3, concerne également le comportement des VPN Malwarebytesau démarrage.
Pour se connecter, VPN Malwarebytesutilisent l'environnement d'exécution pré-démarrage (PXE) pour Linux, qui permet la transmission et l'installation de fichiers de démarrage via un réseau, plutôt que de démarrer à partir de fichiers locaux. Les chercheurs en sécurité ont averti que ce processus « ne comporte aucune forme de signature cryptographique ; une attaque de type « Man in the Middle » pourrait donc entraîner l'exécution du code d'un attaquant sur le système client. »
Une telle attaque nécessiterait un accès physique important aux serveurs de nos centres de données. Nous sommes toutefois conscients de l'importance de cette vulnérabilité et nous nous employons à y remédier.
Les quatre autres vulnérabilités ont mis en évidence des risques liés aux attaques par rejeu, à l'utilisation abusive de relais de port, au trafic observable et à un oracle de remplissage pouvant être exploité avec suffisamment de persévérance. Trois de ces vulnérabilités — celles concernant les attaques par rejeu, le trafic observable et l'oracle de remplissage — ont déjà été corrigées, et notre équipe travaille actuellement à la résolution de la dernière.
Une confidentialité en toute transparence
Il existe un mythe selon lequel préserver sa confidentialité en ligne reviendrait à avoir quelque chose à cacher. Pour un VPN comme Malwarebytes, la réalité est tout autre : nous aidons les gens à préserver leur confidentialité en ligne en leur indiquant les points à améliorer.
Toutes les entreprises ne font pas appel à un audit indépendant, et toutes ne sont pas disposées à en communiquer les résultats. En effet, selon certaines études, 77 % des Android présentaient des lacunes importantes en matière de transparence et de responsabilité— un fait que les VPN eux-mêmes mentionnent rarement.
Mais ce qui compte le plus dans cette démarche, et pour nous, ce n'est pas notre ego. Ce qui compte le plus, c'est la protection de votre vie privée. Grâce à ces résultats, nous espérons que vous pourrez prendre une décision plus éclairée quant à la personne à qui vous pouvez confier votre trafic et votre activité sur Internet.
Malwarebytes la société de tests d'intrusion X41 D-Sec d'avoir mené cet audit, ainsi que les chercheurs en sécurité qui y ont participé : Djamal Touazi, JM, Markus Vervier, Robert Femmer et Eric Sesterhenn.
Vous pouvez consulter le rapport d'audit complet ci-dessous.
Naviguez comme si personne ne vous regardait.
Malwarebytes Privacy VPN votre connexion et n'enregistre jamais vos activités, pour que le prochain article que vous lirez ne vous concerne pas personnellement.Essayez-le gratuitement →
