Le suisse ProtonVPN a remis le code de ses application à la communauté open source afin d’améliorer la transparence et les normes de sécurité de ses produits.
Le fournisseur de réseaux privés virtuels (VPN), également connu pour le service de courrier électronique sécurisé ProtonMail, a déclaré que le code supportant les applications ProtonVPN sur tous les systèmes — Microsoft Windows, Apple macOS, Android et iOS — est désormais disponible publiquement pour examen.
“Il y a un manque de transparence et de responsabilité en ce qui concerne les opérateurs de services VPN, leurs qualifications en matière de sécurité et leur conformité aux lois sur la protection de la vie privée comme la RGPD” déclare l’entreprise. “Rendre toutes nos applications open source est donc une étape naturelle”.
publicité
Un audit de sécurité pour chaque application
Chaque application a également fait l’objet d’un audit de sécurité par SEC Consult, qui, selon ProtonVPN, s’appuie sur un partenariat antérieur avec Mozilla.
En 2018, Mozilla a effectué un essai avec un petit nombre d’utilisateurs du navigateur Mozilla Firefox pour proposer ProtonVPN comme service recommandé afin de protéger leur vie privée et de masquer leur activité en ligne.
Bien que le partenariat ne soit pas allé plus loin – à la place, Mozilla a créé son propre réseau privé Firefox – l’essai a exigé que la technologie de ProtonVPN soit soumise à une inspection par le navigateur dans le cadre des exigences de diligence raisonnable de Mozilla.
Des vulnérabilités corrigées
Le rapport d’audit de Windows (.PDF) a identifié deux vulnérabilités à faible risque liées aux certificats SSL. Le rapport macOS (.PDF) n’a révélé aucun bug, tandis qu’une vulnérabilité de risque moyen et quatre vulnérabilités à faible risque ont été découvertes dans l’audit Android (.PDF), la pire étant un problème de déconnexion non sécurisée.
Enfin, le rapport d’iOS (.PDF) documente deux vulnérabilités à risque moyen et deux vulnérabilités à faible risque, la faille de sécurité la plus grave étant l’utilisation d’identifiants codés en dur et de données sensibles contenues dans la mémoire.
Toutes les vulnérabilités ont été corrigées au moment de la divulgation. Le code source de chaque application est désormais disponible sur GitHub (Windows, macOS, Android, iOS).
“En tant qu’organisation soutenue par une communauté, nous avons la responsabilité d’être aussi transparents, responsables et accessibles que possible” déclare ProtonVPN. “Le fait d’opter pour l’open source nous aide à le faire et à mieux vous servir en même temps”.
Source : “ZDNet.com”
Comments