Depuis quelques jours, des copies d’écran contenant des fichiers de configuration d’un serveur NordVPN circulaient sur les réseaux sociaux. L’utilisateur twitter @hexdefined a ainsi publié plusieurs images dimanche laissant entendre qu’un serveur NordVPN avait été compromis, tout en précisant que ces informations circulaient depuis quelque temps déjà.
Parmi les données exposées, on retrouvait notamment une clef privée de certificat SSL expiré attribué à NordVPN : ce type de clef ne doit pas être exposé publiquement et le certificat en question, avant sa révocation, pouvait permettre à un tiers de se faire passer pour NordVPN. Autant d’indices qui laissaient penser que NordVPN avait bien été victime d’une attaque.
La société a publié aujourd’hui un post de blog détaillant l’origine de la fuite en question. Ils expliquent ainsi qu’un des serveurs loués par NordVPN dans un datacenter finlandais avait bien été victime d’une intrusion en début d’année 2018. Les attaquants ont exploité une faille dans « un système de gestion à distance » laissé accessible par le prestataire du datacenter. La faille a été corrigée par le prestataire, mais celui-ci n’a pas tenu NordVPN au courant de cet incident de sécurité.
Tout va bien, mais c’est quand même grave
Il a donc fallu attendre quelques mois pour que les équipes de NordVPN ne réalisent le problème et prennent les mesures qui s’imposent. NordVPN affirme que le serveur en question ne contenait aucun log d’activité client ni aucun identifiant qui auraient pu être volés par l’attaquant. Comme l’explique le porte-parole de la société auprès de TechCrunch, « la seule attaque envisageable aurait été de mettre en place une attaque man in the middle complexes visant à intercepter la connexion d’un internaute cherchant à se connecter aux services de NordVPN. »
La société affirme néanmoins prendre l’incident au sérieux et avoir mis en place un audit en règle de la sécurité de son système après avoir découvert la faille. La société ajoute d’ailleurs que c’est précisément cet audit qui a empêché NordVPN de communiquer plus tôt sur cette attaque : « NordVPN souhaitait en effet s’assurer que l’ensemble des composants de son système n’avait pas été affecté par l’attaque. »
Sur son blog, Torguard, l’un des concurrents directs de NordVPN, explique avoir été aussi touché par ce piratage. La société confirme avoir également victime d’un problème similaire en septembre 2017 chez ce même fournisseur, mais précis qu’aucune des données exposées ne présentait de risque pour la sécurité des utilisateurs. Torguard explique avoir éliminé le serveur compromis de son système en début d’année 2018 et avoir cessé de travailler avec le datacenter incriminé.
La société VikingVPN fait également partie des sociétés ayant été affectées par le piratage, mais n’a pas encore communiqué officiellement sur le sujet.
Une longue histoire
On peut s’étonner de voir cette histoire ressortir maintenant, mais le sujet semble particulièrement délicat pour les trois acteurs impliqués par cette fuite de données. D’une part, ce genre d’affaires entache leur image : NordVPN, VikingVPN et TorGuard proposent tous les trois des outils des réseaux privés virtuels, des outils utilisés pour anonymiser le trafic de l’utilisateur et protéger ses échanges.
D’autre part, TorGuard et NordVPN sont pris depuis plusieurs mois dans une bataille judiciaire concernant précisément un serveur exposé sur le réseau et la correction d’une faille de sécurité. Si TorGuard n’hésite pas à mentionner dans son post de blog le fait que les poursuites en justice sont liées à cette histoire, NordVPN ne mentionne pas cet aspect de l’affaire.
Comments