voyagiste

9 VPN sur 10 vulnérables

Une étude tente de démontrer que la majorité des VPN proposés sur le marché de l’informatique sont vulnérables. Vous pensiez être sécurisés, il semble que le cadenas a des failles.

Un VPN, un moyen de protéger vos surfs et communications sur Internet. Il permet de se constituer un « tunnel » chiffré entre vous et vos interlocuteurs numériques. Chiffrement donc, et l’ip qui apparaît sur le site Internet que vous visitez est celui de l’outil de protection.

Sauf qu’il n’y a rien de plus dangereux qu’une personne, une entreprise, se pensant sécurisée car elles utilisent des logiciels lui promettant cette sécurité. La société High-Tech Bridge, spécialisée dans la sécurité informatique, vient de démontrer que se cacher derrière un virtual private network [VPN] n’est pas obligatoirement aussi sécurisé que prévu.

HTB a contrôlé plus de dix mille serveurs VPN SSL. Dans les « cibles », des VPN de chez Cisco, Fortinet, Dell. Neuf machines sur dix étaient faillibles. 77% de ces outils utilisent le protocole SSLv3, certains osent encore le SSLv2. 10% exploitant OpenSSL… souffre encore de la vulnérabilité Heartbleed. Un coeur qui saigne depuis 2014 !

76% utilisent un certificat SSL non fiable. Parfait pour espionner une communication. 41% des virtual private network utilisent toujours des clés RSA 1024, taille considérée comme peu sûre. A noter que j’utilise, entre autre, l’excellent service de VPN, Hide My Hass. Plusieurs centaines de serveurs dans le monde. Fonctionne sur un ordinateur (PC, MAC) ; Tablette et smartphone (iOS, Android, Windows).

En janvier 2015, une faille visant les navigateurs Firefox et Chrome, permettait un cyber espionnage qui profitait d’un bug dans le protocole WebRTC. Un protocole que l’on retrouve dans les navigateurs  Firefox et Chrome. WebRTC passe par un serveur STUN qui lui donne ainsi l’occasion de connaître son adresse IP publique. Sans cela, point de salut lors de la visite d’un site web. Sauf que STUN communique aux deux navigateurs l’adresse IP privée et publique. Bilan, le serveur connaissait  donc le VPN et vos deux précieux. Pratique pour tracer un internaute.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Macha Reply

    « j’utilise l’excellent service de VPN, Hide My Hass »

    lol ? ils balancent à tout va et tu oses le conseiller ? -_-

    • Gudbes Reply

      9 VPN sur 10 vulnérables : J’attends de savoir dans l’article lesquel sont les plus fiables ?

  2. K3npa Reply

    sérieux encore hide my ass ?

    faut arrêter avec cette daube, y’en a de bien mieux et plus sécurisé et qui ne vous balancerons pas

    • Fred Reply

      Lesquels ?

Répondre à Fred Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.