Le service NordVPN a confirmé avoir été victime d’un piratage ayant eu lieu en mars 2018, chez un partenaire finlandais.
Le fournisseur de services de réseau privé virtuel NordVPN a déclaré lundi avoir appris l’existence d’un problème de sécurité impliquant un datacenter partenaire.
La vulnérabilité n’a pas été immédiatement révélée car NordVPN devait s’assurer qu’aucun de leurs autres serveurs n’était sujet à des problèmes similaires. Cela «ne pourrait pas être fait rapidement en raison de la quantité énorme de serveurs et de la complexité de notre infrastructure», nous dit-on.
Au fur et à mesure que le temps passe, le serveur unique affecté a été créé et ajouté à la liste de serveurs de NordVPN en Finlande le 31 janvier 2019. À un moment donné, un attaquant a pu accéder au serveur via un système de gestion à distance non sécurisé laissé par le centre de données. « Nous ne savions pas qu’un tel système existait », a déclaré Daniel Markuson, rédacteur en chef du blog NordVPN.
Le centre de données aurait remarqué la vulnérabilité et supprimé le compte de gestion à distance sans notifier NordVPN le 20 mars 2018.
Markuson a déclaré que le fournisseur de VPN avait appris l’existence de cette vulnérabilité «il y a quelques mois» et avait rapidement mis fin à tous les contrats avec l’entreprise. Ils ont également lancé un audit interne pour vérifier l’ensemble de leur infrastructure, effectué un audit de la sécurité des applications et lancé un processus permettant de déplacer tous leurs serveurs vers la RAM.
Markuson a déclaré que la clé TLS expirée prise lors de l’exploitation du serveur n’aurait pas pu être utilisée pour déchiffrer le trafic VPN de tout autre serveur. «Dans le même ordre d’idées, le seul moyen possible d’abuser du trafic sur le site Web consistait à lancer une attaque personnalisée et compliquée de type MiTM (intercepteur) pour intercepter une connexion unique qui tentait d’accéder à nordvpn.com.»
De plus, NordVPN a déclaré qu’aucune information d’identification d’utilisateur n’avait été utilisée et que le serveur ne contenait aucun journal d’activité de l’utilisateur.
NordVPN a ajouté qu’il imposait désormais à ses datacenters partenaires de respecter des normes encore plus strictes et travaillait sur un programme de prime aux bogues.
