Faille importante dans les services VPN

mODUWSE.jpg

Des experts en sécurité ont détecté une faille dans les services VPN, qui permet d’accéder aux adresses IP.

Si vous faites partie des internautes convaincus que les services VPN tels que PrivacyInternetAccess ou HideMyAss les mettent à l’abri des ayants droits, détrompez-vous. Des chercheurs en sécurité informatique appartenant au service VPN Perfect Privacy viennent de mettre le doigt sur une faille de sécurité importante. Une faille baptisée « Port Fail », qui rendrait vulnérable la majorité des services VPN, et qui permettrait d’accéder à l’adresse IP des utilisateurs.

Cette faille repose sur le principe de la translation de port, ou « port forwarding », qui consiste à rendre accessibles certains services hébergés via Internet. Concrètement, si une personne définit un port sur un serveur VPN afin de rediriger son trafic entrant vers un serveur FTP, et qu’une autre personne utilisant le même serveur VPN accède au service FTP, un court-circuit de la fonctionnalité proxy se produit. Par conséquent, le premier utilisateur peut voir l’adresse IP du deuxième.

Sur les neuf services VPN testés par les chercheurs de Perfect Privacy, cinq d’entre eux ont présenté cette faille de sécurité. Ovpn, Private Internet Access et nVPN figurent parmi les services vulnérables. Le hacker David Davidson affirme que cette faille pourrait bénéficier aux personnes qui souhaitent traquer les pirates, car elles n’auraient qu’à se connecter sur des réseaux peer-to-peer pour connaître l’adresse IP du serveur VPN de ces derniers. Ensuite, il leur suffirait d’ouvrir un compte pour accéder au même serveur, d’activer le « port forwarding », et de télécharger un fichier multimédia pour accéder aux adresses IP de tous les utilisateurs.

Source