L'atteinte a eu lieu il y a 19 mois. Le service VPN populaire ne le divulgue que maintenant.
Les pirates informatiques ont violé un serveur utilisé par le fournisseur de réseau virtuel NordVPN et volé des clés de cryptage pouvant être utilisées pour lancer des attaques de déchiffrement sur des segments de sa clientèle.
Un journal des commandes utilisées lors de l'attaque suggère que les pirates avaient un accès root, ce qui signifie qu'ils disposaient d'un contrôle quasi sans entrave sur le serveur et qu'ils pouvaient lire ou modifier à peu près toutes les données qui y étaient stockées. Une des trois clés privées divulguées a été utilisée pour sécuriser un certificat numérique fournissant un cryptage HTTPS pour nordvpn.com . La clé ne devait pas expirer avant octobre 2018, environ sept mois après la violation de mars 2018. Les attaquants auraient pu utiliser le certificat compromis pour imiter le site Web nordvpn.com ou organiser des attaques de type "man-in-the-middle" contre les personnes visitant le site réel. Les détails de la violation circulent en ligne depuis au moins mai 2018 .
D'après le journal des commandes, une autre des clés secrètes divulguées semblait sécuriser une autorité de certification privée utilisée par NordVPN pour émettre des certificats numériques. Ces certificats peuvent être émis pour d'autres serveurs du réseau NordVPN ou pour diverses autres raisons sensibles. Le nom du troisième certificat suggère qu'il aurait également pu être utilisé à différentes fins sensibles, notamment la sécurisation du serveur compromis par la violation.
Les révélations sont apparues alors que des preuves suggéraient que deux services VPN concurrents, TorGuard et VikingVPN, avaient également été victimes de violations des clés de cryptage divulguées. Dans un communiqué , TorGuard a indiqué qu'une clé secrète pour un certificat de sécurité de couche de transport pour * .torguardvpnaccess.com avait été volée. Le vol s'est produit lors d'une violation de serveur en 2017. Les données volées ont trait à un certificat de proxy squid.
Les responsables de TorGuard ont déclaré sur Twitter que la clé privée ne se trouvait pas sur le serveur concerné et que les attaquants "ne pouvaient rien faire avec ces clés". La déclaration de lundi a ensuite indiqué que TorGuard n'avait pas retiré le serveur compromis avant le début de l'année 2018. TorGuard avait également appris avoir été informé de violations de VPN en mai dernier. "Nous avons également porté plainte contre NordVPN .
Les officiels de VikingVPN n'ont pas encore commenté.
Préoccupations graves
L'une de ces clés a expiré le 31 décembre 2018 et l'autre est tombée dans sa tombe le 10 juillet de la même année, a déclaré une porte-parole de la société. Elle n'a pas précisé le but de ces clés. Une fonction de cryptographie appelée secret de transmission parfaite garantissait aux attaquants de ne pas décrypter le trafic simplement en capturant les paquets cryptés lors de leurs déplacements sur Internet. Les clés, cependant, auraient toujours pu être utilisées dans des attaques actives, dans lesquelles les pirates informatiques utilisent des clés divulguées sur leur propre serveur pour intercepter et déchiffrer des données.
Il était difficile de savoir combien de temps les attaquants sont restés présents sur le serveur ou s'ils ont pu utiliser leur accès hautement privilégié pour commettre d'autres infractions graves. Les experts en sécurité ont déclaré que la gravité de la compromission du serveur, associée au vol des clés et au manque de détails de la part de NordVPN, soulevait de sérieuses préoccupations.
Voici ce que m'a dit Dan Guido, le PDG de la société de sécurité Trail of Bits:
Les secrets principaux compromis, comme ceux volés à NordVPN, peuvent être utilisés pour déchiffrer la fenêtre entre les renégociations de clés et emprunter l'identité de leurs services aux autres ... Je me moque de ce qui a été divulgué autant que de l'accès qui aurait été nécessaire pour l'atteindre. . Nous ne savons pas ce qui s'est passé, quels autres accès ont été obtenus ou quels abus ont pu être commis. Il existe de nombreuses possibilités une fois que vous avez accès à ces types de secrets principaux et d'accès au serveur racine.
Gestion à distance non sécurisée
Dans une déclaration aux journalistes, les responsables de NordVPN ont qualifié les dommages causés lors de l'attaque de limités.
Les officiels ont écrit:
Le serveur lui-même ne contenait aucun journal d'activité de l'utilisateur ... Aucune de nos applications n'envoyant des informations d'identification créées par l'utilisateur pour l'authentification, les noms d'utilisateur et les mots de passe n'ont donc pas pu être interceptés. Le fichier de configuration exact trouvé sur Internet par les chercheurs en sécurité a cessé d'exister le 5 mars 2018. Il s'agissait d'un cas isolé, aucun autre fournisseur de centre de données que nous utilisons n'a été affecté.
La faille résultait de l'exploitation par des pirates informatiques d'un système de gestion à distance non sécurisé que louaient les administrateurs d'un centre de données basé en Finlande installé sur un serveur NordVPN. Le centre de données sans nom, a indiqué le communiqué, a installé le système de gestion vulnérable sans le divulguer à son réseau NordVPN. NordVPN a résilié son contrat avec le centre de données après la découverte du système de gestion à distance quelques mois plus tard.
NordVPN a tout d'abord révélé la violation aux journalistes dimanche, après des reportages tiers comme celui-ci sur Twitter. Selon le communiqué, les responsables de NordVPN n'ont pas révélé l'infraction à leurs clients, mais ont assuré que le reste de son réseau n'était pas vulnérable à des attaques similaires.
La déclaration a ensuite fait référence à la clé TLS comme expirée, même si elle était valide pendant sept mois après la violation. Les responsables de l'entreprise ont écrit:
La clé TLS expirée a été prise au moment où le centre de données était exploité. Cependant, la clé n'aurait pas pu être utilisée pour décrypter le trafic VPN d'un autre serveur. Sur la même note, le seul moyen possible d’abuser du trafic du site Web consistait à lancer une attaque personnalisée et complexe par MiTM afin d’intercepter une seule connexion essayant d’accéder à nordvpn.com .