NordVPN connaît une fin d'octobre mouvementée. Un incident de sécurité a été mis en lumière sur les réseaux sociaux, obligeant l'entreprise spécialisée dans le VPN à réagir. Elle assure que le problème n'est pas critique.

NordVPN. C’est sûrement un nom que vous avez déjà entendu si vous fréquentez YouTube. Rien d’étonnant. Voilà plusieurs mois que l’entreprise rémunère divers vidéastes (comme In The Panda, Nota Bene, Dirty Biology, Linguisticae ou encore PewDiePie) pour faire la promotion de son service de VPN. Mais depuis ce week-end, vous avez peut-être entendu parler de ce fournisseur de service pour une autre raison.

En effet, la plateforme est au cœur d’une polémique portant sur le degré de sécurité qu’elle propose à sa clientèle. Le 20 octobre, il a été constaté que l’infrastructure de NordVPN a été compromise et que des clés privées de chiffrement (qui ont expiré) ont pu être récupérées. L’incident a été confirmé le 21 octobre par NordVPN, mais sa portée a été fortement remise en question.

Les faits sont les suivants :  en mars 2018, un accès frauduleux est survenu dans un centre de traitement des données en Finlande, via une vulnérabilité qui n’a pas été signalée par l’un des prestataires de NordVPN en matière de serveurs. À la suite de cette découverte, « survenue il y a quelques mois », les équipes de NordVPN ont audité le réseau et « accéléré le chiffrement de l’ensemble des serveurs ».

Les serveurs en cause étaient loués et NordVPN explique que l’assaillant a exploité un service de « remote management » (un système de gestion à distance) non sécurisé qui a été laissé par ledit prestataire. Or, assure l’entreprise, elle ignorait qu’un tel dispositif existait. Selon NordVPN, aucun autre de ses serveurs (il y en a plus de 3 000) n’a été touché par ce problème.

En principe, un VPN sécurise une connexion Internet entre l’utilisateur et les sites qu’il visite. // Source : Claire Braikeh pour Numerama

Pas de donnée ou d’historique de surf en péril

Selon NordVPN, aucune donnée personnelle n’a été dérobée — ce qui aurait requis une notification auprès des autorités de contrôle comme la CNIL, si des informations liées à des internautes européens avaient été aspirées, mais aussi auprès des internautes (en effet, le Règlement général sur la protection des données prévoit des mécanismes en cas d’infraction et des sanctions si les procédures sont enfreintes).

« Le serveur lui-même ne contenait aucun journal des activités des utilisateurs », explique la plateforme. Elle affirme d’ailleurs avoir une politique d’absence de conservation de registre d’activité. « Aucune de nos applications n’envoyait d’éléments de connexion créés par les utilisateurs à des fins d’authentification, de sorte que les noms d’utilisateur et les mots de passe n’ont pu être interceptés non plus ».

NordVPN existe aussi sur mobile. // Source : NordVPN

Quant à la clé qui a été récupérée, NordVPN assure qu’elle ne sert à rien. «  La clé n’a pas pu être utilisée pour déchiffrer le trafic par VPN d’un autre serveur » que celui qui est localisé en Finlande. L’entreprise assure donc que les activités des internautes qui ont transité par ses services sont demeurées confidentielles. La seule manière de faire serait de procéder à une attaque spécifique et ciblée, dont il n’est pas question ici.

Outre les mesures de renforcement de la sécurité (audit, élargissement du chiffrement), la firme a enclenché d’autres actions : le contrat avec le prestataire a été résilié sans attendre et la totalité des serveurs loués et mis en cause a été détruite. NordVPN explique qu’il n’a pas voulu prendre la parole plus tôt, parce que la compagnie souhaitait vérifier que le souci n’existait pas sous cette forme ou une autre ailleurs.

Un tweet maladroit au mauvais moment

En parallèle, NordVPN a également supprimé un tweet (mais qui a été immortalisé par de nombreuses captures d’écran) promotionnel qui défiait les hackeurs : « aucun hacker ne peut voler votre vie en ligne (si vous utilisez VPN). Restez en sécurité », claironnait le message. Finalement, l’entreprise a jugé préférable de le retirer devant le tollé qui est vite apparu sur les réseaux sociaux et l’affaire du serveur compromis.

NordVPN tweet
Le tweet provocateur. Trop pour la communauté des spécialistes en sécurité informatique.

« Notre département marketing a publié une annonce sur Twitter qui a mis en émoi la communauté des spécialistes en sécurité informatique. […] Leur critique, comme toujours, a été rapide et précise, dénonçant l’excès du message. L’annonce a été retirée juste après avoir été remarquée par notre direction. […] Nous l’avons supprimée parce que le texte manquait de contrôle éditorial », explique la société.

Manque de chance pour NordVPN, la survenue fortuite de ces deux évènements — le tweet ainsi que les révélations sur une vieille brèche — au même moment est en train d’être « amalgamée » par des internautes, qui tendent à établir une sorte de lien de cause à effet, en supposant que le message provocateur aurait poussé des hackeurs à s’en prendre à NordVPN pour lui rabattre le caquet.

La chronologie des évènements relatée par NordVPN montre qu’il n’y a pas de causalité entre les deux évènements, puisque l’exploitation de la brèche a eu lieu il y a plus d’un an. L’entreprise expliquait d’ailleurs, à la suite de ses messages expliquant le retrait de son tweet promotionnel, « attendre que ses techniciens lui fournissent tous les détails ». Mais l’effet sur l’image de marque risque d’être terrible.

Partager sur les réseaux sociaux