NordVPN. C’est sûrement un nom que vous avez déjà entendu si vous fréquentez YouTube. Rien d’étonnant. Voilà plusieurs mois que l’entreprise rémunère divers vidéastes (comme In The Panda, Nota Bene, Dirty Biology, Linguisticae ou encore PewDiePie) pour faire la promotion de son service de VPN. Mais depuis ce week-end, vous avez peut-être entendu parler de ce fournisseur de service pour une autre raison.
Acronyme anglais de réseau privé virtuel (Virtual Private Network). Lorsqu’un service VPN est utilisé, la connexion de l’internaute passe d’abord par une sorte de point de passage (le VPN) avant d’atteindre le site demandé par l’internaute. Le site visité ne peut pas connaître la vraie provenance de l’internaute : il ne voit que l’emplacement du dernier point de passage, qui peut être en France ou à l’étranger.
En effet, la plateforme est au cœur d’une polémique portant sur le degré de sécurité qu’elle propose à sa clientèle. Le 20 octobre, il a été constaté que l’infrastructure de NordVPN a été compromise et que des clés privées de chiffrement (qui ont expiré) ont pu être récupérées. L’incident a été confirmé le 21 octobre par NordVPN, mais sa portée a été fortement remise en question.
Les faits sont les suivants : en mars 2018, un accès frauduleux est survenu dans un centre de traitement des données en Finlande, via une vulnérabilité qui n’a pas été signalée par l’un des prestataires de NordVPN en matière de serveurs. À la suite de cette découverte, « survenue il y a quelques mois », les équipes de NordVPN ont audité le réseau et « accéléré le chiffrement de l’ensemble des serveurs ».
Les serveurs en cause étaient loués et NordVPN explique que l’assaillant a exploité un service de « remote management » (un système de gestion à distance) non sécurisé qui a été laissé par ledit prestataire. Or, assure l’entreprise, elle ignorait qu’un tel dispositif existait. Selon NordVPN, aucun autre de ses serveurs (il y en a plus de 3 000) n’a été touché par ce problème.
Pas de donnée ou d’historique de surf en péril
Selon NordVPN, aucune donnée personnelle n’a été dérobée — ce qui aurait requis une notification auprès des autorités de contrôle comme la CNIL, si des informations liées à des internautes européens avaient été aspirées, mais aussi auprès des internautes (en effet, le Règlement général sur la protection des données prévoit des mécanismes en cas d’infraction et des sanctions si les procédures sont enfreintes).
« Le serveur lui-même ne contenait aucun journal des activités des utilisateurs », explique la plateforme. Elle affirme d’ailleurs avoir une politique d’absence de conservation de registre d’activité. « Aucune de nos applications n’envoyait d’éléments de connexion créés par les utilisateurs à des fins d’authentification, de sorte que les noms d’utilisateur et les mots de passe n’ont pu être interceptés non plus ».
Quant à la clé qui a été récupérée, NordVPN assure qu’elle ne sert à rien. « La clé n’a pas pu être utilisée pour déchiffrer le trafic par VPN d’un autre serveur » que celui qui est localisé en Finlande. L’entreprise assure donc que les activités des internautes qui ont transité par ses services sont demeurées confidentielles. La seule manière de faire serait de procéder à une attaque spécifique et ciblée, dont il n’est pas question ici.
Outre les mesures de renforcement de la sécurité (audit, élargissement du chiffrement), la firme a enclenché d’autres actions : le contrat avec le prestataire a été résilié sans attendre et la totalité des serveurs loués et mis en cause a été détruite. NordVPN explique qu’il n’a pas voulu prendre la parole plus tôt, parce que la compagnie souhaitait vérifier que le souci n’existait pas sous cette forme ou une autre ailleurs.
Un tweet maladroit au mauvais moment
En parallèle, NordVPN a également supprimé un tweet (mais qui a été immortalisé par de nombreuses captures d’écran) promotionnel qui défiait les hackeurs : « aucun hacker ne peut voler votre vie en ligne (si vous utilisez VPN). Restez en sécurité », claironnait le message. Finalement, l’entreprise a jugé préférable de le retirer devant le tollé qui est vite apparu sur les réseaux sociaux et l’affaire du serveur compromis.
« Notre département marketing a publié une annonce sur Twitter qui a mis en émoi la communauté des spécialistes en sécurité informatique. […] Leur critique, comme toujours, a été rapide et précise, dénonçant l’excès du message. L’annonce a été retirée juste après avoir été remarquée par notre direction. […] Nous l’avons supprimée parce que le texte manquait de contrôle éditorial », explique la société.
Manque de chance pour NordVPN, la survenue fortuite de ces deux évènements — le tweet ainsi que les révélations sur une vieille brèche — au même moment est en train d’être « amalgamée » par des internautes, qui tendent à établir une sorte de lien de cause à effet, en supposant que le message provocateur aurait poussé des hackeurs à s’en prendre à NordVPN pour lui rabattre le caquet.
La chronologie des évènements relatée par NordVPN montre qu’il n’y a pas de causalité entre les deux évènements, puisque l’exploitation de la brèche a eu lieu il y a plus d’un an. L’entreprise expliquait d’ailleurs, à la suite de ses messages expliquant le retrait de son tweet promotionnel, « attendre que ses techniciens lui fournissent tous les détails ». Mais l’effet sur l’image de marque risque d’être terrible.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !