Mozilla a partagé les conclusions d'un audit de sécurité indépendant, qui a relevé trois vulnérabilités dans son VPN. Deux ont été corrigées. Quant à la dernière, elle implique une fonctionnalité trop intéressante pour les internautes.

Sauf peut-être dans la science-fiction, les systèmes informatiques invulnérables et sans défaut n’existent pas. Les réseaux privés virtuels (VPN) opérés par toutes sortes d’entreprises, malgré une communication parfois grandiloquente, peuvent donc eux aussi rencontrer ponctuellement des dysfonctionnements et des faiblesses. Tout l’enjeu est de les repérer le plus tôt possible et de les corriger.

Mozilla, qui s’est aussi lancé sur ce marché avec sa propre solution (plus exactement, le service s’appuie dans le cadre d’un partenariat avec le prestataire Mullvad), s’est plié à un audit de sécurité indépendant, pour à la fois illustrer le sérieux avec lequel il l’a conçue et faire preuve de transparence. Car plus que des promesses, ce qu’attendent de nombreux internautes, ce sont des éléments concrets.

Trois failles dénichées, deux corrigée. Et la dernière ?

Pour cela, Mozilla a fait appel à une entreprise allemande spécialisée en cybersécurité, Cure53, de contrôler son VPN. Il s’agissait plus précisément de lui demander de faire un point sur l’application Mozilla VPN Qt5, dans ses déclinaisons pour Windows, macOS, Linux, Android et iOS. Pour résumé, l’audit a permis de dégager trois failles de sécurité, dont deux ont été corrigées.

Seulement deux ? En fait, Mozilla explique dans une publication dédiée pourquoi une de ces trois vulnérabilités a été laissée en l’état. L’entreprise souligne tout d’abord que son degré de gravité a été jugé modéré (les deux autres, qui ont été résolues, ont été classées pour l’une au rang de faille grave et l’autre au niveau de brèche moyenne). En outre, il a été estimé que la balance risque-bénéfice valait le coup de la garder.

Mozilla VPN
Mozilla s’est lancé en 2020 dans le marché des VPN. L’offre est disponible en France depuis ce printemps. // Source : Mozilla

La brèche en question, qui est décrite comme une fuite VPN via la détection du portail captif, se déclenche dans des circonstances particulières. Il est expliqué que « le client VPN Mozilla permet d’envoyer des requêtes HTTP non chiffrées en dehors du tunnel à des adresses IP spécifiques, si le mécanisme de détection du portail captif a été activé par le biais des paramètres. »

On parle de tunnel, parce que l’idée générale avec un VPN est de faire passer la connexion à Internet dans un tunnel chiffré, de façon à empêcher les regards indiscrets de voir ce que vous faites sur le net. En outre, le tunnel en question s’efforce en général de faire passer la connexion par des serveurs dispatchés un peu partout dans le monde, afin de ne pas dire au site visité quelle est votre véritable localisation.

La société relève toutefois que « l’algorithme de détection du portail captif nécessite un point de terminaison HTTP de confiance en clair pour fonctionner. Firefox, Chrome, le gestionnaire de réseau de MacOS et de nombreuses applications ont une solution similaire activée par défaut. Mozilla VPN utilise le point de terminaison de Firefox. » Dès lors le risque parait acceptable au regard des avantages pour l’internaute.

Concernant les deux autres problèmes, le premier et le plus grave était un détournement de WebSocket intersite. La bonne nouvelle, c’est que l’interface WebSocket n’était utilisée que dans les versions de test de l’app. Elle ne figurait pas dans la version finale. Aucun client n’a été affecté. Quant à l’autre souci, il s’agissait d’un risque pouvant divulguer le code d’authentification pourrait par injection d’un port.

En définitive, les avantages pour l’utilisateur l’emportent sur le risque pour la sécurité

Le VPN de Mozilla est commercialement disponible depuis fin avril 2021 en France et dans quelques autres pays depuis l’été 2020. La plateforme est entrée dans un marché qui est extrêmement concurrentiel (nous avons un comparateur, tant les solutions sont légion : NordVPN, Surfshark, Cyberghost, ProtonVPN, ExpressVPN, VyprVPN — pour ne citer que celles que nous avons regardées).

Les usages d’un VPN sont multiples et peuvent servir à des activités licites ou non. On peut s’en servir par exemple pour augmenter la confidentialité de ses activités en ligne, pour des raisons de vie privée. Cela permet d’aller voir des catalogues étrangers sur des sites de SVOD ou bien d’accéder à des sites de presse bloqués en Europe en raison du RGPD. Mais les VPN sont aussi commodes pour pirater en toute discrétion.

Dans le cas du VPN de Mozilla, l’offre est payante (de 4,99 à 9,99 euros par mois selon l’abonnement retenu). Cette facturation garantit le fait que le VPN est financé par de l’argent et non pas autrement, comme la monétisation de données personnelles. Il donne accès à plus de 750 serveurs dans 30 pays, avec absence de conservation d’historique et chiffrement de l’activité.

Vous vous demandez quel est le meilleur VPN ?

Partager sur les réseaux sociaux

La suite en vidéo