NordVPN confirme avoir été piraté, les dégâts seraient limités

NordVPN confirme avoir été piraté, les dégâts seraient limités

NordVPN confirme avoir été piraté, les dégâts seraient limités

Une rumeur circulait autour du prestataire : au moins un serveur aurait été compromis. L’entreprise a confirmé l’attaque, qui s’est produite en mars 2018.

À TechCrunch, la porte-parole Laura Tyrell a déclaré : « On a accédé sans autorisation à l’un des centres de données que nous louons en Finlande. Le serveur lui-même ne contient aucun journal d’activité. Aucune de nos applications n’envoie d’identifiants créés par l’utilisateur pour authentification, ils n’auraient donc pas pu être interceptés ».

L’accès a pu se faire par la conjonction de deux facteurs. Une vieille clé expirée de NordVPN, et surtout une fonction d’administration à distance laissée active par le prestataire louant les centres de données. NordVPN a indiqué ne pas avoir été au courant de ce service.

L’entreprise n’a été informée qu’il y a quelques mois et voulait être « sûre à 100 % » que l’ensemble des composants étaient désormais sécurisés. En outre, la fameuse clé expirée n’aurait jamais pu servir à déchiffrer le contenu.

NordVPN ne nie pas qu’une récupération des contenus circulant dans son produit aurait pu se faire, mais au prix d’une « attaque personnalisée et complexe » pour chaque connexion.

Un chercheur intervenant anonymement auprès de TechCrunch se veut pour sa part beaucoup plus pessimiste. En dépit des annonces rassurantes, il estime que NordVPN a tout ignoré d’une brèche majeure dans sa sécurité pendant de longs mois.

L’entreprise a depuis installé diverses technologies de détection d’intrusions, mais elles auraient dû être en place depuis longtemps plutôt que de « dépenser des millions de dollars en publicité ». Une campagne en fait proche du matraquage, tant NordVPN était visible partout, notamment en sponsorisant des youtubeurs très en vue.

Le chercheur met également en garde : le cas devrait au moins interroger sur la fiabilité générale des VPN. Il ne s’agit pas de solutions magiques, même si le concept central est aussi séduisant que pratique : faire transiter tout le contenu à travers un canal chiffré, permettant en théorie d’échapper à toute détection.

D’autant que NordVPN n’était pas seul. TorGuard a confirmé qu’un serveur avait été compromis en 2017, sans accès aux données. VikingVPN serait également concerné, mais n’a pas encore réagi.

Commentaires (26)


L’article d’arstechnica est moins tendre envers NordVPN :

https://arstechnica.com/information-technology/2019/10/hackers-steal-secret-cryp…



On ne peut accorder que peu de confiance à des fournisseurs de VPN tiers… (fausse entreprise gérée par des organismes d’état, boites malveillantes, boites dont les notions de sécu sont toutes relatives…)


J’espère qu’ils vont en parler dans les pubs YT. <img data-src=" />




L’entreprise a depuis installé diverses technologies de détection

d’intrusions, mais elles auraient&nbsp;dû être en place depuis longtemps

plutôt que « dépenser des millions de dollars en publicité ».





Heu… Lol.

&nbsp;

Je crois que le chercheur se fait un peu trop d’idées sur le cout de la pub et du sponsoring des youtubeurs.

On est bien loin du million d’euros dépensé.


Levez les yeux au ciel…

Et à la revoyure.


Tu es sûr ? À l’échelle mondiale, ça ne me semble pas déconnant comme chiffre.


Ils font aussi de la pub à la TV il me semble, à grand renfort de “sécuriser vos communications” (#LOL).


Je ne sais pas ce que ça vaut, mais il y a quelques infos ici sur NordVPN et ses apparentes ramifications avec d’autres filiales.


De toute façon la plupart utilise ce service pour télécharger en bittorrent et pour regarder Netflix US… Donc piraté ou pas, ça fonctionne quand même <img data-src=" />


tu n’en sais rien.

j’ai effectivement démarré une fois netflix usa pour voir le catalogue sans regarder et torrent ca fait longtemps que je ne l’utilise plus. je l’ai déjà utilisé pour acheter des produits zonés perso.

dans le flux tu auras effectivement des gens qui l’utilisent pour être discret / intracable et je pense que pour ces gens le soucis est bien réel.

(après on est d’accord osef de tes flux vidéos sur youtube)


De tout façon anonymat et internet son antinomique.



L’anonymat n’est qu’une illusion. tout ce joue sur la balance entre effort consacré pour avoir l’information versus pérennité de cette même information.


Qu’est ce que tu appelles des fournisseurs de VPN tiers ?

C’est par rapport à des solutions basées sur OpenVPN par exemple ?


Astronogeek !!!&nbsp;<img data-src=" />








js2082 a écrit :



Heu… Lol.

&nbsp;

Je crois que le chercheur se fait un peu trop d’idées sur le cout de la pub et du sponsoring des youtubeurs.

On est bien loin du million d’euros dépensé.





En 2018, rien que sur CNN, le budget était quasiment de 500K $ !









Viysire a écrit :



Qu’est ce que tu appelles des fournisseurs de VPN tiers ?

C’est par rapport à des solutions basées sur OpenVPN par exemple ?





Oui, un VPN installé sur une machine chez soi (pour les accès lors d’un déplacement, genre hôtel…), ou à la rigueur sur un serveur que l’on administre totalement chez un hébergeur.



Des exemples donnés dans les commentaires de l’article arstechnica :

https://github.com/Nyr/openvpn-install

https://github.com/hwdsl2/setup-ipsec-vpn









bilbonsacquet a écrit :



Oui, un VPN installé sur une machine chez soi (pour les accès lors d’un déplacement, genre hôtel…), ou à la rigueur sur un serveur que l’on administre totalement chez un hébergeur.



Des exemples donnés dans les commentaires de l’article arstechnica :

https://github.com/Nyr/openvpn-install

https://github.com/hwdsl2/setup-ipsec-vpn



Ce que tu proposes n’a pas le même but que des solutions comme NordVPN, justement.

Monter un VPN chez soi pour accéder à un truc bloqué géographiquement ou camoufler son IP n’a aucun intérêt, par ex.



Tu peux louer un serveur dans le pays qui t’intéresse.








Patch a écrit :



Ce que tu proposes n’a pas le même but que des solutions comme NordVPN, justement.

Monter un VPN chez soi pour accéder à un truc bloqué géographiquement ou camoufler son IP n’a aucun intérêt, par ex.





C’est pour cela que j’ai écrit : “ou à la rigueur sur un serveur que l’on administre totalement chez un hébergeur.” Celui-ci pouvant se trouver dans un autre pays…



Après, les lois étrangères s’appliquent sur le serveur en question donc attention à ce qu’on fait dessus…



Nord VPN ne faisait pas que de la pub sur YT, ils matraquaient aussi les gens via la télévision.



c’est la première fois que je voyais une pub “youtube” à la télé aux US.



Je pense qu’il parlait de ça.


J’ai une idée : il faut souscrire auprès de 2 VPN, et utiliser le 2e à partir du 1er, comme ça il faut que les 2 soient compromis pour que ça pose un souci ;-) .


Déconne pas, au boulot ça m’arrive assez souvent de faire un tunnel SSH dans la connexion VPN pour accéder à une interface web HTTPS derrière un NAT <img data-src=" />








bilbonsacquet a écrit :



C’est pour cela que j’ai écrit : “ou à la rigueur sur un serveur que l’on administre totalement chez un hébergeur.” Celui-ci pouvant se trouver dans un autre pays…



Après, les lois étrangères s’appliquent sur le serveur en question donc attention à ce qu’on fait dessus…





Après, ce serveur (ou VM) il faut quand même bien le payer. Et là, c’est traçable. Ou alors faut payer en bitcoins (ce qui n’est pas infaillible non plus)



Article à garder au prochain titre lié aux piratins qui chantent en chœur “on utilise un VPN donc tu nous trouveras pas”.

Plus y’a d’intermédiaires, plus on perd de maîtrise, plus on prend de risque.








SebGF a écrit :



Plus y’a d’intermédiaires, plus on perd de maîtrise, plus on prend de risque.





<img data-src=" />









DoWnR a écrit :



Déconne pas, au boulot ça m’arrive assez souvent de faire un tunnel SSH dans la connexion VPN pour accéder à une interface web HTTPS derrière un NAT <img data-src=" />





C’est là où régulièrement je regrette le vrai Internet des débuts, où il n’y avait pas tous ces firewalls et tous ces NAT qui compliquent la vie (et les activités normales).









OB a écrit :



Après, ce serveur (ou VM) il faut quand même bien le payer. Et là, c’est traçable.





Oui, mais tout dépend de la quantité de couche : transit via plusieurs comptes paypal par ex, utilisation de Tor…



Bref, c’est pas les possibilités qui manquent…



Dans mon entreprise, nous utilisons nordVPN pour les entrepriseshttps://nordvpnteams.com/ et semble être sûr. Je ne sais pas si cet événement les a touchés, mais j’espère que non.


Fermer