Lancé officiellement en juillet 2020, le VPN de Mozilla n’est arrivé en France qu’en mai dernier (nous l'avions alors testé et opposé à Proton VPN). Notre #Brief de la rentrée 2021 sur les failles de sécurité montre qu’il ne faut pas faire confiance aveuglément à une application.
Afin de montrer patte blanche avec son VPN, Mozilla a demandé à Cure53, une société spécialisée dans la cybersécurité – de réaliser un audit de son service. Il en est ressorti « deux problèmes de gravité moyenne et un problème de gravité élevée ». Ils sont détaillés dans ce billet de blog. L’audit complet se trouve par là.
La vulnérabilité avec un risque élevé ne concernait que des pré-versions de l’application et « aucun client n'a été affecté ». Elle a évidemment été bouchée. Un des deux problèmes de niveau moyen a été corrigé, tandis que le second (FVP-02-001) reste en l’état car « les avantages pour l'utilisateur […] l'emportent sur le risque de sécurité ».
Commentaires (8)
#1
Utilisateur de Proton VPN, J’en suis fort satisfait. Il m’arrive d’utiliser deux VPN simultanément, l’un dans le navigateur et l’autre Proton VPN sans constater de baisse du débit de ma connexion. Ni latence ni ralentissement.
Sinon, la solution Mozilla VPN pose un grave problème pas abordé : cette entreprise étasunienne est soumise au Patriot Act et ne refusera rien, jamais, aux autorités des USA. Ni elle ni son prestataire. Dans ces conditions, payer pour avoir le droit d’être espionnés, faut juste être idiot. Comme tous les geeks sont culturellement et politiquement les “idiots utiles” de la NSA et alii, personne ne signale ce point.
#1.1
Mais le Patrioct Act ne concerne-t-il pas uniquement les citoyens américains ?
#1.2
C’est le cloud act et non ça n’a rien à voir avec la nationalité de la personne espionnée, uniquement si l’entreprise à une filiale au US.
#1.3
Ouch oui, j’ai confondu avec le récent CLOUD Act
#1.4
Mozilla a un contrat avec Mullvad pour son offre VPN si je ne me trompe et ils ne sont pas americain du tout mais de Suède.
#2
#3
https://blog.mozilla.org/security/2021/08/31/mozilla-vpn-security-audit/
FVP-02-014: Cross-site WebSocket hijacking (High)
Mozilla VPN client, when put in debug mode, exposes a WebSocket interface to localhost to trigger events and retrieve logs (most of the functional tests are written on top of this interface). As the WebSocket interface was used only in pre-release test builds, no customers were affected. Cure53 has verified that this item has been properly fixed and the security risk no longer exists.
FVP-02-001: VPN leak via captive portal detection (Medium)
Mozilla VPN client allows sending unencrypted HTTP requests outside of the tunnel to specific IP addresses, if the captive portal detection mechanism has been activated through settings. However, the captive portal detection algorithm requires a plain-text HTTP trusted endpoint to operate. Firefox, Chrome, the network manager of MacOS and many applications have a similar solution enabled by default. Mozilla VPN utilizes the Firefox endpoint. Ultimately, we have accepted this finding as the user benefits of captive portal detection outweigh the security risk.
FVP-02-016: Auth code could be leaked by injecting port (Medium)![]()
element after the user signs into the web page. It was found that the port parameter could be of an arbitrary value. Further, it was possible to inject the @ sign, so that the request will go to an arbitrary host instead of localhost (the site’s strict Content Security Policy prevented such requests from being sent). We fixed this issue by improving the port number parsing in the REST API component. The fix includes several tests to prevent similar errors in the future.
When a user wants to log into Mozilla VPN, the VPN client will make a request to https://vpn.mozilla.org/api/v2/vpn/login/windows to obtain an authorization URL. The endpoint takes a port parameter that will be reflected in a
Quelqu’un peut m’expliquer FVP-02-001 en donnant un exemple ?
#4
Un “captive portal” c’est une page de connexion forcée lorsqu’on utilise un wifi public par exemple.
Et il ne faut évidemment pas que la connexion à ce genre de pages passe par le VPN…