Le 21 janvier 2020, le fournisseur de VPN ProtonVPN a annoncé qu'il avait commandé un audit de sécurité indépendant, entrepris par le cabinet de conseil en sécurité SEC Consult.

ProtonVPN, détenue par la société mère Proton Technologies AG, a rendu publique une version abrégée de cet audit (contenant toutes les vulnérabilités potentielles). Tout le monde peut voir les résultats pour Android, iOS, MacOS et Windows sur son site Web.

Chaque rapport d'audit examine les failles de sécurité potentielles d'une application avant et après l'enquête de SEC Consult.

Sur toutes les plateformes, la consultation n'a trouvé que des vulnérabilités à risque faible et moyen. Dans le rapport, SEC Consult confirme que toutes ces vulnérabilités ont été corrigées ou acceptées par Proton Technologies.

Dans les cas où les vulnérabilités ont été acceptées plutôt que corrigées, Proton Technologies a fourni des commentaires dans le rapport expliquant cette décision.

L'audit a été effectué sur une base de «timebox». Cela signifie que SEC Consult a recherché des vulnérabilités dans l'application pendant une durée définie - dans ce cas, une période de six jours pour chaque application..

Bien que cette approche signifie que l'audit de sécurité ne peut pas être considéré comme exhaustif, ProtonVPN a également rendu les quatre applications open source, permettant à tous les professionnels de la sécurité ou aux utilisateurs d'inspecter le code pour détecter les vulnérabilités.

ProtonVPN prétend être «le premier fournisseur VPN à publier son code source sur toutes les plateformes et à mener un audit de sécurité indépendant».

NordVPN, ExpressVPN, Surfshark et Tunnelbear sont parmi les autres fournisseurs VPN à entreprendre des audits de sécurité de tout ou partie de leurs applications.

Il existe également d'autres VPN, tels que AirVPN et Mullvad, qui développent des applications entièrement open source.

Mullvad a également entrepris un audit de sécurité - mais pas sur iOS, pour lequel il n'a pas d'application pour.

ProtonVPN n'est peut-être pas le seul VPN à avoir subi des audits indépendants et à rendre toutes ses applications open-source, mais il est désormais en tête du peloton.

S'exprimant sur l'annonce, le rédacteur en chef de Top10VPN.com, Callum Tennent, a déclaré: «Nous sommes ravis de voir les mesures prises par ProtonVPN. La transparence et la confiance sont si importantes pour un VPN, et la combinaison d'un audit externe indépendant et d'un produit open source est une énorme assurance.

«Nous espérons sincèrement que davantage de VPN adopteront une approche similaire. Les audits sont devenus de plus en plus courants, et il est certain que le nombre de fournisseurs VPN qui les subiront augmentera en 2020 - mais la programmation open source est encore étrangement rare.

«Avec les yeux des hackers et des mordus de la vie privée du monde désormais entièrement fixés sur le code source de ProtonVPN, nous sommes convaincus que ce sera un produit plus sûr et plus sécurisé que jamais.»

Utiliser des logiciels open source et permettre à des tiers de confiance d'auditer à la fois leurs logiciels et leurs processus sont deux méthodes que les fournisseurs VPN ont essayé d'utiliser pour établir la confiance avec leurs utilisateurs.

Dans une déclaration sur l'audit, le PDG de ProtonVPN, Andy Yen, a déclaré: «Les services VPN peuvent techniquement accéder à certaines données utilisateur très sensibles, c'est pourquoi les utilisateurs devraient choisir des services ayant fait leurs preuves en matière de transparence et de sécurité..

Photo du cofondateur et PDG de ProtonVPN, Andy Yen

Co-fondateur et PDG de ProtonVPN, Andy Yen

«Cette confiance doit être gagnée et, en publiant notre code, nous espérons démontrer notre engagement à toujours aller au-delà des attentes en matière de sécurité et de priorité aux utilisateurs.»

En vérifiant la sécurité de ses applications, ProtonVPN a aidé à garantir aux utilisateurs que son service est sécurisé. Mais, puisque cet audit concerne les clients et non les pratiques de journalisation de ProtonVPN, il ne peut garantir que le fournisseur VPN fait exactement ce qu'il dit dans sa politique de confidentialité..

Il est toujours conseillé aux utilisateurs d'enquêter sur le contenu d'un audit, car ils enquêtent souvent dans une portée prédéfinie, qui peut ne pas inclure certaines applications ou politiques.

Un nouvel audit côté serveur serait nécessaire pour prouver que ProtonVPN est conforme à sa politique de journalisation.

Les audits des applications Android et Windows ont été effectués au premier trimestre 2019, et les deux ont renvoyé une classification initiale des risques de support de l'auditeur.

SEC Consult a identifié quatre vulnérabilités à faible risque et une vulnérabilité à haut risque dans l'application Android, ainsi que deux vulnérabilités à faible risque et deux vulnérabilités à risque moyen dans l'application de bureau.

Dans l'application Android, toutes les vulnérabilités à faible risque sauf deux ont été corrigées, intitulées «Debug Messages Enabled» et «Hardcoded Credentials / Imperfect Data Encryption».

La première vulnérabilité Android acceptée par Proton Technologies était la présence de messages de débogage contenant des données potentiellement sensibles - en particulier les informations d'identification de protocole OpenVPN et IKEv2.

Proton Technologies considère que ces informations présentent un faible risque, car elles sont «conçues pour être distinctes des informations d'identification du compte d'un utilisateur». De plus, il déclare que ce journal de débogage est indépendant de la volonté de l'application elle-même..

L'autre vulnérabilité acceptée par Proton Technologies sur Android est la présence d'informations d'identification dans le binaire de l'application qui, avec un ID d'appareil unique, pourraient être utilisées pour décrypter les données de l'application. Proton technologies AG a répondu à cela en disant que ces informations d'identification sont utilisées pour envoyer des rapports d'exception à son système de journalisation, ajoutant que «le point de terminaison de l'API pour les rapports est rare limité [sic]».

Sous Windows, les deux vulnérabilités à faible risque ont été corrigées et les deux vulnérabilités à risque moyen ont été acceptées.

Une vulnérabilité acceptée mais non corrigée par Proton Technologies était le stockage persistant des jetons de session en texte brut et des informations d'identification VPN. Le fournisseur VPN a répondu en déclarant que «les ramasse-miettes .NET et GO sont hors de notre contrôle et qu'il n'y a aucun moyen de les forcer de manière déterministe à effacer la mémoire inutilisée».

Les jetons de session et les informations d'identification VPN stockés dans ce scénario sont invalidés immédiatement après la déconnexion.

SEC Consult a également identifié une vulnérabilité potentielle dans le codage en dur des informations d'identification dans l'application. Proton Technologies a accepté mais n'a pas résolu cette vulnérabilité, déclarant que les informations d'identification sont des clés OpenVPN TLS-auth, qui sont déjà distribuées ouvertement dans des fichiers de configuration.

Proton Technologies a précisé: «Il n'est pas utilisé pour l'authentification d'un serveur à un client ou vice-versa - il existe des systèmes distincts pour gérer ces fonctions. Ainsi, le fait de disposer de ces informations ne permet pas à un attaquant d'usurper l'identité d'un serveur / utilisateur ou d'une attaque MITM [Man in the Middle]. »

Une deuxième série d'audits a été réalisée en août 2019, cette fois pour les applications iOS et MacOS.

L'audit MacOS n'a trouvé aucune vulnérabilité et l'audit iOS n'a trouvé que deux vulnérabilités à faible risque. L'une de ces vulnérabilités a été corrigée et l'autre, «Application mobile s'exécute sur un appareil jailbreaké ou enraciné» a été acceptée.

Dans une note sur la décision de ne pas remédier à cette vulnérabilité à faible risque, Proton Technologies a déclaré: «Nous ne corrigerons pas car il n'y a pas de solution unique pour détecter de manière fiable si un appareil iOS a été jailbreaké ou enraciné. En outre, nous attendons des utilisateurs qu'ils soient responsables de la sécurité de leur appareil une fois jailbreaké ou enraciné. »

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me