Mozilla a publié les résultats d'un récent audit de sécurité tiers de ses services VPN dans le cadre de son engagement en faveur de la confidentialité et de la sécurité des utilisateurs. L'enquête a révélé des problèmes de sécurité qui ont été présentés à Mozilla pour être résolus avec des correctifs garantissant la confidentialité et la sécurité des utilisateurs.
De nombreux spécialistes du marketing de recherche utilisent des VPN dans le cadre de leurs activités, en particulier lorsqu'ils utilisent une connexion Wi-Fi, afin de protéger les données sensibles. La fiabilité d'un VNP est donc essentielle.
VPN Mozilla
Un réseau privé virtuel (VPN) est un service qui masque (crypte) le trafic Internet d'un utilisateur afin qu'aucun tiers (comme un FAI) ne puisse espionner et voir quels sites un utilisateur visite.
Les VPN ajoutent également une couche de sécurité contre les activités malveillantes telles que le détournement de session, qui peut donner à un attaquant un accès complet aux sites Web visités par un utilisateur.
Les utilisateurs s’attendent beaucoup à ce que le VPN protège leur vie privée lorsqu’ils naviguent sur Internet.
Mozilla fait donc appel aux services d'un tiers pour effectuer un audit de sécurité afin de s'assurer que son VPN est complètement verrouillé.
Mozilla VPN a une sécurité renforcée
Le fournisseur de sécurité a noté dans son rapport que le VPN Mozilla avait bien fait, comme les mesures de sauvegarde prises pour les versions Linux et MacOS, avec une mention spéciale sur la mise en œuvre de la gestion des clés.
Des observations similaires ont été faites concernant l'implémentation de Windows, notamment la vérification des problèmes spécifiques à Windows 10 liés aux fuites DNS, mais le fournisseur de sécurité, Cure53, a constaté qu'il était étroitement verrouillé.
Le fournisseur de sécurité a noté :
« Malgré les approches exhaustives de l'équipe d'audit, aucune lacune associée n'a été découverte à cet égard. L'application VPN Windows tire parti du stockage des informations d'identification du système pour stocker les données d'authentification en toute sécurité.
Néanmoins, le fournisseur de sécurité a noté que davantage de problèmes de sécurité avaient été découverts lors de cet audit et a recommandé que davantage de ressources soient consacrées à la garantie de la confidentialité.
Ils ont recommandé :
«Cure53 souhaite attirer l'attention sur le rendement accru des résultats rencontrés lors de cet examen.
Il est recommandé à l'équipe de développeurs d'investir davantage de temps et de ressources pour matérialiser une analyse de tous les vecteurs d'attaque potentiels, en particulier lors de l'exposition externe des fonctionnalités du client VPN.
Risques de sécurité découverts
L'audit a révélé des vulnérabilités de gravité moyenne ou supérieure, allant du déni de service (DoS). risques de fuites d’accès au trousseau (liés au cryptage) et manque de contrôles d’accès.
Cure53, la société de sécurité tierce, a découvert et traité plusieurs risques. Parmi les problèmes figuraient des fuites potentielles de VPN liées à la vulnérabilité d’une extension malveillante qui désactivait le VPN.
La portée de l’audit englobait les produits suivants :
- Application Mozilla VPN Qt6 pour macOS
- Application Mozilla VPN Qt6 pour Linux
- Application Mozilla VPN Qt6 pour Windows
- Application Mozilla VPN Qt6 pour iOS
- Application Mozilla VPN Qt6 pour Android
Voici les risques identifiés par l’audit de sécurité :
- FVP-03-003 : DoS via une intention sérialisée
- FVP-03-008 : Le niveau d'accès au trousseau divulgue la clé privée WG vers iCloud
- VP-03-010 : Fuite VPN via la détection de portail captif
- FVP-03-011 : Absence de contrôles d'accès au serveur TCP local
- FVP-03-012 : L'extension Rogue peut désactiver le VPN à l'aide de mozillavpnnp (Élevé)
Le problème des extensions malveillantes a été jugé très grave. Chaque risque a ensuite été traité par Mozilla.
Mozilla a présenté les résultats de l'audit de sécurité dans le cadre de son engagement en faveur de la transparence et du maintien de la confiance et de la sécurité de ses utilisateurs. Réaliser un audit de sécurité par un tiers est une bonne pratique pour un fournisseur VPN qui permet de garantir que le VPN est digne de confiance et fiable.
Lisez l'annonce de Mozilla :
Audit de sécurité VPN Mozilla 2023
Image en vedette par Shutterstock/Meilun