Des VPN majoritairement vulnérables
Une étude montre que la plupart des serveurs VPN publiquement accessibles en IPv4 sont configurés de telle manière qu’ils n’offrent pas de véritables garanties de sécurité.
High-Tech Bridge s’est penché sur plus de 10 000 serveurs VPN SSL accessibles sur Internet, en IPv4, « sélectionnés aléatoirement […] à partir d’un périmètre de 4 millions d’adresses IPv4 choisies aléatoirement ». Et les résultats de son étude laissent perplexe, posant en définitive une seule question : le recours à un réseau privé virtuel est-il bien nécessaire dans ces conditions ?
Car une large majorité des serveurs VPN considérés peuvent être visés par des attaques conduisant à la compromission des échanges. Ainsi, 76 % d’entre eux utilisent un certificat SSL ne méritant la confiance ; de quoi ouvrir la voie à des attaques de type man-in-the-middle. Surtout, « le principal risque observé pour les VPN SSL est lié à l’usage d’un certificat par défaut pré-installé par l’équipementier ».
Qui plus est, près des trois quarts des certificats sont signés avec l’algorithme SHA-1, connu pour être fragile. Des chercheurs ont d’ailleurs appelé, à l’automne dernier, à l’accélération de son abandon. 41 % des services VPN SSL utiliseraient une clé sur 1024 bits pour leurs certificats RSA, alors qu’il est recommandé d’utiliser au moins une clé sur 2048 bits.
Et 10 % des serveurs VPN SSL qui s’appuient sur OpenSSL sont encore vulnérables à Heartbleed… près de deux ans après sa découverte. Enfin, 77 % des serveurs testés acceptent le protocole SSLv3 – mais s’il est réputé fragile, rien ne dit que les clients accédant aux serveurs VPN concernés l’utilisent.
High-Tech Bridge propose un service de test des couches SSL/TLS comparable à celui qu’offre Qualys avec ses SSL Labs. Pour son Pdg, Ilia Kolochenko, « de nombreuses personnes associent encore le chiffrement SSL/TLS au protocole HTTPS et aux navigateurs Web, et sous-estiment sérieusement son utilisation dans d’autres protocoles et technologies Web ».