Populaire fournisseur de VPN qui revendique plus de 12 millions d'utilisateurs dans le monde, NordVPN confirme avoir été la victime d'un piratage avec un attaquant qui a été en mesure d'obtenir l'accès à un serveur dans un data center en Finlande.

NordVPN souligne un cas isolé dans un data center tiers loué à un prestataire qui n'a eu aucun impact sur les autres serveurs. " Un serveur a été piraté, pas le service. " Par ailleurs, le serveur ne contenait pas de logs, ce qui est conforme à la politique de l'entreprise basée au Panama.

" Aucune de nos applications n'envoie d'informations d'identification créées par l'utilisateur pour l'authentification, les noms d'utilisateur et les mots de passe n'ont donc pas été interceptés ", ajoute NordVPN.

L'incident de sécurité n'est pas récent. Le serveur a été vulnérable entre le 31 janvier 2018 et le 20 mars 2018. Pour son intrusion, l'attaquant a exploité un système de gestion à distance non sécurisé du fournisseur du data center et qui n'avait pas été porté à la connaissance de NordVPN.

À l'époque des faits, seul un serveur sur les plus de 3000 exploités par NordVPN a été impacté. NordVPN n'est plus en contrat avec le fournisseur du data center en Finlande et assure avoir pris les dispositions nécessaires. Un audit de sécurité - toujours en cours - serait du reste à l'origine du silence de NordVPN pendant plusieurs mois.

" Nous n'avons pas divulgué l'exploit immédiatement parce que nous devions nous assurer qu'aucune de nos infrastructures ne pouvait être sujette à des problèmes similaires ", écrit NordVPN dont les explications interviennent aussi après des allégations sur Twitter de chercheurs en sécurité sur son piratage.

Quoi qu'il en soit, cet incident de sécurité pour lequel NordVPN fait peser la responsabilité sur le prestataire du data center en Finlande est évidemment une mauvaise publicité. Avec une clé TLS compromise (qui avait expirée), la plus grave conséquence aurait pu être une attaque man-in-the-middle jugée complexe et personnalisée pour intercepter une seule connexion tentant d'accéder à nordvpn.com.

Bloomberg a pu avoir une réaction de l'entreprise finlandaise qui est mise en cause par NordVPN. Elle se défend et son directeur général écrit dans un email que NordVPN a eu un problème de sécurité, " parce qu'ils ne s'occupent pas eux-mêmes de la sécurité."

Tout comme VikingVPN et NordVPN, TorGuard - qui est par ailleurs en conflit judiciaire avec NordVPN - a également été concerné par un même piratage et a fait face à des allégations similaires sur Twitter. Dans un billet de blog, TorGuard n'entre pas dans les détails en raison d'une action en justice en cours, mais minimise aussi l'impact.

" Ce serveur n'a pas été compromis à l'extérieur et il n'y a jamais eu de menace pour les autres serveurs ou utilisateurs de TorGuard. […] Le trafic VPN ou proxy n'a pas été compromis lors de cette brèche isolée d'un seul serveur VPN et aucune information sensible n'a été compromise lors de cet incident ", écrit TorGuard.


Mise à jour : nous publions ce droit de réponse à la demande de NordVPN

Nous avons publié notre déclaration officielle à ce sujet, vous pouvez la trouver ici

Nous tenons tout de même à signaler que notre service n’a pas été « piraté » ou « hacké ». Aucune des informations disponibles sur un serveur ne peut être utilisée pour usurper l’identité d’un utilisateur, ou bien encore pour déchiffrer le trafic d’un autre serveur.

Il ne s’agit que d’un cas isolé qui s’est déroulé sur un seul datacenter. Ceci n’a en aucune façon impacté nos milliers d’autres serveurs, ce qui est en pratique impossible à faire.

TechCrunch ayant été l’instigateur de cette nouvelle, nous tentons de les contacter actuellement afin de faire modifier ce titre trompeur.