Sécurité : Près de 90% des VPN SSL sont très vulnérables

D’après une nouvelle étude, neuf VPN sur 10 utilisant le protocole SSL emploient des méthodes de cryptages non sécurisés ou obsolètes, mettant les données des utilisateurs en danger.

Les VPN SSL sont vulnérables

La société High-Tech Bridge (HTB), spécialisée dans la sécurité des informations sur internet a conduit une étude portant sur les réseaux VPN (Virtual Private Network) basés sur le protocole SSL. Le bilan indique que la grande majorité de ces services emploient des technologies de cryptage considérées comme dépassées.

Un VPN de type SSL est différent d’un VPN utilisant les protocoles classiques PPTP, SSH ou IPSec dans la mesure où il est simple et peut être utilisé à l’intérieur d’un navigateur Web standard, sans que l’utilisateur n’ait besoin d’installer un logiciel spécifique sur son appareil.

Les trois quarts des VPN SSL utilisent des certificats non fiables

Des experts de la société de High-Tech Bridge ont effectué une étude qui les a conduit à analyser 10,436 serveurs VPN de type SSL sélectionnés au hasard. Le constat qui se dégage est que la plupart d’entre eux utilisent des méthodes de sécurité extrêmement précaires.

Ils affirment que 77 % des VPN SSL utilisent encore les méthodes de chiffrement SSLv2 ou SSLv3. Ces deux versions du protocole SSL sont aujourd’hui considérées comme précaires, plus de vingt ans après leur création. Ils sont si précaires que plusieurs normes de sécurité internationales sont allées jusqu’à interdire leur utilisation. Les principaux navigateurs Web ont d’ailleurs désactivé, par défaut, leur prise en charge.

Un autre aspect commun à 76 % des VPN est l’utilisation d’un certificat non approuvé. Autrement dit, l’autorité qui (auto)signe ledit certificat est inconnue du navigateur Web. Cela est suffisant pour permettre à un tiers malveillant de s’interposer et d’intercepter des données des utilisateurs sur le principe d’une attaque « Man-in-the-Middle ».

Globalement, les experts de HTB ont conclu à la suite de leurs analyses que 85 % des VPN SSL testés héritent d’une très faible note en matière de sécurité. Ils notent également qu’à peine 3 % d’entre eux sont conformes à la norme PCI DSS (Payment Card Industry Data Security Standard). Enfin, aucun des VPN n’est en phase avec les recommandations du NIST (National Institute of Standards and Technology), une agence américaine qui définit les bonnes pratiques en matière d’implémentation et d’exploitation du SSL/TLS.


Suivez nous sur facebook

Réagissez à cet article !