Une faille compromettrait la sécurité des VPN

Les chercheurs cyber du Leviathan Security Group ont rendu publique, début mai 2024, une faille de sécurité critique affectant la quasi-totalité des VPN, baptisée « TunnelVision ». Pour exploiter cette vulnérabilité CVE-2024-3661, un attaquant doit certes disposer au préalable d’un accès réel au réseau où est connectée la machine visée. Mais la faille l’autorise alors à contourner le chiffrement d’un VPN.

« TunnelVision » permet en effet à un attaquant qui a piraté un réseau d’y exécuter un serveur DHCP qui attribue les adresses IP des appareils de ce réseau. Toutes les données transmises vers l’extérieur doivent alors transiter par ce serveur, en clair, avant le chiffrement par un VPN. L’attaquant peut alors les consulter et les collecter. La présence de ce serveur DHCP est, de plus, indétectable pour les utilisateurs.

Aucun VPN testé par le Leviathan Security Group n’a su contourner la faille. Le déploiement d’un correctif s’avère par ailleurs complexe. Supprimer la prise en charge du DHCP par les VPN est le plus simple, mais peut générer d’importants problèmes de connectivité pour le reste de la navigation. « TunnelVision » existerait depuis au moins 2002, mais les analystes n’en ont détecté, à ce jour, aucune exploitation.

« Dans certains endroits du monde, cette vulnérabilité pourrait conduire à l’emprisonnement ou à la mort de ceux qui comptent sur les VPN pour leur sécurité, comme les journalistes ou les lanceurs d’alerte qui sont souvent la cible de surveillance ou de logiciels espions », alertent les chercheurs. Selon eux, la seule parade efficace reste de s’assurer que son réseau n’est pas compromis avant d’utiliser un VPN.