Mise à jour : Surfshark et Atlas VPN nous ont envoyé des déclarations expliquant la raison d’être de l’inclusion de leurs propres certificats CA et ce qui est fait pour remédier à la situation actuelle, cliquez ici pour lire.
Plusieurs fournisseurs de VPN bien connus – y compris Surfshark, TurboVPN et VyprVPN – font partie des six marques interpellées pour une pratique à risque portant potentiellement atteinte à la sécurité des utilisateurs.
Dans le cadre de sa Programme de déceptionla société de recherche en sécurité AppEsteem a constaté que les applications des fournisseurs installent un certificat d’autorité de certification racine de confiance (CA) sur les appareils des utilisateurs et que certains fournisseurs n’obtiennent même pas le consentement des utilisateurs pour le faire.
AppEsteem a récemment élargi son programme pour inclure les fournisseurs de VPN, recherchant des applications VPN pour rechercher les comportements trompeurs et risqués qui pourraient nuire aux consommateurs.
Pas une bonne pratique
AppEsteem a également souligné que le fournisseur VPN populaire Surfshark installe son certificat d’autorité de certification racine sur l’appareil de l’utilisateur même lorsque l’utilisateur annule l’installation. Surfshark mentionne clairement l’utilisation de son propre certificat racine de confiance « uniquement pour se connecter aux serveurs VPN en utilisant le protocole IKEv2 ».
Tech Radar ProL’expert en sécurité de Mike Williams a déclaré : « L’installation de certificats racine de confiance n’est pas une bonne pratique. « S’il est compromis, cela pourrait permettre à un attaquant de falsifier davantage de certificats, d’usurper l’identité d’autres domaines et d’intercepter vos communications. »
Quels sont les risques liés à l’installation d’un certificat racine de confiance supplémentaire ?
Les certificats d’autorité de certification racine sont la pierre angulaire de l’authentification et de la sécurité dans les logiciels et sur Internet. Ils sont délivrés par une autorité certifiée (CA) et, essentiellement, vérifient que le propriétaire du logiciel/site Web est bien celui qu’il prétend être.
L’installation d’un certificat CA racine supplémentaire compromet potentiellement la sécurité de tous vos logiciels et communications. Lorsque vous incluez un nouveau certificat racine de confiance sur votre appareil, vous permettez au tiers de collecter presque toutes les données transmises vers ou depuis votre appareil.
De plus, un attaquant qui s’empare de la clé privée appartenant à une autorité de certification racine de confiance peut générer des certificats à ses propres fins et les signer avec la clé privée.
Cela s’applique aux applications logicielles, aux sites Web ou même aux e-mails. Tout, d’une attaque de l’homme du milieu à l’installation de logiciels malveillants, est possible, comme l’illustrent les piratages en 2021 dans Mongolie et en 2020 en Viêt Nam où les autorités de certification ont été compromises.
Le pouvoir que les certificats Root CA ont sur l’appareil d’un utilisateur est la raison pour laquelle les acteurs de l’État comme La Russie pousse les citoyens à installer leur nouvelle autorité de certification racineune décision que l’EFF décrit comme « ouvrant la voie à une décennie de surveillance numérique ».
Les six fournisseurs de VPN qui ont été trouvés pour installer des certificats CA racine sur les appareils des utilisateurs sont Surfshark, Atlas VPN, VyprVPN, VPN Proxy Master, Sumrando VPN et Turbo VPN. Deux des fournisseurs les plus connus de la liste, Surfshark et Atlas VPN, tous deux récemment rejoint La société mère de NordVPN, Nord Security. Cependant, NordVPN ne faisait pas partie des fournisseurs nommés.
Pourquoi une entreprise VPN voudrait-elle installer un certificat racine de confiance ?
Nous ne pensons pas que cela soit nécessaire, même pour la compatibilité IKEv2, et la plupart des VPN les mieux notés ne le font pas.
Lorsqu’un certificat d’autorité de certification racine supplémentaire est installé par un fournisseur VPN, vous ne comptez que sur les vérifications de chiffrement et d’authenticité du fournisseur, car le certificat racine de confiance peut écraser les vérifications de chiffrement et d’authenticité du service réel que vous utilisez (par exemple, Mozilla Firefox, WhatsApp).
Cela permet au fournisseur VPN d’intercepter et de surveiller essentiellement tout votre trafic, dans le pire des cas. Nous avons contacté Surfshark, Atlas VPN et VyprVPN et mettrons à jour l’article lorsque nous vous répondrons.
La déclaration officielle que nous avons reçue de Surfshark et AtlasVPN
Surfshark
Lors de l’utilisation du certificat racine Surfshark, les clients ne font confiance qu’à un fournisseur VPN et non à une agence tierce qui peut être compromise. Au cours des dernières années, nous avons vu de nombreux cas où des AC tierces ont été discréditées. Surfshark est une entreprise de cybersécurité de confiance et assurer la sécurité de nos produits et la confidentialité de nos clients est notre objectif principal. Construire cette confiance est primordial pour nous. En ce qui concerne l’évaluation d’AppEsteem, nous avons étroitement coopéré avec l’entreprise pour résoudre rapidement les problèmes mis en évidence. Tous ont déjà été corrigés et tous les utilisateurs de Windows devraient bientôt recevoir une version mise à jour de l’application. De plus, nous avons travaillé sur la désactivation du protocole IKEv2, qui n’est plus populaire, et avons concentré tous nos efforts sur la prise en charge des protocoles Wireguard et OpenVPN. Cela éliminera la nécessité d’installer le certificat.
AtlasVPN
Chez Atlas VPN, notre priorité est d’assurer la sécurité et la confidentialité dans tous les aspects de nos services. Contrairement à la plupart des fournisseurs de VPN, nous avons décidé de construire notre client Windows autour du protocole IKEv2/IPSec au lieu d’un ancien protocole OpenVPN. Nous avons choisi IKEv2/IPSec comme une alternative plus moderne, plus efficace et plus rapide, qui est également prise en charge nativement par de nombreux systèmes d’exploitation. Pour que le client basé sur IKEv2 fonctionne correctement et soit sécurisé, nous avons dû émettre notre propre certificat au lieu de compter sur un tiers.
L’attaque MiTM ne serait possible que si les clés privées de notre certificat racine sont compromises, cela s’applique à tous les émetteurs de certificats dans le monde, et nous avons confiance en notre capacité à le protéger. En fin de compte, avoir Atlas VPN réduira considérablement le risque d’attaque MiTM par rapport à la navigation sans VPN du tout. Nous coopérons activement avec des évaluateurs indépendants, y compris AppEsteem, et nous avons toujours considéré cette coopération comme essentielle pour améliorer notre service. En ce qui concerne l’analyse d’AppEsteem, nous travaillons sur des ajustements pour fournir plus de transparence et d’informations concernant le fonctionnement de notre application, et l’application Windows mise à jour sera bientôt publiée.