Sarah Tew / Crumpe
Surfshark VPN a annoncé mardi qu’il publierait bientôt des mises à jour de sa populaire application de réseau privé virtuel, après avoir fait partie des six VPN populaires sondés par les chercheurs d’AppEsteem pour une conception de sécurité peu solide dans un rapport d’avril.
Les chercheurs ont révélé que l’application Surfshark obtenait une influence alarmante sur la sécurité de l’appareil d’un utilisateur en installant une technologie risquée connue sous le nom de certification de sécurité Trusted Root Certificate Authority. Surfshark a déclaré qu’il poursuivra l’installation des certificats, mais a résolu d’autres problèmes signalés par AppEsteem.
Comme l’a rapporté TechRadar, si le propre certificat Trusted Root CA d’une entreprise était compromis, cela pourrait compromettre la sécurité de toutes les données et communications d’un appareil. AppEsteem a constaté que l’application de Surfshark installe le certificat de sécurité même lorsqu’un utilisateur annule l’installation globale de l’application. Surfshark a précédemment déclaré que les certificats ne sont nécessaires que pour l’utilisation de son option de protocole de cryptage IKEv2, mais la société a déclaré mardi à CNET qu’elle prévoyait de supprimer l’option de protocole.
« Lorsqu’ils utilisent le certificat racine Surfshark, les clients ne font confiance qu’à un fournisseur VPN et non à une agence tierce qui peut être compromise », a déclaré la société dans un e-mail. « Nous avons travaillé sur la désactivation du protocole IKEv2, qui n’est plus populaire, et avons concentré tous nos efforts sur la prise en charge des protocoles Wireguard et OpenVPN. Cela éliminera le besoin d’installer le certificat. »
AppEsteem a également trouvé un certain nombre d’autres problèmes de sécurité et de confidentialité avec l’application Surfshark. Les chercheurs ont découvert que l’application continuait à exécuter des processus en arrière-plan même après la déconnexion du VPN et la fermeture de l’application elle-même. Surfshark a également laissé des composants installés sur l’appareil d’un utilisateur après la désinstallation de l’application. Les chercheurs ont également critiqué Surfshark pour ne pas avoir fourni aux clients suffisamment d’informations sur la façon d’annuler les abonnements annuels ou sur la manière dont les clients seraient informés du renouvellement de l’abonnement.
« En ce qui concerne l’évaluation d’AppEsteem, nous avons étroitement coopéré avec l’entreprise pour résoudre rapidement les problèmes mis en évidence. Tous ont déjà été résolus et tous les utilisateurs de Windows devraient bientôt recevoir une version mise à jour de l’application », a déclaré Surfshark.
Lire la suite: NordVPN et Surfshark fusionnent, poursuivant la tendance à la consolidation des VPN