Mozilla a publié les résultats d’un récent audit de sécurité tiers de ses services VPN dans le cadre de son engagement en faveur de la confidentialité et de la sécurité des utilisateurs. L’enquête a révélé des problèmes de sécurité qui ont été présentés à Mozilla pour être résolus avec des correctifs garantissant la confidentialité et la sécurité des utilisateurs.
De nombreux spécialistes du marketing de recherche utilisent des VPN dans le cadre de leurs activités, en particulier lorsqu’ils utilisent une connexion Wi-Fi, afin de protéger les données sensibles. La fiabilité d’un VNP est donc essentielle.
VPN Mozilla
Un réseau privé virtuel (VPN) est un service qui masque (crypte) le trafic Internet d’un utilisateur afin qu’aucun tiers (comme un FAI) ne puisse espionner et voir quels sites un utilisateur visite.
Les VPN ajoutent également une couche de sécurité contre les activités malveillantes telles que le détournement de session, qui peut donner à un attaquant un accès complet aux sites Web visités par un utilisateur.
Les utilisateurs s’attendent beaucoup à ce que le VPN protège leur vie privée lorsqu’ils naviguent sur Internet.
Mozilla fait donc appel aux services d’un tiers pour effectuer un audit de sécurité afin de s’assurer que son VPN est complètement verrouillé.
Risques de sécurité découverts
L’audit a révélé des vulnérabilités de gravité moyenne ou supérieure, allant du déni de service (DoS). risques de fuites d’accès au trousseau (liés au cryptage) et manque de contrôles d’accès.
Cure53, la société de sécurité tierce, a découvert et traité plusieurs risques. Parmi les problèmes figuraient des fuites potentielles de VPN liées à la vulnérabilité d’une extension malveillante qui désactivait le VPN.
La portée de l’audit englobait les produits suivants :
- Application Mozilla VPN Qt6 pour macOS
- Application Mozilla VPN Qt6 pour Linux
- Application Mozilla VPN Qt6 pour Windows
- Application Mozilla VPN Qt6 pour iOS
- Application Mozilla VPN Qt6 pour Android
Voici les risques identifiés par l’audit de sécurité :
- FVP-03-003 : DoS via une intention sérialisée
- FVP-03-008 : Le niveau d’accès au trousseau divulgue la clé privée WG vers iCloud
- VP-03-010 : Fuite VPN via la détection de portail captif
- FVP-03-011 : Absence de contrôles d’accès au serveur TCP local
- FVP-03-012 : L’extension Rogue peut désactiver le VPN à l’aide de mozillavpnnp (Élevé)
Le problème des extensions malveillantes a été jugé très grave. Chaque risque a ensuite été traité par Mozilla.
Mozilla a présenté les résultats de l’audit de sécurité dans le cadre de son engagement en faveur de la transparence et du maintien de la confiance et de la sécurité de ses utilisateurs. Réaliser un audit de sécurité par un tiers est une bonne pratique pour un fournisseur VPN qui permet de garantir que le VPN est digne de confiance et fiable.
Lisez l’annonce de Mozilla :
Audit de sécurité VPN Mozilla 2023