NordVPN : À qui la faille ?

NordVPN : � qui la faille ?

Lundi, NordVPN a confirmé qu’un de ses serveurs avait bien été piraté dans un post de blog. Si le fournisseur de service VPN assure que cette attaque n’a pas eu d’effet pour les utilisateurs, les internautes redoublent de questions à l’adresse du fournisseur, qui a d’ailleurs été contraint d’étoffer un peu sa note de blog explicative afin de mieux préciser le déroulé des faits.

Contacté par ZDNet.fr, NordVPN détaille le calendrier : le serveur impliqué dans la fuite de données est loué par NordVPN et mis en ligne à partir du 31 janvier 2018. Les premières preuves d’une compromission apparaissent en ligne dès le 5 mars 2018 : sur le forum 8chan, un utilisateur se vante d’avoir piraté les serveurs de NordVPN, VikingVPN et Torguard et poste des fichiers textes provenant des consoles de commandes des différents serveurs, indiquant qu’il est parvenu à prendre le contrôle de ceux-ci. Les posts et fichiers textes sont encore accessibles via archive.org

Comme l’explique NordVPN « Des éléments additionnels nous font penser que la compromission du serveur a eu lieu peu de temps avant la diffusion de ces informations. » Le 20 mars, la société chargée de l’administration du datacenter, Creanova une société finlandaise, bloque les comptes utilisés par l’attaquant pour prendre le contrôle des serveurs. Mais elle ne mentionne pas le problème auprès de NordVPN : ses équipes ne découvrent l’intrusion que le 13 avril 2019, soit près d’un an après les événements, et suppriment donc le serveur avant de lancer un audit en profondeur de la sécurité du système.

Sur son blog NordVPN blâme sans trop se cacher son prestataire, qui n’a pas prévenu à temps les équipes de NordVPN de l’intrusion détectée et qui aurait laissé un système de contrôle à distance mal configuré et donc accessible à distance par des attaquants. Interrogés à ce sujet, les responsables de Creanova expliquent de leur côté ne pas être « complètement sur » de la façon dont le serveur a été piraté.

Le prestataire règle ses comptes (admin)

Ils avancent néanmoins une piste : « Il est possible que le serveur en question ait été compromis via un abus du contrôleur iLO que nous proposons sur l’ensemble de nos serveurs. » Les interfaces de contrôle iLO sont des programmes proposés sur les serveurs HP qui permettent le contrôle à distance des machines. « Nous gardons à jour les installations iLO et IDRAC sur l’ensemble de nos serveurs, mais celles-ci sont parfois vulnérables à des failles de sécurité. À la demande du client, nous pouvons placer cet outil derrière un accès VPN, ou bloquer les ports IPMI utilisés pour y accéder, mais NordVPN ne nous l’avait pas demandé. » L’exploitation de failles sur iLO est en effet une technique connue, qui avait déjà été détaillée dans un post de blog d’Avast en 2018.

La théorie de Creanova est que les attaquants ont pu exploiter l’une de ces vulnérabilités afin de prendre le contrôle du compte administrateur iLO crée par défaut sur la machine, avant de créer d’autres comptes administrateurs utilisés pour prendre le contrôle de la machine. Le 20 mars, Creanova confirme avoir effectivement supprimé les comptes iLO créés par l’attaquant, mais précise que le vecteur d’attaque initial utilisé par l’attaquant reste pour l’instant inconnu et que la création de ces comptes pourrait n’avoir été qu’un effet de bord.

Certains détails restent flous : on ne sait pas exactement pourquoi le prestataire Creanova n’a pas tenu NordVPN au courant de ces détails sur un de ses serveurs. NordVPN a annoncé sur son blog qu’ils ne travailleraient plus avec cette société.

On peine également à comprendre exactement la façon dont cette fuite de sécurité est liée à l’action en justice intentée par Torguard à l’encontre de NordVPN, son concurrent direct. NordVPN indique avoir prévenu Torguard dès qu’ils ont découvert les posts 8chan indiquant que les différents serveurs avaient été piratés. Torguard estime de son côté que NordVPN a tenté de profiter de ces informations pour faire pression sur ses équipes et les pousser à faire taire un blogueur médisant à l’égard de NordVPN. Les deux parties s’en tiennent aux faits, et invoquent la procédure judiciaire en cours pour éviter d’en dire plus. Il faudra donc se contenter des notes de blogs interposés pour suivre cette polémique.

Leave a Reply

Your email address will not be published. Required fields are marked *