Les journalistes aiment les gros titres et les gens aiment bien tirer sur les ambulances. Alors quand la compagnie NordVPN, affichant une insolente réussite, connaît des problèmes avec un seul serveur sur les 3300 disponibles à l’époque : la machine est lancée ! « Faille », « piratage », « hacking » : tous les mots sont bons pour tirer à boulets rouges sur NordVPN. Pourtant, et même si la société a communiqué sur l’incident en détail, l’ampleur du problème n’est pas si vaste ni même grave.
Il s’agit en fait d’une attaque menée, non pas contre NordVPN en particulier, mais sur un serveur loué par la compagnie (d’autres VPN sont aussi « touchés » sans que cela fasse les gros titres). Une mauvaise configuration de ce serveur a permis au pirate d’usurper une clé d’accès TLS permettant de s’authentifier comme le ferait un employé. Or, cette clé n’a jamais permis de déchiffrer les informations qui transitent, et comme NordVPN ne garde rien, pas possible de voler des données confidentielles. C’est la force d’un VPN solide : même un employé ne peut avoir accès à vos données ! Pour intercepter des infos « en clair », il aurait fallu une attaque ciblée très difficile à mettre en place. Difficile, mais pas impossible. Par contre il ne pouvait s’agir que des utilisateurs de CE serveur précis…en Finlande.
Deux ans pour donner l’alerte ?
L’autre problème qui a été pointé du doigt concerne le temps de réaction. Nous parlons d’un incident qui remonte à presque 2 ans : de janvier à mars 2018. Or NordVPN a été prévenu par son prestataire en avril 2019. NordVPN a donc passé sous silence l’incident le temps de vérifier que le même problème ne s’était pas généralisé à d’autres serveurs de son parc. Bien sûr, NordVPN a coupé les ponts avec le prestataire et son serveur potentiellement faillible dès qu’ils ont su (nous parlons ici d’une chance sur des millions).
Le risque zéro n’existe pas, mais…
Si vous nous suivez, vous savez que nous conseillons NordVPN pour un accès facile et peu coûteux à un réseau privé virtuel rapide avec plus de 5130 serveurs dans le monde à l’heure actuelle. Le but de cet article n’est pas de minimiser l’incident, mais nous devions faire le point sur ce lynchage médiatique. Il n’existe aucun VPN de ce type qui est à 100 % propriétaire de ses serveurs et à moins de mettre en place un VPN à la maison, ce type d’incident peut potentiellement arriver à n’importe quel autre service. Notons que depuis cette affaire, NordVPN a décidé de chiffrer le contenu même des disques durs des nouveaux serveurs en activité. Un énième sécurité de plus être sûr à 100 %. Parce que 99,9996 % ce n’est pas assez…
NordVPN, ça vaut toujours le coup ?
Nullement ébranlé par ce qui ressemble fortement à un non-évènement, NordVPN propose toujours une promotion exclusive de -70% sur l’engagement de 3 ans. Si vous avez besoin d’en savoir plus, voici nos précédents articles sur ce sujet :
► NordVPN : est-ce que cela vaut le coup ?
► Le Netflix américain avec NordVPN
► Les serveurs spécialisés de NordVPN
► Hôtels, avion, location : économisez de l’argent !
