Vous avez peut-être entendu parler d’une nouvelle vulnérabilité appelée TunnelVision qui permet à un hacker de contourner la protection VPN dans certaines situations. Nous avons décidé de consacrer quelques lignes à cette nouvelle cybermenace et de vous rassurer quant à la sécurité des applications et des services d’ExpressVPN.
Le 6 mai 2024, un article intitulé TunnelVision – How Attackers Can Decloak Routing-Based VPNs For a Total VPN Leak (TunnelVision – Comment les hackers peuvent contourner le routage VPN pour une fuite massive de données) a révélé une technique qui permettrait à un hacker de contourner la protection VPN, afin d’accéder aux données de connexion des utilisateurs. De nombreuses personnes nous ont contactés avant la publication de cet article pour obtenir de plus amples informations sur le sujet. Nos équipes ont eu le temps de procéder à des tests et à des analyses approfondis pour lever toute ambiguïté sur cette nouvelle cybermenace.
Après une évaluation attentive, nous pouvons confirmer que la technique décrite dans l’article a un impact très limité sur les utilisateurs d’ExpressVPN, grâce à la configuration sécurisée de notre Kill Switch (Network Lock). Nous vous présentons les grandes lignes de notre analyse ci-dessous et ses effets sur les applications d’ExpressVPN dans chacune des plateformes que nous prenons en charge.
Avant d’entrer dans les détails techniques, nous tenons à souligner que ce problème ne peut survenir que lorsque plusieurs conditions bien précises sont réunies.
Si vous êtes chez vous et que personne n’a hacké votre routeur, vous êtes en sécurité.
Si vous vous connectez à un réseau cellulaire et non au réseau Wi-Fi de quelqu’un d’autre, vous êtes en sécurité.
Si le réseau Wi-Fi auquel vous vous connectez n’est pas géré par un opérateur malveillant, vous ne risquez rien.
Si vous utilisez un ordinateur portable et que votre Kill Switch est activé, vous ne risquez également rien.
… Ainsi de suite.
Concrètement, il faut une combinaison de plusieurs conditions, toutes simultanées, pour que ce problème présente un risque quelconque.
TunnelVision : c’est quoi ?
Le problème identifié par les experts est lié au protocole DHCP (Dynamic Host Configuration Protocol), une composante inhérente aux dispositifs de connexion au réseau, tels que les routeurs. Ce protocole est utilisé pour configurer automatiquement votre appareil afin qu’il puisse se connecter à un réseau internet.
Une des étapes de cette configuration consiste à indiquer à votre appareil la destination exacte du trafic afin qu’il puisse accéder à internet.
Il existe cependant une fonctionnalité DHCP peu connue, appelée Option 121, qui permet de définir des itinéraires alternatifs pour des destinations spécifiques. Par exemple, les adresses IP qui hébergent www.google.com. Tout appareil prenant en charge l’Option 121 a la possibilité d’ajouter ces passerelles supplémentaires, ce qui permet de rediriger le trafic vers de nouvelles destinations qui, autrement, suivrait l’itinéraire par défaut.
Lorsque vous vous connectez à ExpressVPN, votre trafic est redirigé vers le réseau VPN. Nous définissons nos itinéraires préférentiels pour permettre à votre appareil d’accéder à internet via la connexion VPN. Cela fonctionne parce que nos itinéraires sont bien définis et ont donc une valeur prioritaire par rapport à l’itinéraire par défaut.
Cependant, avec l’Option 121, il est possible de définir un itinéraire encore spécifique, de sorte que le trafic qui devrait passer par le VPN emprunte plutôt le nouvel itinéraire. Il est important de noter que cette priorité accordée à l’itinéraire spécifique n’est pas en soi une vulnérabilité, il s’agit d’un processus élémentaire dans le fonctionnement des réseaux. Cela peut induire un comportement indésirable, à moins que des mesures correctives n’aient été mises en place pour l’éviter. ExpressVPN a depuis longtemps identifié le risque d’un tel problème (soit à cause d’une cyberattaque, soit simplement à cause d’une mauvaise configuration). C’est la raison pour laquelle nous activons la fonctionnalité Network Lock par défaut dans nos applications.
Dans l’article susmentionné, les experts affirment qu’il est possible de provoquer une fuite de trafic VPN lors de l’utilisation des itinéraires statiques sans classe de l’Option DHCP 121, et que cela affecte tous les fournisseurs VPN et les protocoles VPN qui prennent en charge de telles configurations.
Pour faire simple, cela signifie que dans certaines conditions (et uniquement lorsque vous vous connectez à un réseau que vous ne contrôlez pas, comme le Wi-Fi d’un hôtel ou d’un aéroport), un hacker contrôlant le routeur Wi-Fi pourrait décider que tout le trafic destiné à une adresse spécifique soit détourné et redirigé vers une destination hors du réseau privé virtuel (VPN).
Les clients d’ExpressVPN sont parmi les mieux protégés, notamment grâce à la configuration sécurisée de Network Lock.
Impact de TunnelVision sur ExpressVPN
Le potentiel de malveillance de cette vulnérabilité dépend du système d’exploitation ou de l’appareil utilisé.
Commençons par les utilisateurs d’ordinateurs de bureau ! Grâce à Network Lock (le Kill Switch d’ExpressVPN sur Mac, Windows, Linux et les routeurs), l’exposition de nos utilisateurs à une telle cybermenace reste limitée. Que vous utilisiez Mac ou Windows, nos analyses ont montré que TunnelVision ne peut constituer une menace que si Network Lock est désactivé manuellement par un utilisateur. La protection réseau étant activée par défaut, les utilisateurs qui n’ont jamais modifié leurs paramètres sont protégés.
Donc si, comme de nombreux utilisateurs d’ExpressVPN, vous ouvrez simplement votre application, appuyez sur le bouton de connexion et changez occasionnellement de localisation, alors vous ne serez jamais exposé à ce problème. La conception de Network Lock garantit la sécurité de nos utilisateurs contre cette cybermenace et tant d’autres qui visent à transférer le trafic hors du réseau VPN.
Lorsque Network Lock est activé, nous constatons qu’il n’y a pas de fuites. Le trafic vers la destination définie par un hacker entraînerait un déni de service. Il serait simplement bloqué, ce qui se traduirait par une page web vierge ou par un message d’erreur. Le trafic vers toute autre destination (en d’autres termes, tout emplacement non défini par le hacker) serait redirigé vers le réseau VPN automatiquement. Toutefois, si un utilisateur a désactivé manuellement Network Lock, le trafic est autorisé à passer par l’itinéraire détourné, ce qui provoque une fuite de données.
C’est pour cette raison que nous recommandons vivement à tous les utilisateurs d’ExpressVPN de ne pas désactiver Network Lock. Nous ajoutons également de nouveaux rappels dans nos applications pour les encourager à garder cette fonctionnalité activée.
Concernant les routeurs Aircove et Aircove Go, vous ne risquez rien, car Network Lock est toujours activé et ne peut pas être désactivé.
Passons maintenant aux utilisateurs d’appareils mobiles. Sur Android, vous êtes protégé quel que soit le réglage du Kill Switch, car l’Option DHCP 121 n’est pas prise en charge sur ce système d’exploitation. Mais sur iOS, il existe une certaine vulnérabilité, même si notre Kill Switch est activé. Cela est dû à une restriction de longue date mise en place par Apple elle-même, qui rend l’utilisation d’un Kill Switch faillible. Néanmoins, l’utilisation d’une connexion cellulaire 4G ou 5G au lieu d’une connexion Wi-Fi est tout à fait efficace pour prévenir cette cybermenace.
Nous avons développé Network Lock pour protéger nos utilisateurs
Comme nous l’avons expliqué, Network Lock est le Kill Switch d’ExpressVPN sur Mac, Windows, Linux et les routeurs. Il garde vos données en sécurité grâce au blocage de tout trafic internet dans votre appareil jusqu’à ce que la protection VPN soit rétablie. Une option similaire est disponible dans les paramètres de protection réseau de nos applications iOS et Android. Nous proposons cette fonctionnalité, car elle est essentielle à la protection de la vie privée de nos utilisateurs. C’est la raison pour laquelle nous avons investi beaucoup de temps en vue de la développer et de garantir sa fiabilité depuis son lancement en 2015 et que nous avons décidé ensuite de l’activer par défaut.
Nous avons également fait preuve d’une grande prudence dans nos choix conceptuels et techniques en vue d’intégrer cette fonctionnalité dans nos systèmes. Network Lock bloque tous les types de trafic, y compris IPv4, IPv6 ou DNS et prévient les fuites de données lorsque la connexion internet de l’utilisateur s’interrompt soudainement, lorsqu’il passe d’un réseau Wi-Fi à un autre et dans divers contextes où d’autres VPN seraient vulnérables à des cyberattaques.
Notre fonctionnalité Network Lock intégrée au firmware du routeur et aux systèmes d’ordinateurs fonctionne en imposant une première règle de pare-feu : tout bloquer, suivie d’une règle qui autorise le trafic transmis exclusivement via le tunnel VPN. Ces règles sont activées pour la première fois lorsque l’utilisateur se connecte au VPN. Elles restent ainsi activées pendant les phases de reconnexion et de déconnexion inattendue. C’est exactement ce à quoi les experts font référence dans la section Industry Impact (Impact sur le secteur) de leur rapport lorsqu’ils ont observé des mesures correctives chez certains fournisseurs VPN qui bloquent le trafic hors VPN grâce à des règles de pare-feu.
Cette configuration permet de vous protéger contre les cyberattaques. Elle bloque tout trafic visant à contourner le réseau VPN, y compris ceux introduits lors d’une attaque TunnelVision.
Ce que cela implique pour le secteur VPN
L’analyse de TunnelVision rappelle à quel point les VPN doivent satisfaire toutes les normes de sécurité et de confidentialité requises dès la conception.
Comme il n’existe pas de normes standards pour le déploiement d’un Kill Switch dans le secteur, tout dépend des particularités de chaque programme. Il devient plus important que jamais de choisir un fournisseur VPN premium qui privilégie à la fois la sécurité et la facilité d’utilisation. Nous apprécions les travaux des experts pour souligner l’importance d’une fonctionnalité qui bloque l’accès à internet lorsque la connexion VPN s’interrompt.
Nous les remercions également pour les efforts consentis en vue d’une communication responsable et éthique. La poursuite des recherches en matière de cybersécurité, menée en toute transparence, est une étape importante dans la lutte contre les cybermenaces. Nous souhaitons encourager nos utilisateurs, nos partenaires du secteur et les chercheurs à continuer d’œuvrer en faveur d’une meilleure appréhension des technologies de sécurité et de confidentialité en ligne.