Des VPN majoritairement vulnérables

High-Tech Bridge s’est penché sur plus de 10 000 serveurs VPN SSL accessibles sur Internet, en IPv4, « sélectionnés aléatoirement […] à partir d’un périmètre de 4 millions d’adresses IPv4 choisies aléatoirement ». Et les résultats de son étude laissent perplexe, posant en définitive une seule question : le recours à un réseau privé virtuel est-il bien nécessaire dans ces conditions ?

Car une large majorité des serveurs VPN considérés peuvent être visés par des attaques conduisant à la compromission des échanges. Ainsi, 76 % d’entre eux utilisent un certificat SSL ne méritant la confiance ; de quoi ouvrir la voie à des attaques de type man-in-the-middle. Surtout, « le principal risque observé pour les VPN SSL est lié à l’usage d’un certificat par défaut pré-installé par l’équipementier ».

Qui plus est, près des trois quarts des certificats sont signés avec l’algorithme SHA-1, connu pour être fragile. Des chercheurs ont d’ailleurs appelé, à l’automne dernier, à l’accélération de son abandon. 41 % des services VPN SSL utiliseraient une clé sur 1024 bits pour leurs certificats RSA, alors qu’il est recommandé d’utiliser au moins une clé sur 2048 bits.

Et 10 % des serveurs VPN SSL qui s’appuient sur OpenSSL sont encore vulnérables à Heartbleed… près de deux ans après sa découverte. Enfin, 77 % des serveurs testés acceptent le protocole SSLv3 – mais s’il est réputé fragile, rien ne dit que les clients accédant aux serveurs VPN concernés l’utilisent.  

High-Tech Bridge propose un service de test des couches SSL/TLS comparable à celui qu’offre Qualys avec ses SSL Labs. Pour son Pdg, Ilia Kolochenko, « de nombreuses personnes associent encore le chiffrement SSL/TLS au protocole HTTPS et aux navigateurs Web, et sous-estiment sérieusement son utilisation dans d’autres protocoles et technologies Web ».