VPNs mobiles : menacés mais pas cassés

Les révélations d’Edward Snowden ont montré que le renseignement britannique et ses partenaires ont disposé d’importantes ressources pour s’infiltrer dans les solutions de VPN. L’outil XKeyScore de la NSA disposerait ainsi de capacités dédiées à cette fin. Mais peu de détails à son propos ont été précisés.

Les vulnérabilités des VPN mobiles ont en outre été soulignées au cours des derniers mois. Les terminaux Android sont en particulier concernés, avec une faille susceptible d’être exploitée pour accéder, en clair, aux informations censées être chiffrées au sein de liens VPN. L’exploit, qui n’a pas été complètement dévoilé avant que des correctifs aient été déployés, permettait de détourner le trafic vers les serveurs choisis par l’attaquant.

Les chercheurs des laboratoires de cybersécurité de l’université Ben Gourion, en Israël, ont créé une application malicieuse capable de tirer profit de la faille pour consulter les e-mails transmis sur SMTP, captant les données avant leur chiffrement pour les transmettre à leurs propres machines. Heureusement, Google a préparé un correctif, actuellement distribué aux constructeurs de terminaux. La faille devrait ainsi être corrigée tant pour Jelly Bean 4.3 que pour KitKat 4.4, les deux versions d’Android éprouvées par les chercheurs. Las, il faudra probablement quelques mois supplémentaires pour que les téléphones soient effectivement protégés : les partenaires constructeurs de Google ont tendance à prendre leur temps en matière de distribution de correctifs. « Il faudra plusieurs mois avant que ces choses soient protégées », estime ainsi Dud Mimran, Directeur technique des laboratoires à l’origine de la découverte de la faille. « Mais le correctif existe et c’est le plus important. Nous avons fait notre travail », ajoute-t-il.

Une bonne sécurité opérationnelle exige des VPN sûrs

Malgré cette incident, les entreprises ne doivent pas appréhender les VPN mobiles comme un problème isolé. D’autres protections de base peuvent protéger les données des risques liés à une faille telle que celle découverte sur Android. Comme l’a relevé l’équipe de l’université Ben Gourion, le trafic SSL/TLS reste chiffré : cette couche supplémentaire de protection permet de protéger les données.

Et même si toute les opérations réalisées sur le terminal d’une victime n’ont pas à être protégées par SSL, les chercheurs ont mis en évidence un point évident : aucune entreprise ne devrait se contenter de faire confiance à un VPN pour protéger ses données transférées depuis et vers des terminaux mobiles. Lorsqu’un téléphone est compromis, toute application malicieuse s’y trouvant est susceptible d’être source de fuites de données. « L’utilisation d’un VPN est aussi sûre sur un terminal mobile que sur un PC », explique ainsi Rob Miller, consultant chez MWR InfoSecurity. « Si le terminal est compromis, la connexion VPN est également susceptible de l’être. » Dès lors, pour lui, puisque « toutes les applications du terminal peuvent utiliser la connexion VPN, n’importe laquelle peut faire transiter ses données via le VPN, sur le réseau de l’entreprise ».

Les pratiques rudimentaires de sécurité restent ici pertinentes. Les protections dédiées au poste utilisateur sont capables de détecter les anomalies, au-delà de l’utilisation de simples signatures comme les anti-virus, et elles aideront à identifier les applications malicieuses sur les terminaux des utilisateurs.

Mais d’autres contraintes seront nécessaires pour éviter les contournements de VPN les plus sophistiqués : « restreignez les applications installées sur le terminal; assurez-vous que le terminal est protégé par un mot de passe robuste et que le système de fichiers est chiffré. N’utilisez pas d’anciens terminaux Android aux vulnérabilités connues », recommande ainsi Miller.

Et puisque la vulnérabilité récemment évoquée pour Android concerne partiellement la couche applicative, un outil d’administration de terminaux mobiles capable de mettre en container les applications aidera en outre à isoler les données critiques. Une politique de BYOD robuste, associant tous ces éléments, peut ainsi aider la DSI à surveiller les transmissions de données vers et depuis le réseau de l’entreprise, et à déterminer, in fine, si risque il y a.

Refuser toute complaisance

Le point le plus positif, de cet intérêt récent sur le piratage de connexions VPN, est que les logiciels et protocoles employés semblent rester sûrs. Les révélations de Snowden ont montré que même les agences du renseignement les plus compétentes peinent à casser le chiffrement des liens VPN.

Les attaques concernant Android ne consistaient d’ailleurs pas une compromission directe des liens VPN : il s’agissait surtout d’une faille dans la manière dont Android gérait ces connexions. Une faille dont l’exploitation nécessitait l’installation directe d’une application malicieuse sur le terminal. Et compte tenu de la faible distribution des logiciels malveillants mobiles, il est clair que peu de terminaux risquaient d’être concernés.

Pas question pour autant que les RSSI se laissent aller à la complaisance. La tendance actuelle est à la multiplication des attaques ciblées sur les terminaux mobiles, alors que, dans le monde Windows, les attaquants cherchent plus largement à compromettre autant de machines que possible. Cela signifie que les RSSI doivent suivre de près les utilisateurs de terminaux mobiles et identifier ceux susceptibles d’être visés en tant qu’individus.

De leur côté, les fournisseurs VPN peuvent aider les DSI en montrant que les craintes suscitées par les révélations de Snowden et les allégations de collusion entre NSA et équipementiers ne sont pas justifiées. « Nombre de fournisseurs de solutions VPN vont devoir renforcer leurs efforts de recherche de vulnérabilité et de réaction afin que les failles qui seront inévitablement trouvées soient corrigées aussi vite que possible », explique Thom Langford, directeur du bureau sécurité du cabinet de conseil Sapient. « Nos fournisseurs de solutions VPN devraient produire des déclarations claires quant à leur éventuelle coopération avec la NSA. »

Et dans le cas d’inquiétudes quant à la qualité d’un produit VPN ou à la loyauté d’un fournisseur, les RSSI devraient réfléchir à la migration : « examinez leur technologie et son utilité pour votre organisation et sélectionnez le fournisseur qui offre le meilleur compromis réputation/coût. Le choix ne manque pas », explique Bob Tarzey, analyste sécurité chez Quocirca. Et le conseil vaut pour toutes les pièces du puzzle IT des entreprises : « Je suis sûr que les agences du renseignement se sont penchées sur toutes les technologies. Mais un peu de sécurité est mieux que pas du tout. Une entreprise sans sécurité est une cible facile, quelle que soit la plateforme ou le réseau.

Adapté de l’anglais par la rédaction.