ExpressVPN, l’un des VPN les plus connus du marché, a été victime d’un sérieux dysfonctionnement. Un chercheur en sécurité a en effet découvert un bug dans l’application Windows. Cette défaillance a été provoquée par des lignes de code oubliées. Apparemment, les développeurs du logiciel ont laissé accidentellement du code qui n’aurait jamais dû se retrouver dans la version définitive destinée au public. Ces restes de code, destinés aux tests internes, ont provoqué des comportements imprévus sur la version Windows d’ExpressVPN dans certains cas bien précis.
À lire aussi : Vague mondiale de cyberattaques – des dizaines de milliers de serveurs sont en danger à cause de 2 failles Microsoft
Une faille qui touche un protocole bien précis
Le bug identifié aboutit potentiellement à l’exposition de l’adresse IP des utilisateurs. Quand un VPN est activé, tout le trafic réseau est censé passer dans un tunnel sécurisé, qui cache votre adresse IP réelle. C’est l’un des attributs des services de VPN. Le bug a poussé une partie du trafic en dehors du tunnel. La fuite se produit uniquement lorsque le protocole RDP (Remote Desktop Protocol), qui permet de prendre le contrôle d’un autre PC à distance, est activé.
Surtout utilisé en entreprise, le protocole est utilisé pour gérer des serveurs ou dépanner à distance des utilisateurs. Comme vous l’aurez compris, le bug ne concerne pas vraiment les particuliers, pour qui le protocole est généralement bloqué par défaut par les box Internet ou les pare-feu domestiques.
Alerté par le chercheur, ExpressVPN admet que « si un utilisateur établissait une connexion via RDP, ce trafic pouvait contourner le tunnel VPN ». En conséquence, « un tiers observant la connexion — comme un fournisseur d’accès à Internet ou une personne connectée au même réseau — pouvait voir non seulement que l’utilisateur utilisait ExpressVPN, mais aussi qu’il se connectait à des serveurs distants précis via RDP ». Ce sont « des informations qui, en temps normal, auraient dû rester protégées », souligne l’entreprise. Seule l’adresse IP réelle de l’utilisateur pouvait être exposée, mais « aucune information sur la navigation n’a été révélée, et le chiffrement du trafic, y compris celui des sessions RDP, n’a jamais été compromis ».
« Compte tenu du fait que la base d’utilisateurs d’ExpressVPN est composée principalement d’utilisateurs individuels plutôt que de clients d’entreprise, le nombre d’utilisateurs touchés est probablement faible », tempére ExpressVPN.
A lire aussi : Désinstallez ces 5 VPN de votre smartphone, ils envoient vos données à la Chine
Une faille corrigée le mois dernier
Pour corriger le tir, ExpressVPN a déployé la version 12.101.0.45 de son logiciel en juin dernier. Cette version comprend un correctif pour le bug du protocole de contrôle à distance sur Windows. On vous invite à bien vérifier que la mise à jour a bien été installée sur votre ordinateur, surtout si vous vous servez du protocole RDP. La firme s’engage à renforcer « ses procédures internes avec des contrôles plus précis, afin de détecter plus tôt tout code de débogage avant qu’il n’atteigne les versions finales ». ExpressVPN promet aussi « des améliorations des tests automatisés, qui permettront d’identifier et de supprimer les paramètres de test dès les premières phases de développement ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : ExpressVPN
