Audit d’infrastructure réalisé par Radically Open Security

 (mullvad.net)
2 points par GN⁺ 2023-08-10 | 1 commentaires | Partager sur WhatsApp
  • Radically Open Security (RoS), une entreprise de sécurité basée aux Pays-Bas, a terminé l’audit d’infrastructure de Mullvad VPN.
  • Cet audit s’est concentré sur des serveurs VPN exécutés en RAM, en particulier un serveur OpenVPN et un serveur WireGuard.
  • Il s’agit du rapport final du troisième audit de sécurité, conclu à la mi-juin 2023, et les correctifs ont été déployés fin juin 2023.
  • RoS a identifié plusieurs problèmes, dont quelques nouvelles découvertes, mais les relais Mullvad VPN ont montré une architecture mature et aucune journalisation des données d’activité des utilisateurs n’a été constatée.
  • RoS a obtenu un accès SSH complet aux deux serveurs VPN exécutés en RAM, qui utilisaient un noyau Linux allégé (6.3.2) et un OS personnalisé basé sur Ubuntu 22.04 LTS.
  • Cet audit visait à vérifier la sécurité et la configuration internes et externes des serveurs, ainsi qu’à confirmer si l’activité des clients faisait l’objet d’une journalisation.
  • RoS n’a constaté ni fuite d’informations ni journalisation des données clients et a relevé, lors des tests d’intrusion, 1 problème critique, 6 problèmes de gravité élevée, 4 problèmes de gravité moyenne, 10 problèmes de faible gravité et 4 points de sévérité informative.
  • L’un des problèmes critiques était que, sur le système de test, le trafic utilisateur de production fabriqué était visible par l’utilisateur de pentest.
  • Un problème de gravité élevée concernait la possibilité, pour un compte système à faibles privilèges, de manipuler le contenu d’un script de timer systemd afin d’obtenir une élévation de privilèges root.
  • Un problème de gravité moyenne était la capacité des administrateurs à accéder au trafic VPN des utilisateurs de production.
  • Un problème de faible gravité concernait les identifiants partagés de la base de données Influx utilisés par Telegraf entre les serveurs VPN, qui permettaient de manipuler les métriques globales des serveurs.
  • Mullvad VPN a mis en œuvre des correctifs pour ces problèmes et prévoit de déployer d’autres changements dans un avenir proche.

À lire aussi

1 commentaires

 
GN⁺ 2023-08-10
Avis Hacker News
  • Mullvad, fournisseur de services VPN, est salué pour son engagement envers la confidentialité et la sécurité des utilisateurs, même au prix de la commodité commerciale.
  • L’entreprise a pris des décisions comme la désactivation du renouvellement automatique avec PayPal afin d’éviter de stocker des informations personnellement identifiables.
  • La documentation technique de Mullvad et ses choix de sécurité lui valent la sympathie des utilisateurs, malgré des décisions controversées comme la désactivation du port forwarding.
  • Mullvad est perçue comme une entreprise qui privilégie la liberté à la commodité, une caractéristique rare parmi les passionnés de technologie.
  • Certains utilisateurs considèrent Mullvad comme la meilleure solution VPN commerciale, en rendant la confidentialité plus accessible.
  • Il est toutefois souligné qu’un VPN n’est pas une solution complète à la confidentialité sur Internet, même s’il offre une protection contre les FAI et au niveau des endpoints.
  • Mullvad est reconnue comme le seul VPN grand public crédible sans zone d’ombre, contrairement à d’autres fournisseurs comme Proton VPN.
  • Des inquiétudes existent concernant le processus d’audit, certains utilisateurs se demandant si l’audit a examiné les serveurs destinés aux clients ou seulement des serveurs de test en production.
  • Contrairement à Tor et à d’autres réseaux overlay, Mullvad, dont le fonctionnement est clairement établi, n’a pas été la cible de campagnes de diffamation ou d’articles biaisés.
  • Certains utilisateurs expriment des inquiétudes quant aux défis futurs que pourrait rencontrer Mullvad si les grandes entreprises technologiques décidaient de limiter le périmètre à leurs data centers.
  • Le concept de Mullvad consistant à faire payer le temps d’utilisation plaît aux utilisateurs.