Test de Mullvad VPN

 (x41-dsec.de)
2 points par GN⁺ 2024-12-12 | 1 commentaires | Partager sur WhatsApp

  • Audit de sécurité de Mullvad VPN

  • X41 a réalisé un test d’intrusion en boîte blanche sur l’application Mullvad VPN, incluant l’accès au code source.

  • Ce test était complexe en raison de la complexité de l’application, qui fonctionne sur cinq plateformes : Linux, Windows, macOS, Android et iOS.

  • Grâce à des audits et des tests d’intrusion réguliers, l’application Mullvad VPN maintient un niveau de sécurité élevé.

  • Résultats du test

  • Un total de 6 vulnérabilités a été découvert.

  • La vulnérabilité la plus grave concernait un problème de corruption mémoire dû à une condition de concurrence dans le code du gestionnaire de signaux et à une violation de la sûreté temporelle.

  • Une vulnérabilité permettait à un attaquant adjacent au réseau de divulguer l’identité de l’utilisateur, et une attaque par canal auxiliaire pouvait, dans certaines situations, révéler le site actuellement consulté par le client.

  • Mullvad VPN AB a corrigé rapidement ces vulnérabilités, et les correctifs ont été audités pour vérifier leur bon fonctionnement.

  • Conclusion

  • L’application cliente a révélé un nombre limité de vulnérabilités pertinentes, que Mullvad VPN AB a corrigées rapidement.

  • X41 a exprimé sa gratitude pour la coopération fluide et la communication avec Mullvad VPN AB.

  • Liens

  • Rapport complet

  • Annonce de Mullvad

  • Audits précédents de Mullvad

À lire aussi

1 commentaires

 
GN⁺ 2024-12-12
Commentaires sur Hacker News

  • Les problèmes relevés dans le rapport d’audit de Mullvad par X41 sont relativement simples. Il repose beaucoup sur DAITA (Defence against AI Traffic Analysis).

    • DAITA est une défense contre l’analyse du trafic par IA, qui pourrait nécessiter un apprentissage supplémentaire.

  • Le secteur des VPN est très actif en ce moment, mais on a l’impression qu’il ne traite pas correctement les clients ou qu’il manque de transparence sur les services fournis.

    • Il y a notamment beaucoup de VPN « cool » venant des pays scandinaves, mais en réalité, ce n’est pas vraiment le cas.

  • La section sur le modèle de menace dans le rapport d’audit est bien rédigée. Beaucoup d’organismes d’audit omettent souvent cette partie.

    • Il semble que d’anciens auditeurs comme Cure53, Assured et Atredis aient défini un modèle de menace approprié avec Mullvad.

  • Les rapports d’audit publics sont souvent rédigés dans un style du type « cette entreprise est très sûre et fait du bon travail ».

    • Ce n’est pas une critique spécifique de X41, mais beaucoup d’organismes d’évaluation ont cette tendance.
    • En revanche, avoir découvert une vulnérabilité de corruption du tas dans un programme Rust est un bon résultat.

  • Le rapport d’audit de l’application Mullvad VPN a été rendu public.

    • Il s’agit d’un audit de l’application, pas du service Mullvad lui-même.

  • Mullvad était excellent par le passé, mais l’arrêt du port forwarding rend l’usage du torrent difficile.

    • L’abandon du support d’OpenVPN entraîne aussi des désagréments.
    • Je prévois de passer à un autre VPN.

  • J’utilise Mullvad VPN avec WireGuard sur OpenBSD, et cela fonctionne bien.

    • Il est possible de l’acheter au mois de façon anonyme avec du bitcoin.

  • Un titre comme « X41 a audité l’application Mullvad VPN » serait peut-être plus clair.

  • Je me demande s’il existe des sites vraiment sérieux pour évaluer les VPN.

    • Il est toujours difficile de trouver sur Internet des informations non sponsorisées.
    • Mullvad a la réputation d’être l’un des meilleurs VPN prenant en charge le P2P.