Presque toutes les applications VPN risquent de voir leur trafic être divulgué. Il est question ici d’une technique d’attaque très ciblée existant probablement depuis des années déjà.
La technique, baptisée TunnelVision (CVE-2024-3661), a été découverte par le Leviathan Security Group. Cela revient en fait à dire qu’un utilisateur connecté à un réseau contrôlé par un agresseur court le risque que sa connexion soit espionnée via un VPN, alors qu’il lui semble être connecté en toute sécurité.
En cas d’attaque, l’auteur doit manipuler le serveur DHCP du réseau. Ce serveur gère les adresses IP connectées au réseau. Un paramètre spécifique de votre appareil, l’option 121, permet au serveur DHCP de modifier la règle de routage par défaut. Résultat: il est possible de déterminer si le trafic d’un VPN transite par une adresse IP locale déterminée.
En raison d’une configuration spécifique par laquelle ce serveur est utilisé comme passerelle, le trafic transitera par le serveur DHCP, et le contenu pourra être visionné.
L’option 121 en question permet aux attaquants de mettre en place un ou plusieurs trajets pour le trafic internet. Mais ces trajets ne sont pas cryptés par le VPN et sont transmis par l’interface réseau qui communique avec le serveur DHCP. Ce faisant, l’agresseur peut choisir quelles adresses IP transitent par le tunnel VPN et lesquelles par l’interface réseau qui communique avec le serveur DHCP.
Droits d’administrateur: utiles, mais pas nécessaires
Les enquêteurs de Leviathan apportent la nuance, selon laquelle l’attaque fonctionne mieux si l’auteur dispose de droits d’administrateur sur le réseau, parce que l’option en question peut alors être activée. Mais il est également possible pour quelqu’un sur le réseau de configurer son propre serveur DHCP et d’effectuer quelque chose de similaire.
Depuis 2002
Ce qui est étonnant, c’est que le piratage ne fonctionne pas sur Android, car l’option 121 n’y existe pas. Pour d’autres systèmes, il n’y a pas d’échappatoire pour le moment. Sous Linux, il est toutefois possible de limiter l’impact via les paramètres, mais pas de l’exclure complètement.
Ce qui rend l’affaire encore plus troublante, c’est que l’option 121 existe depuis 2002 déjà. Les chercheurs soupçonnent en outre que la technique a été utilisée dans le passé. D’ailleurs, ils ne parlent délibérément pas de vulnérabilité, parce que cela peut prêter à discussion. C’est une fonctionnalité qui a été intégrée délibérément, mais elle rend les services VPN inutiles, car ils visent à protéger votre trafic.
Surfer via la 5G
Il existe cependant des solutions en attente d’ajustements techniques, selon les enquêteurs de Léviathan. Ne pas activer l’option 121 (il semble que ce soit le cas par défaut) est l’une d’entre elles. Bien qu’il puisse alors être malaisé, voire impossible, de se connecter à un réseau. Le danger se situe principalement avec les réseaux wifi. Une autre option consiste donc à passer par le réseau mobile (4G ou 5G), par exemple en transformant votre téléphone portable en un hotspot mobile. Travailler à partir d’une machine virtuelle peut également éviter le problème, pour autant que l’adaptateur de réseau de la machine virtuelle ne se trouve pas en mode ponté (bridged).
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici