Quasiment neuf VPN SSL sur dix sont vulnérables. Selon des experts, ils contiennent des protocoles désuets ou pas assez sécurisés. Il y en a même qui sont encore vulnérables à Heartbleed.
Voilà ce que prétend High-Tech Bridge, une entreprise de sécurité qui a choisi arbitrairement plus de dix mille serveurs VPN SSL de quelques fournisseurs VPN en vue tels Cisco, Fortinet et Dell.
Il en est ressorti que la plupart de ces serveurs affichaient de sérieuses insuffisances sur différents plans. C’est ainsi que 77 pour cent d’entre eux utilisent le protocole SSLv3 et certains même encore le SSLv2, alors que tous deux ont à plusieurs reprises déjà été désignés comme peu sûrs. Un VPN sur dix basé sur OpenSSL est encore vulnérable à Heartbleed, un bug découvert en 2014 déjà.
76 pour cent utilisent aussi un certificat SSL non fiable, ce qui, selon les experts, accroît le risque d’attaques dites ‘man-in-the-middle’, par lesquelles un pirate se fait passer pour un serveur fiable, ce qui lui permet d’intercepter des données.
VPN est l’abrégé de ‘virtual private network’. Cette technologie veille à ce qu’en dehors des murs de l’entreprise, vous puissiez par exemple encore vous connecter au réseau de celle-ci, afin de pouvoir consulter vos courriels ou accéder à l’intranet.
High-Tech Bridge révèle ses observations sur son site web et y propose aussi un outil pour tester les domaines.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici