Si vous écoutez un podcast suffisamment longtemps, vous entendrez presque certainement une publicité pour un réseau privé virtuel (VPN). Ces publicités affirment généralement qu’un VPN est le seul outil dont vous avez besoin pour arrêter les cybercriminels, les logiciels malveillants, la surveillance gouvernementale et le suivi en ligne. Mais ces publicités surestiment largement les avantages des VPN. La réalité est que les VPN sont principalement utiles pour une chose : acheminer votre connexion réseau via un autre réseau. De nombreuses personnes, dont EFF, pensaient que les VPN étaient également un outil utile pour chiffrer votre trafic dans le cas où vous ne feriez pas confiance au réseau sur lequel vous vous trouviez, comme dans un café, une université ou une conférence de hackers. Mais une nouvelle étude de Leviathan Security rappelle que cela n’est peut-être pas le cas et met en évidence les cas d’utilisation limités des VPN.
TunnelVision est une méthode d'attaque récemment publiée qui peut permettre à un attaquant sur un réseau local de forcer le trafic Internet à contourner votre VPN et à acheminer le trafic via un canal contrôlé par l'attaquant. Cela permet à l'attaquant de voir tout trafic non crypté (comme les sites Web que vous visitez). Traditionnellement, les entreprises déploient des VPN pour permettre à leurs employés d'accéder aux sites d'entreprises privées à partir d'autres réseaux. Aujourd'hui, de nombreuses personnes utilisent un VPN dans des situations où elles ne font pas confiance à leur réseau local. Mais l'exploit TunnelVision montre clairement que l'utilisation d'un réseau non fiable n'est pas toujours un modèle de menace approprié pour les VPN, car ils ne vous protégeront pas toujours si vous ne pouvez pas faire confiance à votre réseau local.
TunnelVision exploite le protocole DHCP (Dynamic Host Configuration Protocol) pour rediriger le trafic en dehors d'une connexion VPN. Cela préserve la connexion VPN et ne la rompt pas, mais un attaquant peut visualiser le trafic non chiffré. Considérez DHCP comme un badge vous donnant un nom lorsque vous entrez dans la salle lors d'un événement de réseautage. L'hôte sait qu'au moins 50 invités seront présents et a attribué 50 badges vierges. Certains badges peuvent être réservés aux invités VIP, mais le reste peut être attribué aux invités si vous répondez correctement à l'événement. À votre arrivée, ils vérifient votre nom puis vous attribuent un badge. Vous pouvez désormais entrer correctement dans la pièce et être identifié comme « Agent Smith ». Dans le cas des ordinateurs, ce « nom » est l’adresse IP que DHCP attribue aux appareils du réseau. Ceci est normalement effectué par un serveur DHCP, mais on peut l'essayer manuellement au moyen de pinces à linge dans une salle de serveurs .
TunnelVision abuse de l'une des options de configuration de DHCP, appelée Option 121, où un attaquant sur le réseau peut attribuer un « bail » d'adresses IP à un appareil ciblé. Il y a eu des attaques dans le passé, comme TunnelCrack, qui utilisaient des méthodes d'attaque similaires, et il est probable que si un fournisseur VPN s'est attaqué à TunnelCrack, il travaille également à la vérification des atténuations pour TunnelVision .
Selon les mots des chercheurs en sécurité qui ont publié cette méthode d'attaque :
« Il existe une grande différence entre protéger vos données en transit et se protéger contre toutes les attaques LAN. Les VPN n’ont pas été conçus pour atténuer les attaques LAN sur le réseau physique et promettre le contraire est dangereux.
Plutôt que de déplorer les nombreuses façons dont les réseaux publics et non fiables peuvent rendre une personne vulnérable , de nombreuses protections fournies par défaut peuvent également être utiles. À l’origine, Internet n’a pas été conçu dans un souci de sécurité. Beaucoup ont travaillé dur pour remédier à cette situation. Aujourd’hui, nous disposons de nombreux autres outils dans notre boîte à outils pour résoudre ces problèmes. Par exemple, le trafic Web est principalement chiffré avec HTTPS . Cela ne change pas votre adresse IP comme le ferait un VPN, mais il crypte quand même le contenu des pages Web que vous visitez et sécurise votre connexion à un site Web. Les serveurs de noms de domaine (qui apparaissent avant HTTPS dans la pile réseau) ont également été un vecteur de surveillance et d'abus, puisque le domaine demandé du site Web est toujours exposé à ce niveau. De nombreux efforts ont également été déployés pour sécuriser et chiffrer ces informations. La disponibilité par défaut du DNS et du HTTPS cryptés existe désormais dans tous les principaux navigateurs, fermant ainsi les vecteurs d'attaque possibles aux espions sur le même réseau que vous. Enfin, les principaux navigateurs ont implémenté la prise en charge de Encrypted Client Hello (ECH) . Ce qui crypte votre connexion initiale à un site Web, scellant ainsi les métadonnées initialement laissées en texte clair.
Cet article est une traduction automatique d’un post publié sur le site d’Electronic Frontier Foundation à l’URL https://www.eff.org/deeplinks/2024/05/wider-view-tunnelvision-and-vpn-advice le Wed, 29 May 2024 05:04:13 +0000.