VPN : la sécurité des tokens et cookies peut poser des problèmes

Pendant que la Russie met tout en œuvre pour empêcher ses citoyens de pouvoir utiliser des VPN, voilà que le Département Américain de la Sécurité Intérieure lance une alerte concernant un défaut de sécurisation des tokens et cookies de plusieurs packages VPN. Cisco, F5, Pulse et Palo Alto sont les fournisseurs visés.

Un défaut de sécurisation des tokens et cookies de certains packs VPN observé

Il y a quelques heures, le Département Américain de la Sécurité Intérieure – connu sous le nom de Department of Homeland Security (DHS) – a pris soin de lancer une alerte. Dans sa visée, il y avait plusieurs packs VPN largement utilisés par les citoyens américains.

Cet avertissement faisait suite à un avis de la Computer Emergency Response Team (CERT) de la Carnegie Mellon University qui a mené une étude sur le fonctionnement des VPN et a ainsi constaté que beaucoup d’applications dédiées à ce type de services suivaient de mauvaises pratiques en matière de stockage des cookies d’authentification.

Stockés dans des fichiers logs ou dans de la mémoire non sécurisés, comme l’a découvert le National Defense ISAC Remote Access Working Group, ces cookies sont à la portée des hackers qui peuvent les exfiltrer. Ils ont ensuite la possibilité de reproduire les sessions de la victime et donc d’accéder aux mêmes applications.

D’après l’avis du CERT, plusieurs fournisseurs négligeraient la sécurité de leurs tokens et cookies puisque Cisco, Pulse, Palo Alto ou encore F5 sont dans son viseur…

Des vulnérabilités qui ne datent pas d’hier

Si ce problème de sécurité fait beaucoup parler aux Etats-Unis, c’est tout simplement parce qu’il ne date pas d’hier.

En effet, dans le cas du VPN fourni par F5, le problème remonte à plusieurs années puisqu’il a été identifié dès 2013. Il a d’ailleurs été corrigé dans certaines versions et pas dans d’autres ce qui semble une preuve de réelle négligence.

Il existe moins de preuves pour les autres fournisseurs mais tout laisse penser que les problèmes existent depuis de très longs mois.

No votes yet.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*