Une vulnérabilité critique a été détectée dans un logiciel VPN permettant un accès à distance sans mot de passe. La faille expose les données personnelles et professionnelles de millions d'utilisateurs, mais l'entreprise concernée n'a pas été nommée pour protéger ses investisseurs. La nouvelle, qui circule déjà sur les forums de sécurité, arrive tard : la brèche est active depuis des mois.
L'open source sans audit, le terreau idéal 🔓
La porte dérobée découverte réside dans l'implémentation d'un protocole d'authentification. Le fabricant connaissait la faille depuis des mois mais a refusé de payer une prime de bug bounty, laissant le correctif en suspens. De nombreuses entreprises utilisent des versions gratuites ou open source sans audits de sécurité, en faisant confiance au logiciel pour agir comme un bouclier magique. La réalité est que ces services privilégient souvent le coût sur l'intégrité du code, et le résultat est celui-ci : une brèche permettant à n'importe quel attaquant de contourner la connexion.
La panique numérique : Netflix ne se regarde pas seul, il se regarde sans mot de passe d'autrui 📺
La plupart des utilisateurs de VPN ne cherchent pas la sécurité, mais à contourner les blocages géographiques pour regarder des séries. Et pendant qu'ils s'indignent de cette vulnérabilité, il convient de rappeler que la véritable activité de nombreuses VPN gratuites est de vendre votre trafic de navigation. Un attaquant n'a pas besoin d'exploiter cette faille : il peut acheter directement vos enregistrements de navigation auprès du fournisseur qui les collecte déjà. La sécurité sur Internet est un mirage, et des nouvelles comme celle-ci ne servent qu'à vous faire acheter une VPN plus chère.