ExpressVPN corrige la vulnérabilité de compression «Voracle» dans les applications

[ware_item id=33][/ware_item]

Le logo ExpressVPN dans un étau robuste, pour symboliser notre sécurité robuste. Nous sommes forts, comme l'ours.


Mise à jour: depuis le 24 octobre 2018, nos serveurs de configuration manuelle ne sont pas vulnérables à l'exploit VORACLE.

Lors d'un Black Hat Briefing en août 2018, le chercheur Ahamed Nafeez a révélé une nouvelle vulnérabilité dans le protocole OpenVPN. La vulnérabilité, nommée Voracle, affecte toutes les connexions TLS qui utilisent la compression.

OpenVPN est utilisé par une large gamme de principaux services VPN grand public. Nafeez a pu exploiter une connexion OpenVPN qu'il a établie lui-même, parcourant un site à l'aide de Firefox, mais il n'a pas pu reproduire l'effet à l'aide de Google Chrome.

ExpressVPN utilise principalement les protocoles OpenVPN et IPsec. Dans notre cas, Voracle a eu un impact sur les connexions établies via une configuration manuelle ou des connexions établies via nos applications à l'aide de TCP OpenVPN. Connexions UDP OpenVPN bien que les applications n'aient pas été affectées.

Comment fonctionne Voracle

La compression augmente théoriquement la capacité de stockage et de bande passante en remplaçant les modèles fréquents par des références, de la même manière que le remplacement de mots par des emojis permet à plus d'informations de tenir dans un tweet. Mais dans l'utilisation quotidienne, la compression lors de l'utilisation d'un VPN offre peu d'avantages.

En injectant des données dans un flux non crypté, un attaquant pourrait être en mesure de savoir si un certain texte est inclus dans le flux de données non crypté et compressé en observant les changements dans la longueur du flux crypté.

Pour se renseigner de manière fiable sur le contenu de la connexion, l'attaquant aurait besoin que l'utilisateur demande à plusieurs reprises le même contenu, permettant à de légères variations des données de test de l'attaquant d'être injectées dans le flux de l'utilisateur.

Ces données pourraient être injectées via des requêtes inter-domaines ou des cookies, et l'attaquant pourrait alors observer le trafic en contrôlant un commutateur ou un routeur réseau. Si les données sont déjà cryptées avant d'entrer dans le tunnel VPN, cette vulnérabilité ne peut pas être exploitée. Un attaquant ne pourrait en aucun cas utiliser cela contre des connexions HTTPS ou PGP / OTR.

Solution: désactiver la compression

Pour atténuer contre Voracle, ExpressVPN a désactivé la compression sur toutes les connexions établies par les applications. Les utilisateurs n'ont pas besoin de mettre à jour leurs applications.

Si vous utilisez un fichier de configuration manuel d'avant l'attaque VORACLE, veuillez télécharger un nouveau fichier de configuration ou mettre à jour votre fichier pour inclure la ligne «comp-lzo off».

ExpressVPN considère que l'exploit est sérieux mais limité dans son application, car un attaquant devrait non seulement être en mesure d'observer le trafic crypté mais également d'injecter des données dans le flux de données non cryptées. Pourtant, lors de l'utilisation de tout site ou service où des données sensibles sont impliquées, les utilisateurs d'Internet doivent utiliser HTTPS pour le chiffrement de bout en bout.

ExpressVPN corrige la vulnérabilité de compression «Voracle» dans les applications
admin Author
Sorry! The Author has not filled his profile.