NordVPN a subi un incident de sécurité visant l’un de ses serveurs à la suite d’une négligence du fournisseur

La brèche aurait eu lieu suite à un défaut de sécurisation de l’infrastructure par l’hébergeur finlandais du datacenter dans lequel était situé le serveur en question. NordVPN indique dans son communiqué que la faille était due à l’utilisation d’un compte d’administration à distance qui aurait été utilisé de façon illégitime.

Ce compte aurait été ajouté par l’hébergeur sans notifier les équipes de NordVPN et suite à la découverte de l’accès non autorisé, le compte aurait été supprimé, toujours sans en informer les équipes. Le bulletin publié explique ensuite que les données des utilisateurs ne sont pas en danger. En effet, le fournisseur de services VPN adopte une politique de non-conservation des enregistrements et à ce titre ne conserve pas d’historique concernant l’utilisation du service par leurs clients. De plus, de par sa conception, l’infrastructure VPN n’était pas en danger et seul le serveur en question a été impacté.

L’attaquant aurait tout de même pu avoir accès à des informations techniques sensibles telles qu’une clé de chiffrement TLS (depuis expirée). Les attaques qui auraient alors permis de déchiffrer en partie le trafic auraient été possibles, mais très complexes à mettre en œuvre et auraient nécessité de viser des utilisateurs spécifiques.

Enfin, les équipes de NordVPN assurent qu’elles ont redoublé d’efforts afin que cet incident ne puisse pas se reproduire et ont, entre autres, mis fin au contrat avec l’hébergeur.