ExpressVPN annonce qu'une faille de sécurité a pu exposer l'adresse IP des utilisateurs dans une situation spécifique. Elle a été corrigée peu de temps après sa découverte.

Dans un billet de blog, ExpressVPN explique avoir corrigé une faille de sécurité au sein de son application Windows. Repérée par le chercheur en sécurité Adam-X, cette vulnérabilité empêchait le trafic sur le port TCP 3389 d'être acheminé via le tunnel VPN comme prévu. Le chiffrement des données n'a pas été affecté, mais les adresses IP ont pu être exposées.

“Suite à ce bug, si un utilisateur établissait une connexion via RDP, ce trafic pouvait contourner le tunnel VPN. Cela n'affectait pas le chiffrement, mais impliquait que le trafic provenant des connexions RDP n'était pas acheminé via ExpressVPN comme prévu. Par conséquent, un observateur, comme un FAI ou un utilisateur du même réseau, aurait pu constater non seulement que l'utilisateur était connecté à ExpressVPN, mais aussi qu'il accédait à des serveurs distants spécifiques via RDP, informations normalement protégées”, explique le fournisseur.

ExpressVPN était vulnérable dans un scénario bien spécifique

ExpressVPN se veut toutefois rassurant. Seuls les utilisateurs qui ont eu recours au protocole RDP sont potentiellement touchés. Celui-ci est très peu utilisé par les particuliers et plutôt plébiscité dans les environnements d'entreprise. “Pour qu'un attaquant puisse exploiter activement la vulnérabilité, il devrait d'abord connaître le bug, puis trouver un moyen de déclencher du trafic sur le port 3389. Cela pourrait impliquer d'inciter quelqu'un à visiter un site malveillant ou de compromettre un site web populaire pour mener une attaque furtive pendant qu'il est connecté au VPN”.

“Sur la base de notre analyse, nous pensons que la probabilité d’une exploitation dans le monde réel est extrêmement faible”, conclue ExpressVPN. Par contre, maintenant que ce bug a été rendu public, il est important d'installer une version de l'application Windows du VPN qui comprenne ce correctif, car des personnes malveillantes pourraient tenter d'exploiter la faille. Vous devez installer la version 12.101.0.45 (ou ultérieure) pour être protégé.

ExpressVPN promet de renforcer ses mesures de sécurité internes grâce à des contrôles plus ciblés pour éviter qu'une telle situation ne se reproduise. Le fournisseur rappelle aussi l'existence de son programme de bug bounty, qui récompense les experts qui détectent des failles de sécurité.