ExpressVPN : une faille de sécurité a pu exposer l’adresse IP des utilisateurs

ExpressVPN annonce qu'une faille de sécurité a pu exposer l'adresse IP des utilisateurs dans une situation spécifique. Elle a été corrigée peu de temps après sa découverte.

ExpressVPN
Crédit : ExpressVPN

Dans un billet de blog, ExpressVPN explique avoir corrigé une faille de sécurité au sein de son application Windows. Repérée par le chercheur en sécurité Adam-X, cette vulnérabilité empêchait le trafic sur le port TCP 3389 d'être acheminé via le tunnel VPN comme prévu. Le chiffrement des données n'a pas été affecté, mais les adresses IP ont pu être exposées.

“Suite à ce bug, si un utilisateur établissait une connexion via RDP, ce trafic pouvait contourner le tunnel VPN. Cela n'affectait pas le chiffrement, mais impliquait que le trafic provenant des connexions RDP n'était pas acheminé via ExpressVPN comme prévu. Par conséquent, un observateur, comme un FAI ou un utilisateur du même réseau, aurait pu constater non seulement que l'utilisateur était connecté à ExpressVPN, mais aussi qu'il accédait à des serveurs distants spécifiques via RDP, informations normalement protégées”, explique le fournisseur.

ExpressVPN était vulnérable dans un scénario bien spécifique

ExpressVPN se veut toutefois rassurant. Seuls les utilisateurs qui ont eu recours au protocole RDP sont potentiellement touchés. Celui-ci est très peu utilisé par les particuliers et plutôt plébiscité dans les environnements d'entreprise. “Pour qu'un attaquant puisse exploiter activement la vulnérabilité, il devrait d'abord connaître le bug, puis trouver un moyen de déclencher du trafic sur le port 3389. Cela pourrait impliquer d'inciter quelqu'un à visiter un site malveillant ou de compromettre un site web populaire pour mener une attaque furtive pendant qu'il est connecté au VPN”.

“Sur la base de notre analyse, nous pensons que la probabilité d’une exploitation dans le monde réel est extrêmement faible”, conclue ExpressVPN. Par contre, maintenant que ce bug a été rendu public, il est important d'installer une version de l'application Windows du VPN qui comprenne ce correctif, car des personnes malveillantes pourraient tenter d'exploiter la faille. Vous devez installer la version 12.101.0.45 (ou ultérieure) pour être protégé.

ExpressVPN promet de renforcer ses mesures de sécurité internes grâce à des contrôles plus ciblés pour éviter qu'une telle situation ne se reproduise. Le fournisseur rappelle aussi l'existence de son programme de bug bounty, qui récompense les experts qui détectent des failles de sécurité.


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Canal+ aurait déclaré la guerre à Disney : il l’accuserait d’avoir siphonné une partie de ses données clients

Canal+ multiplie les procédures pour faire valoir ses droits. Mais le groupe audiovisuel français ne s’attaque pas seulement aux sites pirates et aux SmartTV : il aurait assigné Disney, l’un de…

Samsung Galaxy A57 : grâce à ces 2 offres cumulables, le smartphone passe à prix cassé !

Sorti il y a tout juste un mois, le Galaxy A57 est actuellement proposé à prix cassé sur le site officiel de Samsung. En effet, en cumulant le code MYPHONE…

Cette interdiction de Google censée lutter contre le piratage aurait eu l’effet totalement inverse

Google a interdit les publicités pour ebooks sur sa plateforme pour lutter contre le piratage. Mais selon des éditeurs qui le poursuivent en justice, seuls les vendeurs légaux auraient été…

Deux frères se font licencier, ils effacent les bases de données du gouvernement en à peine 5 minutes

Vous vous demandez pourquoi certaines entreprises suppriment les accès des employés avant de leur annoncer leur licenciement ? Cette histoire rocambolesque y répond parfaitement. Se faire licencier n’est jamais plaisant….

Amazon Fire TV Stick 4K Plus à -43% : le lecteur multimédia passe à petit prix !

Vous souhaitez connecter votre TV en un rien de temps ? Amazon propose actuellement son Fire TV Stick 4K Plus à 39,99€ au lieu de 69,99 €. C’est le bon moment pour…

Vous pouvez désormais concevoir n’importe quel widget Android grâce à cette idée de génie de Google

Les widgets Android sont souvent les mêmes pour tout le monde. Google vient d’annoncer une façon inédite d’en créer un qui vous ressemble vraiment. Une simple phrase suffit pour que…

Cette vidéo nous montre Aluminum OS, le nouveau concurrent de Windows basé sur Android

Aluminum OS, le système basé sur Android et successeur de Chrome OS, qui sera installé sur les nouveaux PC portables Googlebook, se montre dans une longue vidéo de 16 minutes….

PC

Le bouclier antimissile de Trump affiche une facture qui dépasse le PIB des Pays-Bas

Donald Trump veut couvrir les États-Unis d’un bouclier antimissile spatial. Un rapport officiel vient d’estimer sa facture réelle, et le chiffre est vertigineux. Ce projet divise déjà profondément, et sa…

Le prix du forfait mobile Série Free augmente, voici le nouveau tarif

Contre une dizaine de Go supplémentaires, Free augmente le prix de son forfait mobile 5G le plus abordable, qui devient plus cher que son équivalent chez RED by SFR. Free…

Le Steam Controller fait quelque chose de très innatendu quand il tombe (et c’est hilarant)

Un membre de Reddit a découvert un easter egg glissé par les équipes de Valve dans le Steam Controller. Si la manette tombe par mégarde, il est possible que celle-ci…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.