Mozilla VPN a fait l'objet d'un audit indépendant, dont les rapports ont été publiés le 6 décembre 2023. Il s'agit du deuxième audit, et le premier audit Mozilla VPN remonte à 2021. L'audit a été réalisé par Cure53, une société brésilienne de cybersécurité avec plus plus de 15 ans d'expérience dans l'évaluation des meilleurs services VPN.

La portée de l'audit comprenait la vérification des applications VPN Mozilla pour macOS, Linux, Windows, iOS et Android. Deux vulnérabilités majeures ont été découvertes au cours du processus ; l’un a été signalé comme étant critique et l’autre comme présentant un risque élevé. La bonne nouvelle est que ces deux vulnérabilités ont été dûment corrigées par l’entreprise. Entrons maintenant dans le détail de toutes les vulnérabilités découvertes.

FVP-03-008 : Le niveau d'accès au trousseau divulgue la clé privée WG vers iCloud (risque critique)

L'audit a révélé une erreur de niveau d'accès dans la configuration WireGuard stockée dans le trousseau iOS. Cela a conduit au stockage de la configuration dans la sauvegarde iCloud, qui n'est pas chiffrée de bout en bout. En termes simples, cela signifie que si vous ne parvenez pas à activer Advanced Data Encryption, Apple pourra lire votre configuration Wireguard.

Cependant, après discussions avec Mozilla, Cure53 a conclu que ce comportement ne se produit que dans des situations de test spécifiques.

FVP-03-011 : Absence de contrôles d'accès au serveur TCP local (risque moyen)

Les clients VPN Mozilla exposaient une interface TCP locale sur le port 8754 (qui est lié à un hôte local) lors de sa communication avec les conteneurs Firefox multi-comptes. N'importe quel opérateur sur l'hôte local peut désactiver le VPN en envoyant une requête au port.

Cette vulnérabilité a également été résolue et vérifiée.

FVP-03-012 : Une extension malveillante peut désactiver le VPN à l'aide de mozillavpnnp (risque élevé)

L'API de messagerie native a été utilisée pour communiquer entre les conteneurs multi-comptes (mentionnés dans FVP-03-011) et mozillavpnnp. Les auditeurs ont constaté que mozillavpnnp n'est pas capable de restreindre les appelants d'applications, ce qui signifie qu'un acteur malveillant pourrait interagir avec le VPN et le désactiver.

Cette vulnérabilité a été signalée comme à haut risque et a été corrigée par le fournisseur VPN.

FVP-03-003 : DoS via une intention sérialisée (risque moyen)

Les tests ont révélé que l'application VPN Android de Mozilla exposait les activités des utilisateurs à des tiers, ce qui pourrait être exploité pour faire planter l'application grâce à une intention spécialement conçue. Une application en arrière-plan peut le faire de manière récurrente, rendant l'application Android inopérante et provoquant un DoS.

Cependant, cela n'a été considéré que comme une menace de niveau moyen, car le tunnel WireGuard n'a pas échoué même après le crash de l'application. C'est parce qu'il est géré par le système d'exploitation Android. Le problème a été résolu par Mozilla, qui a été dûment vérifié par Cure53.

FVP-03-009 : Absence de contrôles d'accès sur le socket démon (risque moyen)

Cure53 a découvert dans son test que le socket démon sur macOS n'avait pas de contrôle d'accès, ce qui est important pour vérifier que l'utilisateur qui envoie des commandes au socket démon est autorisé à le faire.

Sans cela, tout utilisateur non autorisé peut lire et effacer les journaux du démon, divulguer des clés publiques et mettre fin à la connexion au démon et au VPN. Cette vulnérabilité a été corrigée par le fournisseur VPN et le correctif a été vérifié par Cure53.

FVP-03-010 : Fuite VPN via détection de portail captif (risque moyen)

L'audit a révélé que la fonctionnalité de notification du portail captif pouvait envoyer des requêtes HTTP non cryptées en dehors du tunnel VPN, ce qui pourrait entraîner une fuite IP. Cure53 a conseillé de désactiver cette fonctionnalité spécifiquement pour éviter de telles fuites.

Cependant, les risques associés à cette vulnérabilité sont relativement faibles puisque les méthodes d'exploitation sont complexes. Comme d’autres menaces, celle-ci a également été neutralisée par Mozilla.

Conclusion

Comme vous pouvez le constater, Mozilla VPN n'a pas été en mesure d'obtenir un rapport clair de Cure53. Cependant, l’audit a aidé le fournisseur à améliorer certaines parties de ses services VPN, ce qui aurait pu compromettre la sécurité des utilisateurs à l’avenir.

Pour la même raison, nous recommandons uniquement les services VPN soumis à des audits réguliers, même si les rapports ne sont pas toujours parfaits – cela montre l'engagement du fournisseur à rendre son VPN sûr et fiable pour le grand public. De plus, comme c'est le cas du VPN Mozilla, toutes les vulnérabilités découvertes lors de ces audits peuvent être corrigées avant qu'il ne soit trop tard.