Vulnérabilités découvertes dans Mozilla VPN

Un audit de sécurité réalisé par la firme berlinoise de cybersécurité Cure53 a récemment mis en évidence des failles de sécurité dans les applications Mozilla VPN. Cet examen approfondie des clients Mozilla a permis de découvrir 7 vulnérabilités autotal, dont 2 considérées comme critiques ou de haute priorité. Mozilla assure avoir déjà pris en charge tous les risques potentiels identifiés.

Un audit mitigé pour Mozilla VPN

Les audits indépendants sont de plus en plus courants parmi les fournisseurs de VPN qui privilégient la transparence et la sécurité. Pour Mozilla, c’est la troisième collaboration avec Cure53, qui coïncide avec le lancement de nouvelles fonctionnalités de Mozilla, y compris un système de blocage de logiciels malveillants.

Un groupe de cinq testeurs seniors de Cure53 a effectué des tests de pénétration et des inspections logicielles pendant 21 jours. Ils ont utilisé une approche de boîte blanche pour examiner l’infrastructure de sécurité et la solidité du code des applications Mozilla pour MacOS, Linux, Windows, iOS et Android. Le rapport complet de Cube 53 est consultable à cette adresse.

Les 7 failles de sécurité identifiées, dont 2 de haute priorité et 5 de priorité moyenne, ont donné une impression globalement mitigée de la résilience des applications clientes de Mozilla VPN.

Bien que la structure du code ait été jugée solide et exempte de défauts de corruption de mémoire, certaines fonctionnalités du VPN ont été trouvées susceptibles d’exposer les données des utilisateurs.

Les vulnérabilités critiques

La vulnérabilité la plus critique affectait l’application Mozilla VPN pour iOS. Il a été constaté que la configuration WireGuard® stockée dans le trousseau iOS était divulguée à iCloud via des sauvegardes de l’appareil, sauf si les utilisateurs optaient explicitement pour un chiffrement de données avancé. Mozilla a affirmé que Cure53 a confirmé que ce risque avait été atténué en ajoutant une couche supplémentaire de chiffrement.

Une autre faille de haute priorité a été découverte sur les versions de bureau, où l’application Mozilla VPN ne limitait pas suffisamment l’appelant de l’application, permettant potentiellement à un module complémentaire malveillant d’interagir avec le VPN et même de désactiver la connexion VPN à l’insu de l’utilisateur. Là encore, Mozilla a assuré avoir corrigé ce risque conformément aux recommandations de Cure53.

Les autres vulnérabilités

Comme mentionné, Mozilla a également résolu toutes les autres vulnérabilités de moyenne et faible priorité, suivant les recommandations de Cure53. De même, le dernier audit de sécurité effectué en 2021 avait révélé des problèmes majeurs dans Mozilla VPN, qui ont tous été résolus pendant la période d’audit.

Points positifs de l’audit

D’un côté plus positif, Cure53 a également fait l’éloge de certaines fonctionnalités de Mozilla, comme le split-tunneling et les connexions multi-hop, qui s’appuient sur des technologies établies telles que les bibliothèques et pilotes Mullvad VPN. Les experts ont écrit que leur intégration à partir de zéro minimise la probabilité de nouvelles faiblesses.

Prochaines mises à jour prévues par Mozilla VPN

Mozilla a décidé de faire appel à nouveau à cette entreprise d’audit tiers avant de lancer de nouvelles fonctionnalités. Cela inclut un bloqueur de publicités et de malwares lancé en août en version Bêta ainsi que des améliorations de performances telles que des recommandations de localisation de serveur, intégrées à ses applications en juin. Le fournisseur a également étendu son réseau de serveurs dans 16 pays européens supplémentaires, incluant le Danemark, la Hongrie, le Portugal, entre autres.

Encore et toujours en demi-teinte, Mozilla VPN s’accroche et maintient son engagement.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles. Merci pour votre soutien et pour vos nombreux partages !