Comment protéger votre trafic vpn contre la technique pirate Tunnel Vision

Posted On 11 Mai 2024

Des chercheurs mettent la main sur une menace latente pour les utilisateurs de vpn, tunnelvision. La faille date de 2002 !

La sécurité des réseaux privés virtuels (VPN) est cruciale pour de nombreux utilisateurs cherchant à protéger leur vie privée en ligne. Cependant, une nouvelle technique d’attaque, nommée TunnelVision (CVE-2024-3661), pose un risque significatif de fuite de données. Selon les découvertes de la société Leviathan Security Group, cette méthode permettrait à un attaquant de surveiller discrètement le trafic d’un utilisateur connecté à un réseau compromis.

Le fonctionnement de la cyberattaque

L’attaque exploite un paramètre spécifique dans les configurations réseau, l’option 121 du serveur DHCP, qui gère les adresses IP au sein d’un réseau. Habituellement, cette option est utilisée pour définir des règles de routage spécifiques. Cependant, dans le cadre d’une attaque, elle permet de rediriger le trafic VPN vers une adresse IP locale contrôlée par l’attaquant, où le contenu peut être intercepté et analysé. Bien que l’option 121 puisse être activée par des administrateurs réseau, il est également possible pour une personne ayant accès au réseau de configurer un serveur DHCP malveillant pour réaliser une attaque similaire. Cela souligne l’importance de contrôles de sécurité robustes au sein des réseaux d’entreprise et personnels.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

Solutions et précautions

D’abord, la sécurisation du réseau local. Les utilisateurs doivent être vigilants quant aux réseaux auxquels ils se connectent, particulièrement les réseaux WiFi publics ou peu sécurisés. Il est recommandé d’utiliser des réseaux bien sécurisés et de configurer soigneusement les paramètres réseau pour éviter l’activation non désirée de l’option 121.

En cas de doute sur la sécurité d’un réseau, il peut être préférable d’utiliser des connexions mobiles telles que 4G ou 5G. Transformer un téléphone portable en hotspot mobile est une alternative pratique pour ceux qui ont besoin d’une connexion sécurisée en déplacement.

Une autre solution consiste à travailler depuis une machine virtuelle, en veillant à ce que l’adaptateur réseau de celle-ci ne soit pas configuré en mode ponté. Cela peut créer une couche supplémentaire de séparation entre le réseau potentiellement compromis et les activités en ligne de l’utilisateur.

TunnelVision révèle une faille significative dans la protection offerte par les VPN, une faille qui existe depuis l’introduction de l’option 121 en 2002. Les utilisateurs et administrateurs doivent rester informés et proactifs dans la mise en œuvre de mesures de sécurité pour protéger efficacement leur trafic internet contre de telles techniques d’attaque. La vigilance est essentielle pour maintenir la confidentialité et l’intégrité des données en ligne.

En 2015, lors de la grande messe du hacking US, la Def Con, Andrew Ayer revenait sur cette faille « Bien que je pense qu’OpenVPN lui-même est assez sécurisé, la manière dont il interagit avec le système d’exploitation pour acheminer votre trafic est assez peu robuste et peut être détournée de nombreuses manières sur un réseau local hostile. » La faille daterait de 2002 !

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.