Mozilla, en toute transparence, annonce avoir corrigé les failles de sécurité de son VPN

Pour son VPN, Mozilla a collaboré avec une société allemande spécialisée dans la cybersécurité pour corriger les failles de sécurité de son logiciel, disponible en France depuis le mois d'avril.

En matière de transparence, elle fait toujours figure de référence. La fondation Mozilla a révélé, cette semaine, avoir commandé en début d'année un audit indépendant sur la sécurité de son Mozilla VPN, disponible pour les utilisateurs français depuis avril dernier. L'intérêt de la démarche ? Dénicher et corriger les failles de sécurité présentes dans le logiciel.

Des failles corrigées depuis la version 2.3

La fondation Mozilla a confié l'audit de son VPN à une société berlinoise, Cure53. Spécialisée dans la cybersécurité, elle a analysé et décortiqué les versions macOS, Linux, Windows, iOS et Android du client Mozilla VPN. Et il a été révélé que Cure53 et Mozilla ont découvert plusieurs failles de sécurité dans la version 2.0, corrigées depuis la publication de la version 2.3.

Avec une transparence souhaitée par la fondation éditrice du moteur de recherche Firefox, Mozilla VPN présentait plusieurs failles à l'issue de l'audit. Si elles ont toutes été corrigées et que, de façon globale, le logiciel restait sûr pour ses utilisateurs, trois des failles détaillées par la fondation (sur une quinzaine de problèmes détectés) étaient tout de même de gravité moyenne à supérieure.

L'unique faille de gravité « supérieure » (la FVP-02-014) concernait le piratage du protocole WebSocket, qui permet de créer des applications de « temps réel », mais aussi d'envoyer et recevoir des données sur la connexion, l'exemple le plus connu étant celui de la messagerie instantanée. Il se trouve que le client Mozilla VPN, en mode débogage, exposait l'interface WebSocket et permettait de déclencher des événements, et de récupérer les journaux. Aucun utilisateur ne fut cependant concerné par la vulnérabilité, puisque l'interface WebSocket ne fut utilisée que dans versions de test préliminaires de Mozilla VPN.

Une nouvelle version de Mozilla VPN d'ici 15 jours

La seconde faille (de gravité « moyenne »), répertoriée FVP-02-001, portait sur l'envoi de requêtes HTTP non cryptées à des adresses IP spécifiques. Tel était le cas lorsque le détecteur de portail captif (qui aide à savoir si la connexion au réseau nécessite de s'identifier) était activé dans les paramètres. Une solution activée par défaut que l'on retrouve aussi sur Chrome ou macOS. « En fin de compte, nous avons accepté cette conclusion car les avantages pour l'utilisateur de la détection de portail captif l'emportement sur le risque de sécurité », explique la fondation. Le portail actif peut, explique Mozilla, « consister en une connexion avec identifiant et mot de passe, ou simplement à accepter les conditions générales du réseau ».

La troisième vulnérabilité, répertoriée FVP-02-016, concernait un code d'autorisation qui pouvait fuiter du fait d'un paramètre de port pouvant avoir une valeur arbitraire, lorsqu'un utilisateur veut se connecter à Mozilla VPN. Il était en plus possible de détourner la demande et de l'adresser à un hôte arbitraire plutôt qu'au localhost. Mais Mozilla indique que sa politique de sécurité empêchait l'envoi de telles demandes, et que la faille a été résolue en améliorant l'analyse des numéros de port dans l'interface API REST.

Aujourd'hui, Mozilla VPN est disponible dans 13 pays. Le logiciel, qui peut tourner sous Windows, Mac, Linux, Android et iOS, poursuit son apprentissage et prend désormais en charge quelque 28 langues. La fondation annonce que la prochaine version de Mozilla VPN devrait être lancée dans les deux prochaines semaines, avec de nouvelles fonctionnalités au programme, en partie grâce à la communauté Mozilla.

Source : Mozilla