Vous avez peut-être entendu des rapports sur une nouvelle vulnérabilité appelée TunnelVision, qui permettrait à un attaquant de contourner la protection VPN dans certaines circonstances. Les chercheurs nous ont contactés avant la publication de l’article, et nous avons eu le temps de réaliser des tests approfondis par nous-mêmes.

Suite à une évaluation approfondie, nous sommes en mesure de confirmer que la technique décrite dans l’article a une incidence infime sur les utilisateurs ExpressVPN, grâce à la conception robuste de notre blocage d’urgence, Network Lock.

En bref :

Android n’est pas affecté du tout

Aircove est entièrement protégé car Network Lock est activé par défaut et ne peut pas être désactivé

Les applis de bureau ne sont pas affectées si Network Lock est activé

iOS peut être affecté, en raison des limitations imposées par Apple. Cela est cohérent avec les limitations historiques de sécurité de l’iPhone. Comme l’ont noté les chercheurs, utiliser la 4G ou la 5G plutôt que le Wi-Fi atténue ce problème.

Nous recommandons fortement à tous les utilisateurs d’ExpressVPN d’activer le blocage d’urgence en permanence. Nous ajoutons également de nouveaux rappels dans nos applis pour encourager les utilisateurs à garder le blocage d’urgence activé.

Si vous souhaitez plus d’informations, vous pouvez les trouver dans notre article de blog sur TunnelVision. Nous détaillons également notre enquête et comment elle se rapporte aux applis d’ExpressVPN sur chaque plateforme que nous supportons ci-dessous.

À propos de notre enquête

Dans leur article TunnelVision, les chercheurs affirment qu’il est possible de provoquer une fuite de trafic VPN en utilisant ce qu’on appelle des routes statiques sans classe DHCP Option 121, et que cela affecte tous les fournisseurs VPN et protocoles VPN qui supportent de telles routes.

Pour simplifier, cela signifie que dans certaines conditions (et uniquement lorsque vous vous connectez à un réseau que vous ne contrôlez pas, comme le Wi-Fi d’un hôtel ou d’un aéroport), un attaquant contrôlant le routeur Wi-Fi pourrait désigner que tout le trafic destiné à une destination particulière soit détourné en dehors du VPN.

Il faut qu’une séquence spécifique de conditions soit réunie pour quiconque soit affecté par ce problème, et les clients d’ExpressVPN sont parmi les mieux protégés, en partie grâce à la robustesse et à la structure de Network Lock.

Lorsque Network Lock est activé, nous avons constaté qu’aucune fuite ne se produit. Le trafic destiné à la destination désignée par un attaquant entraînerait un « déni de service » – il serait simplement bloqué, entraînant une page web vide ou un message d’erreur. Le trafic qui était dirigé vers toute autre destination (en d’autres termes, partout ailleurs non spécifié pour le détournement par l’attaquant) passerait normalement par le VPN. Cependant, si un utilisateur a désactivé manuellement Network Lock, le trafic serait alors effectivement autorisé à passer par la route détournée, provoquant une fuite.

En conséquence, nous recommandons fortement à tous les utilisateurs d’ExpressVPN d’activer le blocage d’urgence en permanence. Nous ajoutons également de nouveaux rappels dans nos applis pour encourager les utilisateurs à garder le blocage d’urgence activé.

À propos de nos plateformes

Le potentiel de cette technique dépend du système d’exploitation ou de l’appareil utilisé.

En commençant par nos utilisateurs de bureau : grâce à Network Lock, le blocage d’urgence d’ExpressVPN sur Mac, Windows, Linux et les routeurs, le potentiel d’exposition est limité. Que vous utilisiez Mac ou Windows, nos enquêtes ont révélé que cette technique ne pourrait poser un risque que si notre blocage d’urgence, Network Lock, a été désactivé manuellement par un utilisateur. Comme Network Lock est activé par défaut, les utilisateurs qui n’ont jamais modifié leurs paramètres ne peuvent pas être affectés.

Donc, si vous, comme de nombreux utilisateurs d’ExpressVPN, ouvrez simplement votre appli, appuyez sur le grand bouton Marche, et changez occasionnellement de localisation, vous n’avez jamais été exposé à ce problème. La façon dont nous avons conçu notre blocage d’urgence assure que nos utilisateurs de bureau sont protégés contre cette technique et d’autres attaques qui tentent de forcer le trafic en dehors du VPN.

Sur les routeurs Aircove et Aircove Go, vous ne pouvez pas être vulnérable car le blocage d’urgence est toujours activé et ne peut pas être désactivé. Utilisateurs mobiles : sur Android, vous n’avez pas pu être exposé, car cette technique n’affecte pas du tout l’appli Android d’ExpressVPN. C’est parce que DHCP Option 121 n’est pas supportée sur cette plateforme. Sur iOS, en raison des limitations imposées par Apple, nous ne pouvons pas le garantir. Comme l’ont noté les chercheurs, utiliser la 4G ou la 5G plutôt que le Wi-Fi atténue complètement ce problème.

Comment nous avons construit et conçu Network Lock pour protéger les utilisateurs

Comme nous l’avons expliqué, Network Lock est le blocage d’urgence d’ExpressVPN sur Mac, Windows, Linux et les routeurs. Il garde les données des utilisateurs en sécurité en bloquant tout le trafic internet jusqu’à ce que la protection soit rétablie. Une fonctionnalité similaire est disponible sous les paramètres de Protection réseau de nos applis iOS et Android. Nous proposons ces fonctionnalités car un blocage d’urgence fiable est une caractéristique essentielle d’un VPN, clé pour protéger les utilisateurs et assurer leur vie privée. C’est pourquoi nous activons également notre blocage d’urgence par défaut et avons investi beaucoup de temps pour assurer sa fiabilité depuis son lancement en 2015.

Nous avons également pris de nombreuses décisions d’ingénierie et de conception minutieuses pour mettre en œuvre cette fonctionnalité. Notre fonctionnalité Network Lock empêche tous les types de trafic, y compris IPv4, IPv6 et DNS, de fuiter en dehors du VPN, par exemple lorsque la connexion internet de l’utilisateur est perturbée, lors du changement entre les réseaux Wi-Fi, et dans d’autres divers scénarios où d’autres VPN pourraient fuir.

Notre fonctionnalité de blocage d’urgence sur le firmware des routeurs et toutes les plateformes de bureau fonctionne en appliquant une règle de pare-feu « tout bloquer » suivie d’une règle qui permet le trafic exclusivement via le tunnel VPN. Ces règles de blocage d’urgence sont activées pour la première fois lorsque le VPN se connecte et restent actives pendant les cycles de reconnexion et les déconnexions inattendues. C’est exactement ce à quoi les chercheurs font référence dans la section « Impact industriel » de leur rapport lorsqu’ils déclarent avoir « observé une atténuation de certains fournisseurs VPN qui bloque le trafic vers des interfaces non VPN via des règles de pare-feu »

Cette configuration protège contre l’exploitation TunnelVision et des menaces similaires. Elle bloque tout trafic tentant de contourner le VPN, y compris toutes les routes que TunnelVision pourrait avoir introduites.