Une faille permet de détourner des connexions VPN
Une faille de sécurité portant la numérotation CVE-2019-14899 a été dévoilée.
Elle touche les systèmes dérivés d'Unix dont Linux macOS, iOS...
Cette vulnérabilité affecte la plupart des distributions Linux et des systèmes d'exploitation Unix comme FreeBSD, OpenBSD, macOS, iOS, et Android et permet à un attaquant présent dans le réseau local de déterminer si un autre utilisateur est connecté à un VPN, l'adresse IP virtuelle qui lui a été attribuée par le serveur VPN, et s'il y a ou non une connexion active à un site Web donné.
De plus, l’attaquant pourrait déterminer les numéros des séquences et d'acquittements des sessions TCP en comptant les paquets chiffrés et/ou en examinant leur taille. Cela lui permet d'injecter des données dans le flux TCP et de voler ces sessions.
Ces vulnérabilités concernent OpenVPN, WireGuard et IKEv2/IPSec, mais potentiellement aussi d'autres technologies VPN.
Aucun exploit public n'a été publié, mais les détails techniques pour reproduire cette vulnérabilité sont disponibles.
La faille est donc bien sérieuse, dans des domaines où la confidentialité est de mise. Il n'y a plus qu'à attendre que des correctifs soient codés et distribués.