VPN : La NSA et le CISA s’associent pour élaborer un guide sur les meilleurs VPN sûrs et fiables

 

La NSA et la CISA ont publié un guide détaillé sur la manière dont les personnes et les organisations devraient choisir les réseaux privés virtuels (VPN), alors que les États-nations et les cybercriminels intensifient leur exploitation de ces outils dans le contexte d’une évolution mondiale vers le travail et l’enseignement à distance.

La fiche d’information de neuf pages comprend également des détails sur les moyens de déployer un VPN en toute sécurité. La NSA a déclaré dans un communiqué que le guide serait également utile aux responsables du ministère de la défense, des systèmes de sécurité nationale et de la base industrielle de la défense afin qu’ils puissent « mieux comprendre les risques associés aux VPN. »

La NSA a déclaré que de nombreux acteurs APT nationaux ont exploité des vulnérabilités et des expositions communes pour accéder à des dispositifs VPN vulnérables, ce qui leur permet de voler des informations d’identification, d’exécuter du code à distance, d’affaiblir la cryptographie du trafic crypté, de détourner des sessions de trafic crypté et de lire des données sensibles sur un dispositif.

Rob Joyce, directeur de la NSA a déclaré à au sommet de la cybersécurité d’Aspen, cette semaine, que « de multiples acteurs nationaux utilisent les CVE pour compromettre les dispositifs vulnérables des réseaux privés virtuels ».

Il a écrit sur Twitter que les serveurs VPN sont des points d’entrée dans des réseaux protégés, ce qui en fait des cibles attrayantes.

« Les acteurs APT ont exploité et exploiteront les VPN – les dernières directives de la NSA et du @CISAgov peuvent aider à réduire votre surface d’attaque. Investissez dans votre propre protection ! » a-t-il ajouté.

Le directeur du CISA, Jen Easterly, a fait écho aux remarques de Joyce, partageant le même message sur l’exploitation des États-nations.

L’avis comprend une liste de produits VPN « testés et validés » figurant sur la liste des produits conformes du National Information Assurance Partnership, dont beaucoup utilisent l’authentification multifactorielle et appliquent rapidement les correctifs et les mises à jour.

En lien avec cet article :  Black Friday Amazon : cette machine à café est déjà en promo à -30% sur Amazon !

Les experts ont félicité la CISA et la NSA pour la création de cette liste. Chester Wisniewski, chercheur principal chez Sophos, a déclaré à ZDNet que, pendant trop longtemps, il n’y a pas eu de voix fiable sur les VPN sans intérêt direct à vous vendre quelque chose.

« La combinaison des connaissances et de l’expérience de la NSA avec la mission de la CISA, qui consiste à aider à protéger le secteur privé américain, les place dans une position idéale pour fournir des conseils fiables sur la sécurité contre les acteurs criminels », a déclaré Wisniewski.

Il a noté que les conseils sont largement copiés des suggestions fournies aux entrepreneurs de la défense et aux entités similaires.

« C’est un excellent conseil, mais incroyablement compliqué et contraignant pour la plupart des entités commerciales. Rien de ce qui est dit n’est faux, mais il faut beaucoup de prévoyance et beaucoup de processus pour s’y conformer », a ajouté M. Wisniewski.

« La plupart des organisations sont incapables de suivre la plupart des conseils. Il est très difficile de bien faire les VPN, comme le montre ce document. J’invite donc les entreprises à opter pour l’accès réseau sans confiance et le SD-WAN comme moyen plus pratique d’atteindre des objectifs similaires. Plutôt que de reconstruire l’ensemble de votre stratégie VPN pour continuer à le faire à l’ancienne, vous pouvez tout aussi bien consacrer le même temps/les mêmes ressources à moderniser votre approche de l’accès à distance et en récolter les bénéfices plutôt que de simplement consolider l’ancienne méthode. »

Heather Paunet, vice-présidente senior d’Untangle, a noté que les cyberattaques sur les VPN sont très coûteuses en raison des rançons potentielles ou des données accessibles, comme on l’a vu avec l’exploit Pulse Secure VPN en avril qui a compromis des agences gouvernementales et des entreprises aux États-Unis et en Europe.

Bien qu’il y ait eu une augmentation des vulnérabilités des VPN en raison d’une plus grande utilisation des VPN au cours de la dernière année et demie, de nouvelles technologies VPN avec de nouveaux types de cryptographie évoluent pour assurer la protection des informations transmises sur Internet, a déclaré Paunet, notant des outils populaires comme WireGuard VPN qui utilisent la cryptographie.

En lien avec cet article :  Envie d’un nouveau smartphone performant ? Amazon fracasse les prix aujourd’hui !

« Ce qui manque dans les directives, c’est la prise en compte de l’élément humain. En plus de suivre les directives strictes, les professionnels de l’informatique doivent également faire en sorte que les employés utilisent efficacement la technologie. Si le VPN est trop difficile à utiliser, ou s’il ralentit les systèmes, l’employé est susceptible de le désactiver », a déclaré M. Paunet.

« Le défi pour les professionnels de l’informatique est de trouver une solution VPN qui respecte les directives, mais qui soit également rapide et fiable afin que les employés l’allument une fois et l’oublient. »

Archie Agarwal, PDG de ThreatModeler, a noté qu’une recherche rapide sur le moteur de recherche Shodan révèle plus d’un million de VPN sur Internet rien qu’aux États-Unis, offrant une porte d’entrée à des réseaux internes privés sensibles qui sont assis exposés au monde entier pour que n’importe qui essaie de les percer.

« Ils représentent l’ancien paradigme de la sécurité périmétrique et n’ont jamais réussi à protéger le château intérieur. Si des informations d’identification sont divulguées ou volées, ou si de nouvelles vulnérabilités sont découvertes, la partie est perdue et le château tombe », a déclaré Agarwal.

Lucas Gauvin

Written by Lucas Gauvin

Cet auteur ne fait plus partie de l'équipe Miroir Mag. Ses contenus ont cependant était conservés, en accord avec l'ancien propriétaire du site. Visiter la section A Propos pour en savoir plus, et n'hésitez pas à nous contacter si besoin.