La solution de réseau privé virtuel ProtonVPN est désormais en open source sur GitHub dans l’ensemble des environnements où elle existe : Android, iOS, macOS et Windows. Et avant d’ouvrir les codes de ces différentes versions, Proton Technologies les a fait examiner par un cabinet d’audit de sécurité indépendant, SEC Consult. L’éditeur basé en Suisse est à l’origine de la messagerie chiffrée ProtonMail livrée en bêta en mai 2014 par des ingénieurs du CERN et du MIT. A son lancement en 2017, ProtonVPN s’adressait d'ailleurs aux utilisateurs de ProtonMail dans un contexte où une solution VPN de confiance devenait de plus en plus nécessaire compte-tenu de la montée de la censure sur Internet, rappelle dans un billet, Andy Yen, l’un de ses fondateurs, en soulignant que les études montraient par ailleurs qu’un tiers des VPN pour Android contenaient en fait des malwares et qu’une partie des services de VPN gratuits qui prétendaient protéger la vie privée vendaient en réalité sans le dire les données des utilisateurs à des tiers. « En général, il y a aussi un manque de transparence et d’information sur l’opérateur des services de VPN, leurs qualifications en matière de sécurité et leur conformité au RGPD », ajoute Andy Yen. En réaction, ProtonVPN avait déjà soumis en octobre 2018 son VPN à l’inspection de Mozilla.

L’examen du code par SEC Consult va un cran plus loin, même si la portée de l’audit n’est pas exhaustive. Ainsi qu'on peut le lire sur les rapports fournis par le cabinet de conseil en sécurité autrichien, l'audit commandé visait trois objectifs : déterminer si ProtonVPN respectait la confidentialité de l’utilisateur, si un attaquant était en mesure d’accéder aux données d’autres clients (dans le cas d’accès en environnement multitenant), et si un attaquant pouvait utiliser les fonctionnalités payants de ProtonVPN sans mettre le compte à niveau. 

L'audit fait apparaître des bugs à risque moyen ou faible

Dans l’app pour macOS, les tests de SEC Consult n’ont révélé aucune vulnérabilité. Dans la version Windows, le cabinet spécialisé dans les audits de sécurité a trouvé deux bugs présentant un risque moyen et deux autres présentant un risque faible, mais aucun pouvant permettre de déchiffrer le trafic chiffré. Aucun bug ne peut fournir à un attaquant un accès à distance. En revanche, si ce dernier accède physiquement à l’ordinateur de la victime, il peut récupérer des informations sur l’utilisateur depuis des routines de débugage ou en vidant la mémoire. Sur le code android, le cabinet d’audit a également trouvé quelques vulnérabilités, une à risque moyen et quatre à risque faible. Enfin, dans le code pour iOS, deux bugs à risque faible et un problème de validation de certificat, mais rien qui permettrait de déchiffrer le trafic et rien qui permette de récupérer des données à partir d’un accès physique à l’ordinateur.