En décembre dernier, une équipe de chercheurs du laboratoire de sécurité de l'Université Ben Gourion avait découvert une faille dans la solution de sécurité Knox de Samsung. Aujourd'hui, cette même vulnérabilité dans Android  permet à des applications malveillantes de contourner la connexion VPN du smartphone. Cette méthode est valable pour la version 4.3 (Jelly Bean) et 4.4 ( KitKat) de l'OS mobile.

La technologie VPN (Virtual Private Network) est utilisée pour créer un tunnel chiffré dans un réseau privé sur un accès Internet public. Les entreprises imposent souvent cette technologie aux collaborateurs pour se connecter en toute sécurité au réseau de la société depuis un site distant. Par ailleurs, elle peut servir à protéger les communications contre l'espionnage lorsque l'utilisateur est connecté sur des réseaux sans-fil non sécurisés.

Sur un blog, les chercheurs expliquent que la faille découverte « donne à des applications malveillantes la possibilité de contourner la configuration VPN active (pas de permission root requise) et de rediriger les communications de données vers une adresse réseau différente. Ces communications sont saisies en texte clair (pas de chiffrement), laissant l'information complètement exposée. Cette redirection peut avoir lieu sans que l'utilisateur en soit conscient, celui-ci pensant que ses données sont chiffrées et sécurisées. » Ils ont ajouté par mail à nos confrères d'IDG NS que si les applications corrompues n'avaient pas besoin de permission administrateur ou spécifique pour le VPN, elles requièrent néanmoins quelques autorisations. Aucun détail n'a été donné sur ces dernières, car Google ne s'est pas encore prononcé sur la faille. De même, le contournement fonctionne pour le client VPN par défaut inclus dans Android et pour certains clients tiers qui restent pour l'instant anonymes.

Une combinaison faille et attaque Man in The Middle


C'est en travaillant sur la vulnérabilité trouvée dans Knox que les chercheurs ont trouvé un moyen de contourner l'accès VPN. Samsung avait indiqué que la méthode utilisée par les scientifiques sur sa solution Knox correspondait à une attaque de type Man in The Middle (MitM)  sur n'importe quel point du réseau et que l'on pouvait atténuer les risques d'interception de données avec des solutions VPN ou le protocole SSL. Cette réponse a donné du grain à moudre aux universitaires. Ils expliquent dans leur blog qu'après « enquête sur la faille, nous avons trouvé que l'attaquant peut en effet faire beaucoup plus de mal ».

Ils tempèrent leur propos en soulignant que si la vulnérabilité permet de contourner les connexions VPN, elle ne peut pas être utilisée pour inspecter le trafic qui a été chiffré dans la couche application. Par exemple, si une application de messagerie Android se connecter à un serveur de messagerie en utilisant le protocole SSL, le trafic sera chiffré indépendamment du fait qu'il passe par une accès VPN. Idem pour des connexions à des sites web en HTTPS ou d'autres protocoles de transport de données sécurisées. Malheureusement, les chercheurs ont constaté que toutes les applications ne chiffrent pas leur trafic et il y a donc encore beaucoup d'informations sensibles qui peuvent être interceptées en contournant le VPN et une attaque de type MitM. Google a été sollicité par nos confrères d'IDG NS pour des commentaires, mais la firme de Mountain View n'a pas répondu.