Proton Technologies, qui développe un service de messagerie sécurisé et VPN, à propos de l'ouverture Programmes clients ProtonVPN pour , , и (en porte-à-faux ouvert initialement). Le code est ouvert sous licence GPLv3. Parallèlement, des rapports sur un audit indépendant de ces demandes ont été publiés. Aucun problème n’a été détecté lors de l’audit pouvant conduire au déchiffrement du trafic VPN ou à une élévation des privilèges.
Le code est open source dans le cadre d'une initiative de transparence du projet afin que des experts indépendants puissent vérifier que le code répond aux spécifications indiquées et vérifier que les audits de sécurité sont effectués correctement. Dans le cadre de la coopération avec Mozilla, qui un service VPN payant, les ingénieurs de Mozilla avaient également accès à d'autres technologies ProtonVPN à des fins d'audit. Il est à noter que la prochaine étape sera le transfert d'autres applications ProtonVPN vers la catégorie ouverte.
Les incidents précédents avec ProtonVPN incluent : dans la demande de Windows, qui permettait à un utilisateur d'élever ses privilèges système au niveau d'administrateur (la vulnérabilité était due à une interaction incorrecte entre un client GUI non privilégié et un service système).
L'audit du code de l'application s'est terminé il y a quelques jours pour Windows a révélé la présence (deux moyens et deux mineurs) : stockage des jetons de session et des informations d'identification dans la mémoire du processus, clés du serveur VPN prédéfinies dans le fichier de configuration (non utilisées pour l'authentification), activation des informations de débogage et acceptation des connexions sur toutes les interfaces réseau.
Dans la version pour aucune vulnérabilité identifiée. Deux problèmes mineurs trouvés dans la version iOS (La liaison de certificat SSL n'est pas utilisée et le fonctionnement sur les appareils jailbreakés n'est pas bloqué). Dans la version pour Android quatre problèmes mineurs (activation des messages de débogage, non blocage des sauvegardes à l'aide de l'utilitaire ADB, cryptage des paramètres avec une clé prédéfinie, non attachement d'un certificat SSL) et une vulnérabilité modérée (fin de session incomplète, permettant la réutilisation des jetons de session).
Rappelons que Proton Technologies a été fondée par plusieurs chercheurs du CERN (Organisation européenne pour la recherche nucléaire) et est enregistrée en Suisse, où les lois sur la vie privée sont strictes et ne permettent pas aux agences de renseignement de contrôler les informations. Le projet ProtonVPN offre un haut niveau de sécurité des canaux de communication (le flux est crypté via AES-256, l'échange de clés est effectué sur la base de clés RSA de 2048 bits et HMAC, SHA-256 est utilisé pour l'authentification, il existe une protection contre les attaques basées sur sur la corrélation des flux de données), refuse de conserver des journaux et se concentre non pas sur le profit, mais sur l'amélioration de la sécurité et de la confidentialité sur le Web (le projet est financé par le fonds FONGIT, soutenu par la Commission européenne).
Source: opennet.ru
