TunnelVision (CVE-2024-3661) est une vulnérabilité récemment découverte qui exploite une technique permettant de contourner le chiffrement VPN et de faire fuir le trafic en dehors du tunnel sécurisé. Voici ce qu'il faut savoir :
Impact
Un attaquant peut potentiellement voler vos données, perturber votre trafic Internet ou même le modifier s'il parvient à manipuler le protocole DHCP (Dynamic Host Configuration Protocol) de votre appareil. En utilisant le DHCP, les attaquants peuvent réacheminer votre trafic en dehors du tunnel VPN. Cette faille affecte divers systèmes d'exploitation, notamment Windows, macOS, iOS, mais pas Android.
Mesures d'atténuation
- Activez la fonction "Kill Switch" sur votre VPN. Cette fonction coupe tout le trafic internet si la connexion VPN tombe, empêchant ainsi les fuites.
- Mettez à jour votre logiciel VPN et le système d'exploitation de votre appareil avec les derniers correctifs.
- Soyez prudent lorsque vous vous connectez à des réseaux Wi-Fi non fiables, car c'est là que les attaquants sont le plus susceptibles d'exploiter cette vulnérabilité.
Bitdefender VPN est-il vulnérable à TunnelVision ?
Nous sommes au courant de la technique TunnelVision et sommes en mesure de confirmer que la vulnérabilité ne peut pas être matériellement exploitée sur aucune des plateformes prises en charge tant que la fonctionnalité Kill-Switch de Bitdefender VPN est active. Pour activer le Kill Switch, allez dans votre nom d'utilisateur en haut de l'application Bitdefender VPN, ouvrez l'onglet Confidentialité, puis basculez "Internet Kill-Switch" sur la position "actif".
Windows et Android
Si le Kill-Switch est désactivé, les appareils Windows et Android sont toujours immunisés.
macOS et iOS
Par ailleurs, les appareils iOS et macOS sont soumis à certaines restrictions imposées par Apple, qui empêchent les éditeurs de logiciels de mettre en œuvre toutes les mesures nécessaires pour atténuer pleinement l'exploit TunnelVision. Par conséquent, sur macOS et iOS, il est impératif que le Kill-Switch reste actif à tout moment.
Si le Kill-Switch est désactivé, il est théoriquement possible que la connexion à un réseau Wi-Fi compromis conduise à l'acheminement du trafic en dehors du tunnel VPN. Dans ce scénario, les appareils macOS continueront à chiffrer l'ensemble du trafic, ce qui rendra pratiquement impossible l'obtention d'informations utiles par un pirate, mais les appareils iOS deviendront vulnérables. Pour une couche de sécurité supplémentaire, nous recommandons de s'appuyer sur les données mobiles plutôt que sur des réseaux Wi-Fi non fiables chaque fois que cela est possible.