La semaine dernière, il a été constaté qu’un serveur NordVPN avait été consulté par un tiers non autorisé. Le pirate a réussi à accéder à un seul serveur situé en Finlande en raison d’erreurs commises par le propriétaire du centre de données, dont NordVPN n’était pas au courant – a indiqué la société dans un communiqué.
Les utilisateurs de NordVPN n’ont pas été affectés, car le serveur ne contenait aucun journal d’activité d’utilisateur, nom d’utilisateur ou mot de passe. Le service VPN dans son ensemble n’a pas été piraté, le code n’a pas été piraté, le tunnel VPN n’a pas été violé et les applications NordVPN n’ont pas été affectées. En d’autres termes, aucun utilisateur n’a remarqué une interruption du service ni aucun utilisateur individuel n’a été affecté.
Cependant, cela ne signifie pas que NordVPN ne fera rien à propos de cet incident. Bien au contraire, la société a conclu un partenariat stratégique à long terme avec VerSprite, qui se trouve être l’un des principaux cabinets de conseil en cybersécurité. Ce partenariat comprendra la gestion des menaces et des vulnérabilités, les tests de pénétration, la gestion de la conformité et les services d’évaluation. VerSprite aidera également à former un comité consultatif indépendant sur la cybersécurité, qui sera composé d’experts sélectionnés et supervisera les pratiques de sécurité de NordVPN.
«Nous prévoyons d’utiliser non seulement nos propres connaissances, mais aussi de prendre conseil auprès des meilleurs experts en cybersécurité et de mettre en œuvre les meilleures pratiques de cybersécurité qui existent», a déclaré Laura Tyrell, responsable des relations publiques chez NordVPN, dans un communiqué. «Et c’est la première des nombreuses mesures que nous allons prendre afin de porter la sécurité de notre service à un tout autre niveau.»
Concrètement, voici ce que NordVPN prévoit de faire pour assurer une sécurité encore meilleure de son service:
1. Partenariat avec VerSprite
Comme mentionné ci-dessus, VerSprite aidera NordVPN à effectuer des tests de pénétration, à détecter les faiblesses de l’infrastructure et à atténuer les vulnérabilités. Ce ne sera pas un travail ponctuel, mais un partenariat à long terme qui verra VerSprite tester continuellement les limites des serveurs dans le réseau de NordVPN.
Les principales tâches couvertes par l’accord comprennent des tests de pénétration complets, la gestion des intrusions et l’analyse du code source. VerSprite contribuera également à former un comité consultatif indépendant sur la cybersécurité.
2. Prime aux insectes
Au cours des prochaines semaines, NordVPN va introduire un programme de prime aux bogues qui récompensera les experts en cybersécurité pour avoir détecté des vulnérabilités potentielles et signalé aux développeurs afin qu’ils puissent les corriger. Les chasseurs de primes recevront un paiement bien mérité et les utilisateurs de NordVPN recevront un service qu’ils savent être récuré par des milliers de personnes chaque jour pour le rendre aussi sécurisé que possible.
3. Audit de sécurité de l’infrastructure
NordVPN prévoit de terminer un audit de sécurité indépendant à grande échelle l’an prochain. L’audit couvrira le matériel d’infrastructure, le logiciel VPN, l’architecture du backend, le code source du backend et les procédures internes. Le fournisseur choisi pour l’audit de sécurité sera annoncé à l’avenir.
4. Évaluation de la sécurité des fournisseurs et normes de sécurité plus élevées
NordVPN prévoit également de construire un réseau de serveurs colocalisés, qui sera la propriété exclusive de NordVPN. La société achève actuellement son examen de l’infrastructure afin d’éliminer toutes les vulnérabilités exploitables laissées par des fournisseurs de serveurs tiers. NordVPN s’engage à faire en sorte que ses centres de données détenus exclusivement respectent les normes de sécurité les plus élevées.
5. Serveurs sans disque
Enfin, NordVPN vise à mettre à niveau l’ensemble de son infrastructure, qui comprend actuellement plus de 5100 serveurs, vers des serveurs RAM. Cela permettra à l’entreprise de créer un réseau contrôlé centralement où rien n’est stocké localement – pas même un système d’exploitation. Tout ce dont les serveurs ont besoin pour fonctionner sera fourni par l’infrastructure centrale sécurisée de NordVPN. Si quelqu’un saisit l’un de ces serveurs, il trouvera un matériel vide sans données ni fichiers de configuration.
«Les changements que nous avons décrits vous rendront considérablement plus sûr à chaque fois que vous utiliserez notre service. Chaque partie de NordVPN deviendra plus rapide, plus solide et plus sûre – depuis notre infrastructure et notre code jusqu’à nos équipes et nos partenaires », a ajouté Laura Tyrell. « C’est notre promesse – nous vous le devons. »
Notre point de vue : chemin à parcourir NordVPN !!! Tout ce travail à cause de quelque chose qui est essentiellement un non-problème. Nous ne pouvons qu’espérer que d’autres VPN liront le playbook de NordVPN.