NordVPN n’exécute pas de botnet. Voici comment vous pouvez le savoir
Le service de confidentialité Internet populaire NordVPN a publié un article de blog plus tôt cette semaine niant les allégations selon lesquelles ils récoltent des données utilisateur et exploitent un botnet via leur client VPN. Nord a invité ses utilisateurs à constater par eux-mêmes que les frais facturés en utilisant Wireshark n'étaient pas valables, alors je les ai acceptés. Voici comment vous pouvez faire de même.
Le dépôt légal contre Tesonet
Apparemment un récent procès a lancé la campagne de Nord pour se défendre contre ses accusateurs en ligne. La poursuite, qui a été déposée devant un tribunal du Texas contre Tesonet, partenaire de Nord, allègue que NordVPN a piraté la technologie d'un concurrent et l'a utilisée pour créer un botnet qui forcerait les utilisateurs de Nord à agir comme nœuds de sortie.
Correction : une version antérieure de cet article indiquait à tort que le procès de Hola était contre NordVPN. Le procès a été intenté contre Tesonet, un partenaire de NordVPN.
La société que Tesonet aurait volée n'est autre que Hola, qui a fait l'actualité en 2015 après qu'il a été démontré que l'ancien fournisseur VPN gratuit avait une porte dérobée non sécurisée dans son client VPN, entre autres choses. C'est important, car Hola est en disgrâce C’était une nouvelle majeure à l’époque, et si Nord faisait la même chose, cela ternirait sérieusement sa crédibilité.
J'ai donc lancé Wireshark et découvert que Nord n’est absolument pas engagé dans la création d’une quelconque sorte de botnet , et ne fait clairement pas ce que Hola a fait et continue de faire.
Recherche d'un botnet de malware de type Hola
Pour arriver à cette conclusion, je me suis connecté au client NordVPN et j'ai démarré Wireshark. J'ai configuré Wireshark pour capturer le trafic sur la connexion cryptée créée par Nord lors de son installation.
J'ai laissé la session se dérouler pendant cinq minutes avec Chrome fermé pour m'assurer que tout trafic généré provenait d'un service système et non de ma propre navigation. Vous pouvez voir sur la capture que mon adresse IP privée se trouve dans le sous-réseau 10.8.8.0, qui est utilisé par les clients de Nord.
Au cours de ces cinq minutes, le serveur multimédia Plex, que j'ai installé et exécuté, a échangé un message avec le backend plex.tv.
J'ai également testé la version actuelle de Hola afin de pouvoir voir par moi-même si le trafic correspondait aux allégations du procès. J'ai exécuté la capture exactement de la même manière, cinq minutes avec mon navigateur fermé.
Environ une minute après la fin de l'installation, Hola a commencé à envoyer des requêtes depuis mon ordinateur vers le Web. Cela a principalement touché les serveurs publicitaires, ce qui m’amène à me demander si les clients payants de Hola – ceux qui ont accès à la bande passante gratuite des utilisateurs VPN – pourraient utiliser Hola pour gonfler leurs propres revenus publicitaires.
Quoi qu’il en soit, vous pouvez voir la différence. À mon avis, il n'y a absolument aucun moyen que NordVPN gère un botnet en utilisant la propriété intellectuelle de Hola.
Cela signifie-t-il vraiment qu’ils ne vous espionnent pas ?
Certains autres fournisseurs VPN ont été accusé de renifler les connexions sécurisées de leurs utilisateurs et fournir les informations aux forces de l’ordre. Aucune allégation de surveillance des connexions de cette manière n'a été formulée contre Nord, mais j'étais déjà en train de vérifier les choses, alors j'ai décidé de voir par moi-même.
Vérification du mode promiscuité avec NMap
Nmap est livré avec un script appelé détection par renifleur ça envoie paquets ARP mal formés à un hôte, puis indique si ces paquets ont été rejetés ou non.
Une carte réseau exécutée en mode promiscuité se comportera étrangement dans certaines circonstances, enregistrant des paquets qui autrement seraient rejetés, car le pilote demande à la carte réseau de transmettre tout le trafic au processeur pour la journalisation. L'Iran détection par renifleur sur le serveur NordVPN auquel j'étais connecté et j'ai pu trouver aucune preuve que Nord a activé le mode promiscuité .
Notez que j'ai utilisé un version personnalisée du script que j'ai modifié pour qu'il affiche les résultats même si l'hôte ne fonctionne pas en mode promiscuité. Dans la version originale, les hôtes sécurisés n'affichent aucun résultat.
NordVPN ne semble pas collecter les données des utilisateurs
D’après mes tests, je ne vois aucune preuve que NordVPN collecte des données utilisateur ou exécute un botnet. Le procès me semble sans fondement et fait partie d’une campagne de diffamation plus large contre NordVPN.
J'ai contacté Nord pour obtenir des commentaires et je leur ai posé des questions sur les récentes allégations. Voici ce qu'on m'a dit :
« Hola VPN a utilisé ses clients comme nœuds de sortie pour effectuer un web scraping. Cela signifie que les appareils des utilisateurs ont été utilisés comme proxy pour envoyer des requêtes aux sites Web souhaités. Un tel comportement peut facilement être vérifié et vérifié, toutes les requêtes faites par nos applications sont nécessaires au bon fonctionnement du service, c'est tout. Les utilisateurs de NordVPN n’ont jamais été abusés de quelque manière que ce soit, leur trafic n’a jamais été enregistré à aucun moment de leur connexion.
Je les ai également poussés à clarifier ce que signifie réellement « pas de journalisation », et le porte-parole de Nord m’a dit : « Nous n’enregistrons aucun trafic ni aucun journal de connexion à aucun moment, ni au niveau de l’application, ni du serveur, ni nulle part entre les deux. Nous ne dépannons même pas nos serveurs si quelque chose arrive. Si nous remarquons que l’un de nos protocoles pris en charge ne fonctionne pas comme il le devrait, nous supprimons immédiatement un serveur de la production et enquêtons ensuite seulement sur le problème. [sic]
À mon avis, NordVPN est totalement sûr à utiliser . Mais si vous hésitez, installez Wireshark et voyez par vous-même. Lorsque vous regardez NordVPN et Hola côte à côte, la différence est claire.
Divulgation : NordVPN est une filiale de Comparitech. En savoir plus .