PureVPN : des failles dans son logiciel fait fuiter des informations sur ses utilisateurs

Un logiciel pour Windows est affecté par deux vulnérabilités qui entraînent une fuite des informations d’identification de l’utilisateur selon un chercheur en sécurité de Trustwave.

Selon Manuel Nader de Trustwave, ces bogues peuvent permettre à un attaquant local de récupérer le mot de passe stocké du dernier utilisateur qui s’est connecté avec succès au service PureVPN. L’attaque est effectuée directement via l’interface graphique (GUI), sans avoir besoin d’un autre outil. Pour que l’attaque fonctionne, le client PureVPN doit avoir une installation par défaut, l’attaquant doit avoir accès à tout compte d’utilisateur local et un utilisateur doit s’être connecté avec succès à PureVPN à l’aide du client sur une machine Windows.

Lors de la divulgation des informations d’identification d’un autre utilisateur dans un environnement multi-utilisateur, la machine Windows doit avoir plusieurs utilisateurs. Le chercheur en sécurité découvert que, dans la version 5.18.2.0 du client Windows PureVPN, le mot de passe de l’utilisateur est révélé dans la fenêtre de configuration de l’application. Pour récupérer le mot de passe, l’attaquant doit simplement ouvrir le client PureVPN, accéder à la fenêtre de configuration, ouvrir l’onglet “Profil utilisateur” et cliquer sur “Afficher le mot de passe”.

Le chercheur a également découvert que le client PureVPN pour Windows stockait les informations d’identification de connexion (nom d’utilisateur et mot de passe) en texte clair dans un fichier login.conf situé à l’emplacement ‘C: ProgramData purevpn config . De plus, tous les utilisateurs locaux ont la permission de lire ce fichier.

Ces failles ont été communiqués à PureVPN à la mi-août 2017. Un correctif a été publié en juin 2018. Il est conseillé aux utilisateurs de PureVPN sous Windows de mettre à jour vers la version 6.1.0 ou ultérieure. Toutefois, PureVPN a accepté les risques de divulgation du mot de passe dans la fenêtre de configuration du client selon Nader.

Source

Houssen Mohsinaly

Houssen Mohsinaly

Rédacteur web depuis 2009 et vulgarisateur scientifique. J'écris sur l'actualité scientifique, les cryptomonnaie, mais également les nombreux domaines de la sécurité informatique. Que ce soit les piratages, les Ransomwares, les virus et d'autres malwares.

Avant de lancer ce blog, j'étais contributeur sur de nombreux magazines spécialisés dans la sécurité informatique et je tenais également une rubrique sur les menaces sur le numérique dans un titre de la presse écrite.

Pour me contacter personnellement :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *