Lancé officiellement en juillet 2020, le VPN de Mozilla n’est arrivé en France qu’en mai dernier (nous l'avions alors testé et opposé à Proton VPN). Notre #Brief de la rentrée 2021 sur les failles de sécurité montre qu’il ne faut pas faire confiance aveuglément à une application.
Afin de montrer patte blanche avec son VPN, Mozilla a demandé à Cure53, une société spécialisée dans la cybersécurité – de réaliser un audit de son service. Il en est ressorti « deux problèmes de gravité moyenne et un problème de gravité élevée ». Ils sont détaillés dans ce billet de blog. L’audit complet se trouve par là.
La vulnérabilité avec un risque élevé ne concernait que des pré-versions de l’application et « aucun client n'a été affecté ». Elle a évidemment été bouchée. Un des deux problèmes de niveau moyen a été corrigé, tandis que le second (FVP-02-001) reste en l’état car « les avantages pour l'utilisateur […] l'emportent sur le risque de sécurité ».
