Journal de sécurité.
Nous publions les découvertes après leur correction et vérification — un bref résumé, jamais une recette d’exploit. Les délais de correction figurent à côté de chaque entrée.
Ce qui s’est passé.
Revue interne avant le lancement du programme
Le 15 juillet 2026, nous avons entamé une revue de sécurité interne de CreateYourVPN. Les correctifs que nous avons achevés et revérifiés sont publiés ci-dessous ; d'autres suivront à mesure de leur déploiement et de leur confirmation.
— Équipe CreateYourVPNAjout d'un garde-fou contre une configuration cross-origin non sécurisée
La configuration production actuelle n'autorisait pas des origines arbitraires, mais le code permettait une combinaison dangereuse de paramètres si un opérateur la configurait mal. Cette combinaison est désormais rejetée au démarrage et couverte par un test automatisé.
— Équipe CreateYourVPNRéduction de la surface publique de l'API production
La documentation technique interactive de l'API était accessible sans authentification. Elle ne donnait accès à aucune donnée protégée, mais facilitait l'étude de la structure interne de l'API. En production, la documentation est désormais désactivée, tout en restant disponible dans un environnement isolé pour le développement.
— Équipe CreateYourVPNClés cryptographiques de la plateforme séparées selon leur usage
Une revue interne a révélé qu'un même secret servait à deux tâches cryptographiques différentes. Cela ne créait aucun contournement direct, mais élargissait l'impact d'une compromission de la clé. Les deux usages ont été séparés et chacun fait désormais l'objet d'une rotation indépendante.
— Équipe CreateYourVPNEffacement garanti de la clé de gestion après la suppression d'un serveur
L'effacement de la clé de gestion chiffrée s'exécutait après des opérations réseau en arrière-plan et pouvait ne pas se répéter en cas d'échec de ces opérations. Nous avons découplé l'effacement de la clé de la cascade réseau et ajouté une nouvelle tentative garantie. Les scénarios de serveur injoignable et de processus interrompu sont couverts par des tests.
— Équipe CreateYourVPNSuppression d'une voie d'autorisation inutilisée de l'API partenaire
L'API prenait en charge une voie d'autorisation supplémentaire fondée sur les cookie, dont l'architecture server-side actuelle n'avait pas besoin. Aucune attaque intersites n'a été constatée en production, mais cette voie supplémentaire élargissait la surface d'erreurs futures. L'API utilise désormais une méthode d'autorisation unique et explicitement définie, couverte par des tests négatifs.
— Équipe CreateYourVPNCe qui figure ici.
Résumés et chronologies
L’essentiel d’une découverte, la classe de vulnérabilité, la date de signalement et la date de correction. Si une découverte a réfuté une affirmation SR — une correction publique du rapport.
Recettes d’exploit
Des instructions étape par étape, du code PoC et des détails qui aideraient à attaquer d’autres serveurs avant que tout le monde ne mette à jour.
Tu as trouvé quelque chose ?
Écris-nous avec un proof of concept reproductible. Nous répondons sous 72 heures et gérons le triage en interne.