La communauté OpenVPN lance une mise à jour critique suite à la découverte d’une vulnérabilité pouvant entraîner des attaques par déni de service (DoS) sur des serveurs configurés avec tls-crypt-v2.

OpenVPN, l’un des systèmes les plus utilisés au monde pour établir des réseaux privés virtuels (VPN), a été frappé par une faille de sécurité qui pourrait permettre à des attaquants de provoquer des pannes inattendues de serveurs VPN et d’interrompre les communications chiffrées. La communauté des développeurs a réagi en lançant la version 2.6.14, corrigeant cette grave problématique classée sous la référence CVE-2025-2704.

Un défaut d’authentification des paquets peut bloquer les serveurs

La vulnérabilité concerne toutes les versions de OpenVPN 2.6.1 à 2.6.13, mais uniquement lorsqu’elles sont configurées avec l’option --tls-crypt-v2, une fonction conçue pour chiffrer et authentifier les canaux de contrôle TLS tout en renforçant la vie privée contre les inspections approfondies de paquets (DPI).

Le défaut permet qu’en recevant une combinaison spécifique de paquets réseau — certains valides et d’autres malformés —, l’état du client sur le serveur soit corrompu. En conséquence, un mécanisme de protection interne se déclenche, générant un message de type ASSERT et forçant l’interruption immédiate du service. Si le serveur VPN fonctionne dans un environnement de production, ce blocage peut affecter des centaines ou des milliers d’utilisateurs simultanément.

Bien que la faille ne permette pas l’accès à des données chiffrées ni l’exécution de code malveillant, son potentiel perturbateur est significatif. La communauté de OpenVPN précise que le défaut ne compromet pas l’intégrité cryptographique du protocole.

Conditions d’attaque et recommandations

Pour exploiter cette vulnérabilité, un attaquant devrait posséder une clé client valide pour tls-crypt-v2 ou avoir la capacité d’intercepter et d’injecter des paquets manipulés lors de la phase de liaison TLS.

Les responsables du projet recommandent de mettre à jour immédiatement vers la version OpenVPN 2.6.14. Si la mise à jour n’est pas réalisable à court terme, il est conseillé de désactiver l’option --tls-crypt-v2, bien que cela puisse entraîner une perte de confidentialité et de résistance face à certains types de surveillance.

Qu’est-ce qu’OpenVPN et pourquoi est-il si important ?

OpenVPN est un logiciel open source qui permet la création de tunnels sécurisés à travers Internet. Utilisé tant par des entreprises que par des particuliers, il a acquis une solide réputation pour sa fiabilité, sa sécurité et sa flexibilité. Contrairement à d’autres solutions propriétaires, OpenVPN permet une personnalisation approfondie du canal de communication et est compatible avec plusieurs systèmes d’exploitation, y compris Linux, Windows, macOS, Android et iOS.

De plus, son architecture modulaire a permis l’incorporation de couches supplémentaires de sécurité, comme tls-auth et tls-crypt, et plus récemment, tls-crypt-v2, qui ajoute une protection accrue contre l’analyse du trafic et les attaques de spoofing.

Ce nouvel incident montre que même les solutions les plus matures et robustes ne sont pas à l’abri des défauts critiques. La rapidité de la réponse de la communauté illustre l’engagement d’OpenVPN envers la sécurité, mais rappelle également l’importance de maintenir les systèmes toujours à jour et de vérifier périodiquement les configurations critiques.

Pour plus d’informations techniques sur la vulnérabilité et les instructions de mise à jour, vous pouvez consulter l’avis officiel publié par l’équipe OpenVPN :
👉 https://community.openvpn.net/openvpn/wiki/CVE-2025-2704