- Une nouvelle étude montre que huit applications VPN commerciales populaires fonctionnent de manière trompeuse, exposant plus de 700 millions d’utilisateurs à une surveillance autoritaire.
- Un premier groupe de VPN a établi des liens avec l’Armée populaire de libération (APL) de Chine, et un deuxième groupe, aux pratiques trompeuses similaires, a été récemment découvert.
- Les applications VPN commerciales gratuites sont plus risquées que les applications payantes.
Les réseaux privés virtuels (VPN) sont une infrastructure essentielle pour la sécurité et la protection de la vie privée, utilisée par des personnes du monde entier pour contourner la censure et la surveillance répressives et protéger leur vie privée et leurs connexions sur les réseaux WiFi publics. Leur popularité s’est considérablement accrue à mesure que des gouvernements de plus en plus autoritaires censurent l’internet libre et ouvert.
Les fournisseurs de VPN commerciaux opèrent avec des degrés de transparence variables, et les utilisateurs doivent déterminer s’ils accordent plus d’importance à la transparence qu’à l’anonymat lorsqu’ils choisissent un fournisseur, car il y a des compromis à faire pour chacun d’entre eux.
Récemment, mes collègues et moi-même avons découvert que huit fournisseurs d’applications VPN commerciales populaires semblent cacher la propriété et les opérations de leurs services. Ces services présentent de graves problèmes de confidentialité et de sécurité qui exposent plus de 700 millions d’utilisateurs à un risque de surveillance autoritaire.
Transparence et anonymat dans l’écosystème VPN
Les VPN ne sont pas conçus pour des communications véritablement anonymes. Lorsqu’ils choisissent un fournisseur de VPN, les utilisateurs transfèrent implicitement la confiance de leur fournisseur de services internet au fournisseur de VPN. Ce transfert – bien qu’il soit souvent négligé ou ignoré – a des implications importantes en matière de sécurité, étant donné l’accès du fournisseur aux données de l’utilisateur.
L’avantage d’un fournisseur de VPN opérant de manière transparente est que les utilisateurs savent qui peut voir leurs communications. L’inconvénient d’un tel fournisseur est qu’il peut être facilement identifié par les autorités et cité à comparaître ou ciblé par des cybercriminels, ce qui peut mettre les utilisateurs en danger.
Un fournisseur de VPN qui opère de manière anonyme (donc moins transparente) ne peut pas être facilement ciblé par les censeurs ou les cybercriminels, ni cité à comparaître par les autorités, ce qui offre un certain niveau de protection aux utilisateurs. L’inconvénient est que les utilisateurs ne savent pas qui peut voir leurs communications, ce qui peut augmenter le risque de surveillance ou d’exploitation.
Les informations sur les opérations, la propriété et le développement d’un fournisseur sont essentielles pour que les utilisateurs puissent prendre des décisions éclairées, mais ces détails sont souvent difficiles à trouver. En outre, certains fournisseurs de VPN – en particulier les services gratuits qui monétisent les données des utilisateurs et diffusent des publicités – utilisent des pratiques éthiquement douteuses lors du développement, de la commercialisation et de l’exploitation de leurs VPN. Ils exploitent les lacunes juridiques et tentent de dissimuler qui contrôle leurs services. Par exemple, certains VPN citent Singapour (un pays doté de lois strictes en matière de protection de la vie privée) comme leur pays d’origine dans leurs applications, alors qu’ils sont en réalité liés à la Chine (un pays doté de lois très intrusives en matière de protection de la vie privée).
Lorsque de telles informations sur les fournisseurs de VPN ne sont pas faciles à trouver ou que le fournisseur tente activement de les dissimuler, les utilisateurs risquent de confier leurs données à un fournisseur qu’ils n’auraient peut-être pas choisi autrement. Dans des contextes où des personnes sont poursuivies pour s’être exprimées en ligne ou avoir accédé à des informations bloquées par les autorités, ces VPN font courir un grand risque à leurs utilisateurs.
Analyse de la transparence et de l’anonymat dans l’écosystème VPN et implications pour les utilisateurs
Jeffrey Knockel du Bowdoin College et Jedidiah R. Crandell de l’Arizona State University dans le cadre de mon programme ICFP ( Information Controls Fellowship Program ) pour découvrir qui possède, exploite et développe 32 VPN populaires sur le Google Play Store (avec plus d’un milliard de téléchargements, collectivement). Vingt-et-un fournisseurs de VPN apparemment distincts distribuent ces applications VPN et proposent des services de VPN. en Inde, en Indonésie, en Russie, au Pakistan, en Arabie saoudite, en Turquie, aux Émirats arabes unis, au Bangladesh, en Égypte, en Algérie, à Singapour et au Brésil.
Nous avons attribué aux fournisseurs un score multifactoriel “transparence contre anonymat”, avec les objectifs suivants :
- Aider les utilisateurs à prendre des décisions plus éclairées lorsqu’ils choisissent un fournisseur de VPN ; et
- Encourager les magasins d’applications à identifier clairement les applications qui fonctionnent de manière transparente et celles qui ne le font pas.
Nous avons également examiné s’il existe un lien entre le manque de transparence et les vulnérabilités en matière de sécurité.
Vous trouverez ci-dessous trois résultats significatifs de notre recherche :
Deux groupes de fournisseurs de VPN, dont les applications ont été téléchargées à plus de 700 millions d’exemplaires, ont commis des infractions en matière de transparence.
Deux groupes de prestataires ne révèlent pas qu’ils sont liés ou qu’ils opèrent ensemble, et semblent dissimuler la propriété et les activités de leurs services.
Des recherches antérieures ont montré que le premier groupe – INNOVATING CONNECTING LIMITED, AUTUMN BREEZE PTE. LIMITED, et LEMON CLOVE PTE. LIMITED- sont exploités par les mêmes ressortissants chinois et ont des liens avec la société chinoise de cybersécurité Qihoo 360 et l’APL, si l’on examine leurs politiques de confidentialité et leurs déclarations de droits d’auteur. Nous avons approfondi la question en analysant manuellement les applications VPN les plus populaires et nous avons constaté qu’elles partagent également le même code et la même infrastructure, ainsi que des indications de connexion encore plus solides.
Le deuxième groupe de fournisseurs de VPN, qui n’a pas fait l’objet d’études antérieures, comprend MATRIX MOBILE PTE. LTD, ForeRaya Technologies PTE LTD, Wildlook Tech Pte Ltd, Hong Kong Silence Technology et Yolo Technology Limited. Bien qu’aucun lien avec Qihoo 360 n’ait pu être identifié pour ces entités, leurs caractéristiques opérationnelles sont similaires à celles du premier groupe (qui a des liens avec l’entreprise chinoise de cybersécurité). Par exemple, leurs politiques de confidentialité font référence à Innovative Connecting. En outre, leurs applications partagent l’infrastructure et le code.
Les deux groupes présentent plusieurs failles de sécurité
Les vulnérabilités sont les suivantes :
- L’utilisation de Shadowsocks pour le tunneling : Shadowsocks (un projet de proxy open-source conçu pour contourner la censure Internet et les restrictions géographiques) a été conçu pour l’accès à l’Internet ouvert. seulement, et non pour la confidentialité. C’est un problème car ces applications sont annoncées comme assurant la sécurité de l’utilisateur.
- Des mots de passe codés en dur dans leur configuration et partagés par tous les utilisateurs : Le mot de passe est intégré au code source, au lieu d’être stocké en toute sécurité ailleurs et d’être récupéré au moment de l’exécution. Le fait que les informations d’identification du mot de passe se trouvent dans le code de l’application elle-même les rend facilement accessibles à quiconque peut voir le code. Un pirate qui connaît le mot de passe peut décrypter le chiffrement du VPN pour tous les utilisateurs, exposant ainsi le contenu auquel ils accèdent. Cela compromet considérablement la sécurité et la vie privée des utilisateurs.
- Susceptibilité aux attaques client/serveur de type blind-in/on-path (côté client confirmé, côté serveur implicite) : Un attaquant peut intercepter et même modifier la communication à l’insu de l’utilisateur, ce qui constitue une violation grave de sa vie privée et de sa sécurité.
- Extraction d’informations relatives à la localisation de l’utilisateur, bien qu’il soit affirmé que ces informations ne sont pas collectées.
Ces problèmes logiciels sont alarmants, en particulier pour les fournisseurs ayant des liens avec l’entreprise chinoise de cybersécurité Qihoo 360. Ils remettent en question les intentions des fournisseurs lorsqu’ils se connectent à la plus grande société de cybersécurité de Chine, tout en proposant des applications critiques pour la sécurité présentant des vulnérabilités flagrantes.
Les applications VPN commerciales gratuites sont plus risquées que les applications payantes
Bien que toutes les applications VPN commerciales gratuites ne soient pas de mauvaise foi, l’utilisation de produits tels que TurboVPN, VPN Proxy Master et Snap VPN (fournis par le premier groupe de fournisseurs) présente beaucoup plus de risques pour la sécurité et la vie privée des utilisateurs qu’une application VPN payante. En effet, les VPN commerciaux gratuits ont tendance à capitaliser sur les données de leurs utilisateurs, en utilisant potentiellement des pratiques éthiquement douteuses dans leur développement, leur marketing et leurs opérations.
Lisez le rapport complet et accédez au rapport technique approfondi.
Adapté de l’article original publié par l’Open Technology Fund.
Benjamin Mixon-Baca est chercheur en sécurité et cofondateur de Breakpointing Bad. Cette recherche a été menée dans le cadre de son Bourse ICFP.
Les opinions exprimées par les auteurs de ce blog sont les leurs et ne reflètent pas nécessairement celles de l’Internet Society.