Une faille de sécurité dans la gamme d’applications VPN a révélé des détails sensibles de plus de 20 millions d’utilisateurs, y compris des Israéliens

Une faille de sécurité dans une série d’applications VPN pour smartphones a révélé des détails personnels sensibles, des mots de passe et même des données de navigation de plus de 20 millions d’utilisateurs, y compris des Israéliens – c’est ce que révèle une équipe de cyber-chercheurs israéliens du site VPNmentor, dirigée par Noam Rotem. Le rapport n’est publié qu’après correction de la violation.

La violation a été détectée dans les applications UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN, qui, selon les chercheurs, sont commercialisées par diverses sociétés de Hong Kong, notamment Dreamfii, Mobipotato, Straxmobi et Nownetmobi.

Les chercheurs notent également que les différents services partagent un serveur et d’autres caractéristiques communes qui indiquent qu’ils ont tous été développés et exploités par la même entreprise et ne sont commercialisés que par des entreprises différentes. La faille de sécurité a révélé comme une pétition de dossiers d’information, 1,08 milliard d’enregistrements différents au total avec une taille totale de 1,21 téraoctets.

Les applications et services VPN prétendent offrir aux surfeurs une sécurité renforcée lorsqu’ils naviguent sur le Web, en chiffrant et en acheminant leur navigation via d’autres serveurs, qui résident généralement dans un autre pays, cachant ainsi les informations de navigation au FAI ou à d’autres entités. De plus, les services cachent la véritable adresse IP du surfeur, ce qui rend difficile pour les sites qu’il visite de le suivre. Un créateur de l’utilisation des services VPN est le remplacement du pays d’où l’utilisateur vient d’un autre pays (où réside le serveur VPN), et dans de nombreux cas, les internautes utilisent ces services pour accéder à des services non disponibles dans leur pays ou pour afficher du contenu non disponible dans leur pays sur des services comme Netflix.

Les applications VPN qui ont souffert de la violation se présentent comme ne conservant pas de trace de l’activité des utilisateurs et des sites Web qu’ils ont consultés, et revendiquent des capacités de sécurité des informations de « niveau militaire ». « Cependant, cela contredit ce que nous avons trouvé dans notre étude », ont déclaré les chercheurs dans un rapport publié par les chercheurs. Les informations supplémentaires fournies incluent les adresses e-mail, les adresses IP, l’adresse du domicile et le modèle de téléphone de l’utilisateur.

Selon les enquêteurs, tout au long de l’enquête, le serveur qu’il a identifié a été actif et mis à jour régulièrement. « Nous avons trouvé des enregistrements – non cryptés – qui comprenaient des adresses e-mail et des mots de passe utilisateur, des demandes de changement de mot de passe et des tentatives de connexion infructueuses », ont-ils écrit. « Le serveur VPN auquel les utilisateurs se sont connectés a également été exposé. Cela rend le service VPN redondant, car l’adresse IP d’origine de l’utilisateur est exposée et peut être connectée à son historique de navigation. » « Il s’agit d’une exposition particulièrement problématique dans les cas où, par exemple, les surfeurs visitent des sites qui sont interdits de navigation dans leur pays, comme les surfeurs iraniens qui ont visité des sites pornographiques ».

De plus, une correspondance a été trouvée avec le service client des applications, y compris des plaintes concernant le manque de support suffisant ou des positifs incorrects. Des informations provenant des systèmes internes de l’opérateur d’application ont également été révélées.

Selon les enquêteurs, les informations révélées pourraient présenter des risques pour les utilisateurs, notamment des attaques de phishing, des fraudes, des tentatives d’extorsion et des menaces et même l’emprisonnement. « Beaucoup des millions d’utilisateurs de VPN exposés vivent dans des pays aux régimes oppressifs et violents, comme l’Iran et le Soudan », ont-ils expliqué. « En gardant l’activité en ligne et les informations des utilisateurs, ces services VPN restreignent les utilisateurs les plus vulnérables et les exposent à un grand danger. Si les listes avaient été divulguées au réseau, les régimes auraient pu les utiliser pour arrêter, poursuivre et interdire les utilisateurs. »

VpnMentor, qui est basé sur l’examen et la promotion de services VPN payants, est conscient que la publication d’informations sur une violation des services VPN gratuits peut être un conflit d’intérêts, mais déclare dans ce contexte : « vpnMentor est un site de comparaison de services VPN. L’équipe de recherche est indépendante de l’équipe commerciale. « Les services qui ont été publiés sur le site moyennant des frais sont apparus dans des études précédentes lorsque des lacunes ont été identifiées parmi eux . » Ils soulignent également que la publication de telles informations leur fait également du mal, car cela suscite des craintes générales parmi les utilisateurs quant à l’utilisation des services VPN, lorsqu’ils ne se souviennent généralement pas si une marque pose problème ou non.

Bien que la brèche ait été identifiée et signalée aux opérateurs de services dès le 5 juillet, elle n’a été fermée que plus tôt dans la journée (mercredi). VpnMentor et plusieurs médias ont approché les différents services et opérateurs pour une réponse. Les quelques personnes qui ont répondu, y compris UFO VPN et Mobipotato, ont déclaré : « En raison d’un changement d’effectif provoqué par Covid-19, nous n’avons pas trouvé les bogues sur le serveur de pare-feu immédiatement, ce qui entraînait un risque d’échappatoire. Ils ont été corrigés. Nous ne collectons pas et ne stockons pas l’adresse physique des utilisateurs. Tous Les informations collectées sont anonymes et ne sont utilisées que pour analyser les performances du réseau et les problèmes afin d’améliorer la qualité de service.

« Cependant, certains des commentaires que les utilisateurs envoient incluent des e-mails et le nombre est très petit, moins de 1% des utilisateurs. Les » mots de passe non chiffrés « ne sont pas des mots de passe pour se connecter au compte. Ce sont probablement des jetons pour se connecter aux serveurs VPN, et je recueille les commentaires des utilisateurs pour vérifier « Nous l’appelons ‘mots de passe’ dans les commentaires et les stockons non cryptés. Tous les mots de passe de connexion au compte sont cryptés. » Selon les chercheurs de vpnMentor, cette affirmation est incorrecte.

Rédaction francophone Infos Israel News pour l’actualité israélienne
© 2025 – Tous droits réservés