Une faille de sécurité dans une série d’applications VPN pour smartphones a révélé des détails personnels sensibles, des mots de passe et même des données de navigation de plus de 20 millions d’utilisateurs, y compris des Israéliens – c’est ce que révèle une équipe de cyber-chercheurs israéliens du site VPNmentor, dirigée par Noam Rotem. Le rapport n’est publié qu’après correction de la violation.
La violation a été détectée dans les applications UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN, qui, selon les chercheurs, sont commercialisées par diverses sociétés de Hong Kong, notamment Dreamfii, Mobipotato, Straxmobi et Nownetmobi.
Les chercheurs notent également que les différents services partagent un serveur et d’autres caractéristiques communes qui indiquent qu’ils ont tous été développés et exploités par la même entreprise et ne sont commercialisés que par des entreprises différentes. La faille de sécurité a révélé comme une pétition de dossiers d’information, 1,08 milliard d’enregistrements différents au total avec une taille totale de 1,21 téraoctets.
Les applications et services VPN prétendent offrir aux surfeurs une sécurité renforcée lorsqu’ils naviguent sur le Web, en chiffrant et en acheminant leur navigation via d’autres serveurs, qui résident généralement dans un autre pays, cachant ainsi les informations de navigation au FAI ou à d’autres entités. De plus, les services cachent la véritable adresse IP du surfeur, ce qui rend difficile pour les sites qu’il visite de le suivre. Un créateur de l’utilisation des services VPN est le remplacement du pays d’où l’utilisateur vient d’un autre pays (où réside le serveur VPN), et dans de nombreux cas, les internautes utilisent ces services pour accéder à des services non disponibles dans leur pays ou pour afficher du contenu non disponible dans leur pays sur des services comme Netflix.
Les dons sont la bienvenue en cette situation particulièrement difficile :
Les applications VPN qui ont souffert de la violation se présentent comme ne conservant pas de trace de l’activité des utilisateurs et des sites Web qu’ils ont consultés, et revendiquent des capacités de sécurité des informations de « niveau militaire ». « Cependant, cela contredit ce que nous avons trouvé dans notre étude », ont déclaré les chercheurs dans un rapport publié par les chercheurs. Les informations supplémentaires fournies incluent les adresses e-mail, les adresses IP, l’adresse du domicile et le modèle de téléphone de l’utilisateur.
Selon les enquêteurs, tout au long de l’enquête, le serveur qu’il a identifié a été actif et mis à jour régulièrement. « Nous avons trouvé des enregistrements – non cryptés – qui comprenaient des adresses e-mail et des mots de passe utilisateur, des demandes de changement de mot de passe et des tentatives de connexion infructueuses », ont-ils écrit. « Le serveur VPN auquel les utilisateurs se sont connectés a également été exposé. Cela rend le service VPN redondant, car l’adresse IP d’origine de l’utilisateur est exposée et peut être connectée à son historique de navigation. » « Il s’agit d’une exposition particulièrement problématique dans les cas où, par exemple, les surfeurs visitent des sites qui sont interdits de navigation dans leur pays, comme les surfeurs iraniens qui ont visité des sites pornographiques ».
De plus, une correspondance a été trouvée avec le service client des applications, y compris des plaintes concernant le manque de support suffisant ou des positifs incorrects. Des informations provenant des systèmes internes de l’opérateur d’application ont également été révélées.
Selon les enquêteurs, les informations révélées pourraient présenter des risques pour les utilisateurs, notamment des attaques de phishing, des fraudes, des tentatives d’extorsion et des menaces et même l’emprisonnement. « Beaucoup des millions d’utilisateurs de VPN exposés vivent dans des pays aux régimes oppressifs et violents, comme l’Iran et le Soudan », ont-ils expliqué. « En gardant l’activité en ligne et les informations des utilisateurs, ces services VPN restreignent les utilisateurs les plus vulnérables et les exposent à un grand danger. Si les listes avaient été divulguées au réseau, les régimes auraient pu les utiliser pour arrêter, poursuivre et interdire les utilisateurs. »
VpnMentor, qui est basé sur l’examen et la promotion de services VPN payants, est conscient que la publication d’informations sur une violation des services VPN gratuits peut être un conflit d’intérêts, mais déclare dans ce contexte : « vpnMentor est un site de comparaison de services VPN. L’équipe de recherche est indépendante de l’équipe commerciale. « Les services qui ont été publiés sur le site moyennant des frais sont apparus dans des études précédentes lorsque des lacunes ont été identifiées parmi eux . » Ils soulignent également que la publication de telles informations leur fait également du mal, car cela suscite des craintes générales parmi les utilisateurs quant à l’utilisation des services VPN, lorsqu’ils ne se souviennent généralement pas si une marque pose problème ou non.
Bien que la brèche ait été identifiée et signalée aux opérateurs de services dès le 5 juillet, elle n’a été fermée que plus tôt dans la journée (mercredi). VpnMentor et plusieurs médias ont approché les différents services et opérateurs pour une réponse. Les quelques personnes qui ont répondu, y compris UFO VPN et Mobipotato, ont déclaré : « En raison d’un changement d’effectif provoqué par Covid-19, nous n’avons pas trouvé les bogues sur le serveur de pare-feu immédiatement, ce qui entraînait un risque d’échappatoire. Ils ont été corrigés. Nous ne collectons pas et ne stockons pas l’adresse physique des utilisateurs. Tous Les informations collectées sont anonymes et ne sont utilisées que pour analyser les performances du réseau et les problèmes afin d’améliorer la qualité de service.
« Cependant, certains des commentaires que les utilisateurs envoient incluent des e-mails et le nombre est très petit, moins de 1% des utilisateurs. Les » mots de passe non chiffrés « ne sont pas des mots de passe pour se connecter au compte. Ce sont probablement des jetons pour se connecter aux serveurs VPN, et je recueille les commentaires des utilisateurs pour vérifier « Nous l’appelons ‘mots de passe’ dans les commentaires et les stockons non cryptés. Tous les mots de passe de connexion au compte sont cryptés. » Selon les chercheurs de vpnMentor, cette affirmation est incorrecte.
Nous utilisons des technologies telles que les cookies pour stocker et/ou accéder aux informations relatives aux appareils. Nous le faisons pour améliorer l’expérience de navigation et pour afficher des publicités personnalisées. Consentir à ces technologies nous permettra de traiter des données telles que le comportement de navigation ou les ID uniques sur ce site. Le fait de ne pas consentir ou de retirer son consentement peut avoir un effet négatif sur certaines fonctonnalités et caractéristiques.
Fonctionnel
Toujours activé
Le stockage ou l’accès technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
Le stockage ou l’accès technique est nécessaire pour créer des profils d’utilisateurs afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
Pour offrir les meilleures expériences, nous utilisons des technologies telles que les cookies pour stocker et/ou accéder aux informations des appareils. Le fait de consentir à ces technologies nous permettra de traiter des données telles que le comportement de navigation ou les ID uniques sur ce site. Le fait de ne pas consentir ou de retirer son consentement peut avoir un effet négatif sur certaines caractéristiques et fonctions.
Fonctionnel
Toujours activé
Le stockage ou l’accès technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
Le stockage ou l’accès technique est nécessaire pour créer des profils d’utilisateurs afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
