La promesse de l'anonymat en ligne serait-elle un leurre quand il s'agit de certains VPN ? Une nouvelle étude met en lumière les pratiques douteuses et les failles de sécurité de trois familles de VPN gratuits et très populaires sur le Google Play Store.
Une étude académique intitulée « Hidden Links: Analyzing Secret Families of VPN » Apps révèle que plusieurs applications parmi les plus téléchargées sur le Google Play Store sont loin de respecter les principes de sécurité et de confidentialité. Totalisant plus de 700 millions de téléchargements, celles-ci présentent des failles de sécurité et des origines suspectes qui menacent directement la vie privée des utilisateurs.
Play Store : ces VPN gratuits ne seraient pas aussi fiables qu'ils en ont l'air
L’analyse s’est concentrée sur trois groupes d’applications issues des 100 VPN les plus téléchargés. La famille A, associée aux fournisseurs Innovative Connecting, Lemon Clove et Autumn Breeze, comprend entre autres Turbo VPN, VPN Proxy Master, Snap VPN et SuperNet VPN. La famille B, liée à MATRIX MOBILE PTE LTD, Super Z VPN ou encore WILDLOOK TECH PTE. LTD., regroupe des solutions comme Global VPN, XY VPN, Touch VPN et Melon VPN. Enfin, la famille C, reliée à FreeConnectedLimited et Fast Potato, rassemble X-VPN et Fast Potato VPN.
Malgré leur apparente indépendance, ces services présentent des similitudes frappantes. Dans la famille A, chaque application contenait un code Java, des bibliothèques et une infrastructure pratiquement identiques. La famille B, dont certaines politiques de confidentialité renvoient directement à Innovative Connecting, partageait les mêmes adresses IP. Quant aux VPN de la famille C, ils reposaient sur « une implémentation de protocole propriétaire partagée » et un code commun.
Des vulnérabilités qui compromettent la sécurité des utilisateurs
Les failles de sécurité découvertes dans ces applications sont particulièrement alarmantes. L'étude a notamment relevé l'utilisation de mots de passe Shadowsocks codés en dur dans leurs APK. Selon les chercheurs, cette pratique « permet à un attaquant de déchiffrer le trafic des clients de ces fournisseurs, compromettant ainsi la sécurité ». L’étude mentionne également des risques d’attaques aveugles, d’affaiblissement du chiffrement et d’attaques par inférence de connexion.
Ces failles sont d'autant plus préoccupantes que, comme l'ont souligné les chercheurs, « les magasins d'applications comme le Play Store se trouvent dans une position délicate étant donné les limites d'évolutivité liées au contrôle des développeurs ». Ils proposent d'ailleurs que Google rende son « badge d'audit de sécurité pour les applications VPN » obligatoire afin d'apporter aux utilisateurs « des informations et une protection supplémentaires ».
Source : ZDNET
