7 fournisseurs de VPN "zero log" font fuiter plus de 1 To... de logs

Pierre Crochart
Spécialiste smartphone & gaming
20 juillet 2020 à 09h23
0
© Shutterstock

Dans la jungle des VPN, les fournisseurs les plus recommandables sont souvent ceux qui garantissent une politique dite « zero log ». Autrement dit : qui ne conservent strictement aucune trace de l’activité de leurs utilisateurs. Alors quand cette promesse est brisée, la chute n’en est que plus vertigineuse pour les personnes impliquées.

Un chercheur en sécurité informatique a découvert plus d’un téraoctet de logs appartenant à des utilisateurs de VPN « zero log » en clair, à la disposition de tous, sur un serveur Elasticsearch. Sept fournisseurs seraient concernés par cette « maladresse ».

Plus de 890 Go de logs en provenance d’UFO VPN

Dans le détail, ce sont sept fournisseurs de VPN basés à Hong-kong qui ont failli à leur promesse de confidentialité. D’entre eux, c’est UFO VPN qui signe probablement la plus grosse bourde.

Le 1er juillet dernier, le chercheur Bob Diachenko a mis le doigt sur une base de données de plus de 894 Go appartenant à UFO VPN. Mots de passe de comptes utilisateurs, adresses IP, serveurs VPN préférés, et même des identifiants relatifs aux sessions des utilisateurs, ou encore le nom de domaine de certains sites Web visités.

Au total, plus de 20 millions d’entrées ont été laissées en clair sur le serveur. Coïncidence : UFO VPN se targue justement sur son site web d’avoir plus de 20 millions d’utilisateurs sur son service.

Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN également concernés

Le 5 juillet, Noam Rotem du site VPNmentor a de son côté découvert que UFO VPN n’était que l’arbre qui cachait la forêt. Il s’est avéré que Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN étaient également concernés par cette fuite de logs en clair sur le Web. Six autres fournisseurs, tous hongkongais, et édités selon le site The Register par une entité commune : Dreamfii HK.

Au total, ce sont donc 1,2 téraoctet de logs comprenant précisément 1 083 997 361 entrées qui étaient accessibles à tous sur le cluster Elasticsearch. Cette découverte a aussi mis au jour que des données relatives aux sites visités, aux noms des utilisateurs, aux adresses email et de résidence, et même aux informations de paiement (PayPal et Bitcoin) étaient inscrites dans ces fichiers.

Pire : il ne s’agirait pas de cas isolés. Poussant l’investigation plus loin, VPNmentor s’est créé un compte sur l’un des services, et a pu retrouver quasi instantanément les informations qu’il avait utilisées sur le serveur, toujours en clair. 

Le coronavirus a bon dos

Alerté le 14 juillet par Diachenko, UFO VPN a réagi et fait disparaître toute trace de ces fameux logs de son serveur le jour suivant. Au chercheur, l’entreprise aurait répondu que la situation liée au coronavirus aurait empêché ses équipes de sécuriser l’infrastructure de son réseau. « Désormais, la situation est réglée », rassure le fournisseur.

Une réponse immédiate, certes, mais qui n’enlève rien à un élément central de l’affaire : UFO VPN et les six autres fournisseurs continuent de promettre une politique zero log alors que ce n’est clairement pas le cas. Interrogé à ce propos, UFO admet qu’il conserve des logs uniquement à des fins d’analyse de la performance, et que toutes les données sont anonymisées. Faux, répondent les chercheurs à l’origine de la découverte, qui répètent que de nombreuses entrées permettaient une identification claire des utilisateurs.

« En nous basant sur les données recueillies, nous ne pensons pas que les données étaient anonymes, appuie Paul Bischoff, un chercheur de Comparitech. Nous recommandons aux utilisateurs d’UFO VPN de changer leur mot de passe immédiatement, et cela va de même pour tout autre compte qui utilise le même mot de passe ».

Via : The Register

Modifié le 20/07/2020 à 09h32
29
18
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

Vignette Crit'air : vers un durcissement des conditions d'obtention
Barbara Pompili, ministre de la transition écologique, qualifie le réacteur EPR de
Face à de très mauvais résultats financiers, EDF s'apprête à se serrer la ceinture
Pollution : un think tank britannique demande à interdire les publicités pour les SUV
Plus de 700 km d'autonomie annoncés pour la Mercedes EQS
Quand Elon Musk affirme que les pyramides ont été érigées par des aliens, l'Égypte l'invite sur place
Depuis 2011, Hadopi c'est 87 000 euros d'amende pour... des dizaines de millions d'euros de subventions !
AMD : fleuron de la future cuvée Zen 3, le Ryzen 9 4950X pourrait monter à 4,8 GHz
Projet ATTOL : Airbus fait rouler, décoller et atterrir un avion commercial de façon autonome
Les employés de Blizzard font la lumière sur d'inquiétantes disparités salariales
scroll top