7 fournisseurs de VPN "zero log" font fuiter plus de 1 To... de logs

Pierre Crochart
Spécialiste smartphone & gaming
20 juillet 2020 à 09h23
29
VPN barrière © Shutterstock.com
© Shutterstock

Dans la jungle des VPN , les fournisseurs les plus recommandables sont souvent ceux qui garantissent une politique dite « zero log ». Autrement dit : qui ne conservent strictement aucune trace de l’activité de leurs utilisateurs. Alors quand cette promesse est brisée, la chute n’en est que plus vertigineuse pour les personnes impliquées.

Un chercheur en sécurité informatique a découvert plus d’un téraoctet de logs appartenant à des utilisateurs de VPN « zero log » en clair, à la disposition de tous, sur un serveur Elasticsearch. Sept fournisseurs seraient concernés par cette « maladresse ».

Plus de 890 Go de logs en provenance d’UFO VPN

Dans le détail, ce sont sept fournisseurs de VPN basés à Hong-kong qui ont failli à leur promesse de confidentialité. D’entre eux, c’est UFO VPN qui signe probablement la plus grosse bourde.

Le 1er juillet dernier, le chercheur Bob Diachenko a mis le doigt sur une base de données de plus de 894 Go appartenant à UFO VPN. Mots de passe de comptes utilisateurs, adresses IP, serveurs VPN préférés, et même des identifiants relatifs aux sessions des utilisateurs, ou encore le nom de domaine de certains sites Web visités.

Au total, plus de 20 millions d’entrées ont été laissées en clair sur le serveur. Coïncidence : UFO VPN se targue justement sur son site web d’avoir plus de 20 millions d’utilisateurs sur son service.

Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN également concernés

Le 5 juillet, Noam Rotem du site VPNmentor a de son côté découvert que UFO VPN n’était que l’arbre qui cachait la forêt. Il s’est avéré que Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN étaient également concernés par cette fuite de logs en clair sur le Web. Six autres fournisseurs, tous hongkongais, et édités selon le site The Register par une entité commune : Dreamfii HK.

Au total, ce sont donc 1,2 téraoctet de logs comprenant précisément 1 083 997 361 entrées qui étaient accessibles à tous sur le cluster Elasticsearch. Cette découverte a aussi mis au jour que des données relatives aux sites visités, aux noms des utilisateurs, aux adresses email et de résidence, et même aux informations de paiement (PayPal et Bitcoin) étaient inscrites dans ces fichiers.

Pire : il ne s’agirait pas de cas isolés. Poussant l’investigation plus loin, VPNmentor s’est créé un compte sur l’un des services, et a pu retrouver quasi instantanément les informations qu’il avait utilisées sur le serveur, toujours en clair. 

Le coronavirus a bon dos

Alerté le 14 juillet par Diachenko, UFO VPN a réagi et fait disparaître toute trace de ces fameux logs de son serveur le jour suivant. Au chercheur, l’entreprise aurait répondu que la situation liée au coronavirus aurait empêché ses équipes de sécuriser l’infrastructure de son réseau. « Désormais, la situation est réglée », rassure le fournisseur.

Une réponse immédiate, certes, mais qui n’enlève rien à un élément central de l’affaire : UFO VPN et les six autres fournisseurs continuent de promettre une politique zero log alors que ce n’est clairement pas le cas. Interrogé à ce propos, UFO admet qu’il conserve des logs uniquement à des fins d’analyse de la performance, et que toutes les données sont anonymisées. Faux, répondent les chercheurs à l’origine de la découverte, qui répètent que de nombreuses entrées permettaient une identification claire des utilisateurs.

« En nous basant sur les données recueillies, nous ne pensons pas que les données étaient anonymes, appuie Paul Bischoff, un chercheur de Comparitech. Nous recommandons aux utilisateurs d’UFO VPN de changer leur mot de passe immédiatement, et cela va de même pour tout autre compte qui utilise le même mot de passe ».

Via : The Register

Modifié le 20/07/2020 à 09h32
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
29
18
chaton51
allez notez les noms et partez ailleurs les gens !
Couscous78150
La Covid qui a bon dos… MDR… On leur parle de leur politique 0 log et eux répondent qu’ils n’ont pas sécurisés les logs… On dirait des politiques…
mrassol
Que des VPN Gratuits … faut pas chercher …<br /> Vous voulez un bon VPN : mullvad, un prix unique de 5€ par mois
Znuf
Proton VPN, le seul en qui j’ai vraiment confiance.
Akeru
Mullvad VPN aucune adresse mail ou mot de passe. Juste un numéro aléatoire, payable en BTC et compatible Wireguard.
crowfixx
Mullvad dont le siège est en Suede, pays faisant partie de l’alliance des 14 yeux !<br /> Super ton conseil !!
RaoulTropCool
Mensonge aux clients, il devraient demander un remboursement intégral des services payés.
crowfixx
Tiens un peu de lecture<br /> vpnMentor<br /> Pays aux 5 (9 ou 14) Yeux - Important à savoir pour les utilisateurs de VPN<br /> Quand on parle des accords internationaux de partage de renseignements, les choses peuvent devenir compliquées. Ne vous inquiétez pas, nous allons vous<br />
sebzuki
Alors deux choses :<br /> VPN gratuit : c’est vous le produit<br /> ElasticSearch : c’est une base/outil qui sert à exploiter les logs pas juste à les stocker<br /> Donc pas d’erreur possible, même si c’est «&nbsp;sécurisé&nbsp;» le but sera d’éplucher vos logs !
Akeru
PrivacyTools<br /> VPN Services | PrivacyTools<br /> Find a no-logging VPN operator who isn't out to sell or read your web traffic.<br /> privacytools.dreads-unlock.fr<br /> Privacy Tools | Le chiffrement contre la surveillance de masse globale<br /> Vous êtes observé ! Le savoir, le chiffrement et les outils de confidentialité pour vous protéger contre la surveillance de masse globale.<br /> Tien un peu de lecture aussi, la suède ne donne pas les clés de divulgation. Au pire il auront quoi ? Il n’ont pas d’adresse mail etc juste une clé aléatoire donc il savent pas qui tu es et ne te relie à rien… Je te conseil aussi d’aller lire leurs blog.<br /> Et si tu a pas confiance dans les logs alors la n’importe qu’elle VPN à part leurs bonne paroles ne te prouve qu’ils les gardes.
cirdan
A Hong-Kong… On se doute qui a intérêt à récupérer ces logs, ça peut avoir de graves conséquences pour les utilisateurs.
crowfixx
Je te remercie je vais aller lire tout ça. Reste qu’à choisir un vpn je préfère en prendre qui ne fait pas partie des alliances.
orionb1
Toujours partir du principe qu’un VPN n’est pas sécurisé sinon celui que tu gères toi même
bmustang
un fichier log qui devait servir à faire des stats par un âne. Par contre le log qui enregistre des données qui n’ont rien à voir à la fonction VPN… ça cache forcément d’autres choses !?
carinae
et de surcroît encore plus si l’on choisi un vpn hébergé dans les pays adhérents au «&nbsp;Five Eyes&nbsp;» (Usa, Canada …) après tout dépends ce que l’on demande a un vpn … la sécurité ou le masquage des Ip ?..
tehtwig
Sinon pour ceux qui aiment se sortir les doigts : installer OpenVPN sur un server Kimsufi à 5 balles par mois (et qui pourra aussi servir de seedbox et pour tout un tas d’autres choses).<br /> Au moins c’est toi qui gère
Khamu31
un VPN ca permet d’accéder au contenu interdit dans ton pays au mieux.<br /> quand à la confidentialité … le serveur VPN connait ton IP (donc te connais toi) et connais l’IP de destination (donc sait ce que tu fait)<br /> comme le SSL peut être décrypté … (https://www.extrahop.co.uk/company/blog/2011/extrahop-realtime-ssl-decryption/)<br /> vous pouvez rêver que vous êtes protégé de quoi que ce soit …
tehtwig
Pas si tu utilises le DNS interne de ton serveur
tehtwig
Je suis d’accord. Je parle pour ceux qui bossent un peu dans l’informatique (une bonne part de Clubic?), il y a beaucoup de tutos avec toutes les bonnes pratiques pour se faire une configuration correcte. Dans tout les cas il est préférable d’avoir un minimum de maitrise plutôt que de passer par un service tier, où en gros c’est boite noire avec 0 garantie (les promesses n’engagent que ceux qui y croient)
jeroboam64
Je serais content d’avoir des infos de clubic sur deux ou trois vpn 100% sûrs et anonymes si c’est possible, car je me rend compte que c’est compliqué pour réellement garder son anonymat<br /> Merci par avance
jeroboam64
Merci pour votre retour, cela confirme mes doutes, car chaque site de vente vpn revendique 100% d’anonymat mais bon…
Vrootwoot
Super lien merci
Voir tous les messages sur le forum

Actualités du moment

Lenovo dévoile deux nouveaux laptops gaming des gammes Legion et IdeaPad
Le verre de certains Pixel 4 commence à se décoller du dos du téléphone
pCloud casse le prix de son abonnement à vie de 75% pour la fête nationale belge
Nearby Share, le AirDrop d'Android, serait disponible en août pour tous les utilisateurs
Twitter vs Trump : le réseau social supprime encore un contenu relayé par le président américain
Xbox Series X : c'est confirmé, Kinect ne sera pas de la partie
La config' PC gaming Clubic à prix cassé pour les Soldes
La sonde Hope des Emirats Arabes Unis a décollé pour Mars
Galaxy Z Fold 2 : un tarif identique à la première édition selon la rumeur
Le marché US du jeu vidéo au plus haut depuis 10 ans
Haut de page