Sept VPN « sans logs » laissent fuiter 1,2 To de données sur leurs utilisateurs

Une grosse farce sur le secteur du VPN ?

 

Ils promettaient à leurs utilisateurs de ne garder aucun journal de leurs activités sur le web, et pourtant, ces sept VPN ont laisser fuiter un total de 1,2 To de données. Que contenait-il ? Dans de nombreux cas des mots de passe, des informations personnelles... ainsi qu'une liste des sites web visités.

Sept VPN basés à Hong-Kong ont laissé fuiter les données personnelles de leurs utilisateurs. Ils se réclamaient pourtant « sans log »…

Sept VPN basés à Hong-Kong ont laissé fuiter les données personnelles de leurs utilisateurs. Ils se réclamaient pourtant « sans log »… // Source : Kevin Ku – Unsplash

De l’importance de bien choisir son VPN. De plus en plus populaires et faisant l’objet de publicités parfois (trop) marquées sur YouTube et les réseaux sociaux, les VPN permettent notamment l’accès à des contenus parfois inaccessibles depuis le pays d’origine de leurs utilisateurs, tout en leur offrant un certain anonymat. Un anonymat, tout relatif dans le cas de ces sept VPN épinglés par plusieurs journalistes et chercheurs en sécurité la semaine dernière.

Tous basés à Hong-kong, comme le révèle The Register, et exploitant un seul et même service, ces sept VPN (UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, et Rabbit VPN) se réclamaient ostensiblement « sans logs », comprenez qu’une partie de leur communication était basée sur le fait qu’aucun journal de connexion n’était conservé. Une tartuferie manifeste… et pour cause, ces fournisseurs ont laissé fuiter pas moins de 1,2 To de données personnelles collectées auprès de leurs utilisateurs.

1 083 997 361 entrées dans la nature… pour des VPN prétendument « sans logs »

« Chacun de ces VPN prétend que ses services sont ‘sans logs’, ce qui signifie qu’ils n’enregistrent aucune activité des utilisateurs sur leurs applications respectives », explique Noam Rotem, membre du site VPNmentor, spécialisé dans les offres VPN et à l’origine de la triste trouvaille. « Cependant, nous avons trouvé de multiples exemples de journaux d’activité Internet sur leur serveur partagé. Cela s’ajoutait aux informations d’identification personnelle, qui comprenaient les adresses e-mail, les mots de passe en texte clair, les adresses IP, les adresses de domiciles, les modèles de téléphone, l’identification des appareils et d’autres détails techniques ».

En tout, ce sont 1 083 997 361 entrées qui ont été découvertes, avec l’accès à des informations parfois très sensibles, comme des méthodes de paiements par PayPal ou par BitCoin, par exemple. L’un des membres de VPNmentor a par ailleurs pu noter qu’en créant un compte sur l’un de ces services, de nombreuses informations étaient instantanément ou presque collectées. Les journaux créés recelaient alors « une adresse électronique, un emplacement, une adresse IP, un appareil et les serveurs auxquels nous nous sommes connectés », lit-on.

À la liste des sept VPN épinglés le 14 juillet dernier, le fournisseur « UFO VPN », le plus connu, a pour sa part expliqué que ces informations avaient été conservées suite à des soucis rencontrés en interne pendant le confinement, à des fins de suivi du trafic. Ces informations auraient été anonymisées, a-t-il été expliqué.

Des déclarations contredites par les spécialistes de VPNmentor et de Comparitech, un autre site spécialisé. « Sur la base de certains échantillons de données [en notre possession], nous ne pensons pas que ces données soient anonymes », a ainsi spécifié Paul Bischoff pour Comparitech, enjoignant les utilisateurs d’UFO VPN à changer leur mot de passe sur le service, mais aussi sur leurs autres comptes utilisant les mêmes identifiants.

Un problème « répandu » ?

Pour Kenneth White, chercheur en sécurité consulté de manière indépendante par The Register, cette double affaire démontre à quel point certains fournisseurs VPN sont malhonnêtes. « Il est décevant, mais honnêtement pas très surprenant, de voir une nouvelle violation d’un service VPN commercial populaire », a-t-il expliqué au média britannique, ajoutant que les risques sont ici renforcés par l’utilisation d’un VPN en « marque blanche » par ces sept VPN hongkongais.

L’intéressé va même plus loin sur les pratiques de certains fournisseurs de VPN. « La grande majorité des sociétés qui exploitent ces [marques blanches] utilisent un marketing manifestement faux, ont une origine très obscure et, dans certains cas, sont littéralement dirigées par des criminels financiers reconnus coupables ; de sorte qu’elles revendiquent bien sûr des protections ‘solides en matière de vie privée et de sécurité’ alors qu’en fait elles n’offrent ni l’une ni l’autre ».

Les derniers articles