Hong Kong : Sept VPN gratuits ont exposé les données de millions d’utilisateurs

Lundi 20 juillet 2020, Engadget nous rapporte que le serveur d’un groupe de fournisseurs de réseaux privés virtuels (VPN) a été complètement ouvert et accessible durant 18 jours, exposant les données de leurs utilisateurs. Cette faille a été découverte par une équipe de recherche de vpnMentor, qui a constaté que sept fournisseurs de VPN étaient concernés par ce problème : UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN.

Apparemment, ces VPN seraient des applications « en marque blanche », autrement dit, créés par une seule entité, mais renommées pour être utilisées sous plusieurs noms, explique vpnMentor. Le site pointe également du doigt le fait que chacun des fournisseurs prétend fournir des fonctionnalités de sécurité de niveau militaire avec des politiques de zéro enregistrement afin de garantir la sécurité optimale des utilisateurs.

Crédits Pixabay

Néanmoins, ce ne serait finalement pas le cas puisque les experts ont pu consulter les informations personnelles des utilisateurs, leurs données de connexion et même des mots de passe non chiffrés.

Des informations personnelles et sensibles étaient exposées à la vue de tous

Comme le soulève Engadget, l’exposition de ces données confidentielles s’avère grandement problématique en ce sens que plusieurs militants et défenseurs de la vie privée exercent leurs activités à travers les VPNs pour éviter tout retour de bâton du gouvernement. Seulement, des informations incluant les logins, informations de paiement, historiques de recherche, adresses, mots de passe et autres ont été rendus accessibles sur le moteur de recherche Shodan.io pendant 18 jours.

UFO VPN, l’un des fournisseurs concernés par ce problème, a déclaré qu’il n’avait pas pu sécuriser rapidement les données en raison d’un changement de personnel lié à la pandémie de Covid-19. Toutefois, le fournisseur a assuré que ces enregistrements de connexion n’étaient utilisés qu’à des fins de contrôle de performances et étaient rendus anonymes. Ce qui lui a valu d’être fustigés par CompariTech et vpnMentor qui ont avancé des exemples de données affichant des noms explicites.

À lire aussi : Les VPN en plein essor en Inde grâce au bannissement des sites pornos

En fin de compte, même les VPN pourraient enregistrer vos données

Ce problème de sécurité est en tout cas préoccupant. Les opposants au gouvernement ont pris l’habitude d’utiliser des VPN pour se protéger et contourner la censure et la surveillance mises en place en Chine. Mais cette fuite les met directement en danger. Le gouvernement chinois pourrait en effet utiliser ces informations pour identifier ses opposants.

Finalement, vpnMentor pointe du doigt le fait que cette fuite de données, en plus d’être choquante, montre un mépris total des politiques standards que devraient respecter tous les fournisseurs de réseaux virtuels privés pour mettre leurs utilisateurs en sécurité. L’équipe de recherche a notamment trouvé des informations personnelles identifiables (PII) pour plus de 20 millions d’utilisateurs, avec leurs adresses personnelles et même les modèles de leurs téléphones et l’ID de l’appareil.

À lire aussi : Toutes les utilisations sympas et légales d’un VPN

Mots-clés vpn