7 fournisseurs de VPN sont accusés d'avoir divulgué les informations personnelles de 20 millions d'utilisateurs

Nous avons souvent dit sur ces pages que tout ce que vous lisez sur Internet doit être pris avec une pincée de sel, et malheureusement, nous avons beaucoup trop d'exemples de la raison pour laquelle ce conseil est plus valable que jamais. Une équipe de chercheurs de VPNMentor nous en a récemment fourni un autre.

La découverte concernait un total de sept applications de réseau privé virtuel (VPN) qui promettaient toutes de ne pas stocker ni enregistrer de données personnelles et d'activité des personnes qui les utilisent. En réalité, cependant, les chercheurs ont prouvé que les applications enregistraient non seulement beaucoup d'informations, mais les mettaient également dans un serveur qui les exposait au monde entier.

Les applications VPN placent les données des utilisateurs dans une base de données Elasticsearch non protégée

Les noms des applications sont UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN. Les applications peuvent porter des noms différents, mais les chercheurs sont presque convaincus qu'elles ont été créées par le même développeur. Ils sont tous basés à Hong Kong, certains d'entre eux ont des sites Web similaires et, enfin et surtout, ils stockent tous les données des utilisateurs sur la même infrastructure backend.

Malheureusement, les experts ont découvert la dernière information après avoir trouvé une base de données Elasticsearch qui n'était pas protégée par un mot de passe et hébergeait environ 1,2 To de données utilisateur. Si l'on en croit les bases d'utilisateurs revendiquées par les fournisseurs de VPN, le nombre d'individus concernés pourrait atteindre 20 millions, et pour certains d'entre eux, les conséquences de la fuite pourraient être assez graves.

Des données personnelles, des mots de passe en texte brut et des journaux d'activité ont été exposés

Les chercheurs étaient curieux de savoir si l'information était réelle. Pour ce faire, ils ont téléchargé l'une des applications (UFO VPN), se sont inscrits et ont commencé à l'utiliser. Quelques instants plus tard, l'adresse e-mail et le mot de passe en clair qu'ils ont utilisé pour enregistrer le compte sont apparus dans la base de données Elasticsearch non sécurisée.

En plus des données de connexion, les experts ont trouvé de nombreuses informations personnellement identifiables, notamment des noms, des adresses physiques et des adresses IP personnelles. Les liens sensibles de l'API PayPal pouvaient révéler les comptes des clients payants au niveau du processeur de paiement, et il y avait également des informations sur les serveurs auxquels ils se connectaient lorsqu'ils utilisaient les applications.

L'une des découvertes les plus choquantes des chercheurs, cependant, était la présence de journaux d'activité. Les experts de VPNMentor ont partagé des captures d'écran d'enregistrements contenant l'emplacement de l'utilisateur, le type de connexion qu'il utilisait, l'horodatage et le domaine qu'il tentait d'atteindre. Voilà pour les affirmations selon lesquelles aucune donnée de navigation n'est stockée.

L'impact pour les utilisateurs pourrait être dévastateur

Les réseaux privés virtuels fournis par ces sept applications étaient très peu confidentiels, et cela pourrait être un gros problème pour les personnes qui les utilisaient. L'une des captures d'écran partagées par VPNMentor, par exemple, montre qu'une personne en Iran utilisait le VPN pour voir du matériel pour adultes. La pornographie est interdite en Iran et si cette personne est identifiée, elle pourrait être condamnée à une peine de prison.

De plus, les VPN, en général, sont souvent utilisés par des militants et des personnes qui ne veulent vraiment pas révéler leur véritable identité, et les sept applications qui ont exposé leurs données auraient pu les mettre dans une situation très précaire. C'est une bonne chose que la base de données ait été sécurisée et que les informations ne soient plus accessibles au public. Il a cependant été plus difficile qu'il n'aurait dû l'être.

Les fournisseurs de VPN affirment qu'ils n'ont rien fait de mal

Les experts de VPNMentor ont découvert la base de données le 5 juillet, et ils sont immédiatement partis informer les fournisseurs de VPN. Une seule des entreprises a répondu au départ et elle ne semblait pas sûre de ce qui se passait. La communication des chercheurs avec l'équipe d'intervention d'urgence informatique (CERT) de Hong Kong n'a pas non plus porté ses fruits. Le serveur étant situé aux États-Unis, les autorités de Hong Kong ne pouvaient pas y faire grand-chose.

Le 15 juillet, la base de données a finalement été mise hors ligne et les chercheurs ont reçu une réponse d'UFO VPN, le plus grand des fournisseurs de VPN concernés. L'e-mail disait qu'UFO VPN avait négligé l'erreur de configuration en raison de "changements de personnel" liés à la pandémie COVID-19. Ils ont essayé d'assurer aux chercheurs qu'ils ne stockaient pas les mots de passe des utilisateurs en texte clair et qu'ils n'enregistraient aucune activité de navigation. La fuite elle-même est la preuve que ce n'était pas le cas.

Depuis un moment maintenant, il y a eu un petit débat sur la question de savoir si utiliser un VPN est une bonne idée si vous souhaitez cacher votre identité. Des incidents comme celui-ci n'aident certainement pas le cas des VPN, et au fil des ans, nous avons entendu parler de nombreux fournisseurs qui ne font pas assez pour protéger la vie privée des utilisateurs. Cela étant dit, un réseau privé virtuel bien configuré proposé par une entreprise qui ne veut pas vous espionner pourrait être extrêmement utile non seulement lorsque vous souhaitez accéder à un contenu qui n'est pas disponible dans votre pays, mais aussi lorsque vous essayez de maintenir un niveau d'anonymat. En fin de compte, des fuites comme celle-ci prouvent que les utilisateurs doivent être extrêmement prudents lorsqu'ils choisissent un fournisseur VPN.