Plus de 65% des VPN gratuits présentent un danger à la vie privée

Si vous cherchez à protéger votre vie privée en ligne, la première chose qui vous vient immédiatement à l'esprit est probablement un VPN. Un réseau privé virtuel, virtual private network en anglais, ou VPN, est un programme qui s'exécute sur votre appareil (qu'il s'agisse d'un ordinateur de bureau, d'un ordinateur portable ou d'un appareil mobile), crypte tout son trafic Internet et protège davantage votre vie privée en masquant votre emplacement réel à toute personne suffisamment curieuse pour vérifier votre adresse IP. L'utilisation d'un VPN est vraiment la base en matière de confidentialité, et les VPN sont extrêmement populaires, même parmi les personnes qui ont une idée très vague de leur fonctionnement, voire aucune idée.

Malheureusement, dans la pratique, cela signifie que, lorsqu'ils choisissent un VPN, les utilisateurs moins avertis sur le plan technique choisissent souvent la première option qu'ils voient dans leur boutique d'extensions de navigateur. Il s'agit généralement de l'un des milliers de VPN gratuits, souvent relativement inconnus. Les lecteurs les plus soucieux de leur vie privée peuvent déjà entendre sonner l'alarme dans leur tête rien qu'en lisant ce scénario, et pour cause. Les VPN gratuits ne sont tout simplement pas sûrs. Il existe déjà de nombreuses preuves à l'appui de cette affirmation, et une étude récente menée par la société de sécurité mobile Zimperium zLabs ne fait que la confirmer. Selon leurs recherches, sur 800 applications VPN gratuites pour Android et iOS, plus de 65 % présentaient un ou plusieurs problèmes de sécurité ou de confidentialité, tels que la fuite de données personnelles ou un code vulnérable.

Problèmes fréquents

Les vulnérabilités les plus fréquentes dans les apps VPN gratuites pour mobile

Le problème le plus courant, présent dans près des deux tiers des applications examinées, était celui des « comportements et API à risque ». Ce terme générique englobe à la fois l'utilisation d'API dangereuses pouvant augmenter la surface d'attaque d'une application VPN et un certain nombre d'autres préoccupations liées au comportement des applications. Par exemple, certaines des applications examinées allaient jusqu'à capturer des captures d'écran de l'interface utilisateur. Nous ne savons pas mieux que vous pourquoi une application VPN aurait besoin de faire cela. D'autres applications étaient coupables de lancer des activités non sécurisées, laissant aux attaquants la possibilité de contourner les contrôles de sécurité du système d'exploitation. Les acteurs malveillants pourraient exploiter cela en lançant des composants sensibles, tels que l'écran de connexion, en dehors du flux normal de l'application. Cela pourrait leur permettre de désactiver de force le cryptage, voire de déconnecter complètement le VPN.

Certaines des VPN étudiées ont été prises en flagrant délit d'autorisation d'accès à leurs composants internes à d'autres applications sans vérification appropriée des autorisations. Ce type de négligence pourrait permettre à des applications malveillantes d'accéder à des données sensibles, telles que les journaux, les détails de connexion ou les comptes d'utilisateurs, voire de modifier le fonctionnement du VPN, en altérant ses paramètres ou en redirigeant le trafic vers des serveurs dangereux.

L'abus d'autorisations en général était un autre problème très important qui a été détecté dans environ 40 % des applications examinées. Même si l'on exclut toute intention malveillante, une application qui demande des autorisations dépassant ses fonctionnalités comporte de nombreux risques pour la sécurité : plus l'application dispose d'autorisations, plus elle ouvre de portes à un attaquant potentiel cherchant à l'exploiter. Et, bien sûr, certaines des applications VPN qui demandent des autorisations étranges, comme l'accès au microphone, le font avec des intentions peu louables. Imaginez une application VPN qui enregistre tout ce que vous dites au cours de la journée, puis le télécharge sur un serveur aléatoire dont vous ne savez rien.

30 applications VPN iOS se sont également distinguées en demandant des « autorisations privées », un type d'autorisation qui confère à l'application un contrôle important sur l'appareil et qui est normalement réservé à Apple ou à des applications de confiance très spécifiques. Par exemple, accorder certaines de ces autorisations à l'application lui permettrait d'exécuter des appels système, d'accéder à l'espace mémoire contenant des informations sensibles, voire de siphonner des données privées d'autres applications, y compris des identifiants. Lorsqu'une application demande une autorisation, c'est un signal d'alarme important qui indique généralement que cette application n'est pas fiable.

L'un des problèmes les plus courants avec les applications VPN gratuites sur iOS est précisément celui des étiquettes trompeuses ou manquantes. Toute application distribuée via l'App Store doit déclarer quelles données utilisateur elle traite et comment, ainsi que les raisons pour lesquelles elle a besoin des API qu'elle utilise. Cela se fait via le manifeste de confidentialité de l'application, un fichier interne inclus dans le bundle de l'application. Sur la base de ce manifeste de confidentialité, les développeurs sont censés afficher des étiquettes nutritionnelles visibles par les utilisateurs sur la page App Store de leur application. Elles servent de résumé facile à comprendre sur la confidentialité pour les utilisateurs, et l'étude a révélé que plus de 40 % de toutes les applications VPN iOS étudiées ne présentaient pas correctement les étiquettes nécessaires. Pire encore, 25 % des applications ne comportaient aucun manifeste de confidentialité valide.

Les types d'étiquettes qui manquent souvent dans les apps VPN gratuites pour iOS

Les étiquettes nutritionnelles trompeuses et les déclarations de confidentialité manquantes peuvent être attribuées à de la négligence ou à de la malveillance, mais dans les deux cas, ce n'est pas ce que vous attendez d'une application censée protéger votre vie privée. Tromper et induire en erreur les utilisateurs dès le départ est déjà suffisamment grave et potentiellement dangereux en soi, mais cela peut également être le signe d'autres problèmes potentiellement beaucoup plus graves.

Les deux dernières catégories d'inconvénients en matière de confidentialité et de sécurité répertoriées dans l'étude, les problèmes de communication et les bibliothèques problématiques, sont beaucoup moins représentées, n'apparaissant que dans une poignée d'applications (respectivement 1 % et 0,4 % de toutes les applications). Cependant, elles font partie des faux pas les plus flagrants qu'une application VPN puisse commettre en matière de confidentialité. Trois applications utilisaient encore une version obsolète de la bibliothèque OpenSSL, ce qui les rendait vulnérables à un bug très connu, vieux de dix ans et facile à corriger, qui peut exposer les noms d'utilisateur, les mots de passe et les clés secrètes des utilisateurs. Cela est tout simplement inexcusable, en particulier pour une application qui prétend vous protéger, mais qui trahit votre confiance. Un autre 1 % des applications exposaient les utilisateurs à des attaques de type MitM (Man-in-the-Middle), permettant à des acteurs malveillants d'intercepter et de lire tout le trafic web de l'appareil. C'est littéralement le contraire de ce que vous attendez d'un VPN : une communication sécurisée.

Notre conclusion

Cette étude montre que si vous installez une application VPN gratuite choisie au hasard, vous risquez fort de tomber sur quelques problèmes liés à la confidentialité ou à la sécurité. Certains ne sont que des menaces mineures, mais d'autres peuvent avoir des conséquences véritablement désastreuses. Êtes-vous prêt à prendre ce risque ? Voici comment le directeur produit d'AdGuard VPN commente les conclusions de Zimperium zLabs :

« Si je devais donner un seul conseil, ce serait d'éviter complètement les VPN gratuits. Ils ne vous offriront jamais la même protection, la même vitesse et les mêmes fonctionnalités que les VPN payants, et les risques que vous prenez en en installant un sont bien réels. Vous ne voulez vraiment pas lésiner sur votre vie privée dans ce domaine.

Mais si vous devez absolument choisir un VPN gratuit, recherchez les offres gratuites de VPN payants connus et fiables. Leurs offres gratuites sont généralement soumises à la même politique de confidentialité, qui normalement garantit la sécurité de vos données personnelles. »

— Denis Vyazovoy, le DP de AdGuard VPN

N'oubliez pas qu'un VPN n'est pas « juste une autre application » sur votre appareil. Il a potentiellement accès à tout le trafic web de votre appareil et, comme le montrent les recherches, parfois même aux paramètres système. Choisissez votre application VPN en toute logique, avec soin et dans le respect de votre vie privée.