C’est une conception assez courante qui circule sur la toile, tout particulièrement depuis que les problématiques liées aux données personnelles sont arrivées au premier plan : à écouter certains usagers et publicités, il suffirait de se munir d’un VPN pour s’assurer d’un anonymat parfaitement inviolable sur Internet. Si cela s’avère en partie vrai dans certains cas de figure, quiconque dispose de quelques notions en la matière sait qu’il s’agit d’un raccourci assez simpliste et très discutable. Un constat qui vient d’être confirmé une nouvelle fois par Bob Diachenko, directeur de l’équipe de recherche en cybersécurité de Comparitech. Le chercheur a ainsi mis la main sur près d’1 TB de logs, stockés sur un cluster Elasticsearch non sécurisé, contenant des données personnelles enregistrées par… UFO VPN, une compagnie hongkongaise qui revendique plus de 20 millions d’utilisateurs. Ce fichier contenait des tas de données qui constituent toutes une violation de cette politique d’anonymisation : des mots de passe écrits en clair, les tokens de navigation, les adresses IP de l’utilisateur et de tous les serveurs VPN correspondants, des données de géolocalisation, et bien d’autres joyeusetés.
Une découverte qui fait mauvais genre, sachant que l’entreprise a fait de l’absence de logs un vrai argument commercial, comme de nombreux autres VPN : “Nous ne traquons pas l’activité de nos utilisateurs en dehors de notre site web, ni la navigation ou les connections des utilisateurs qui utilisent nos services”, explique-t-elle sur son site. Contacté par Comparitech, l’organe de relations presse du VPN a expliqué qu’il s’agissait d’une conséquence temporaire liée à des soucis causés par le Covid-19. Mais que ce soit vrai ou non, le résultat reste le même et des données personnelles se sont retrouvées exposées aux yeux des pirates, avec toutes les conséquences néfastes évidentes que cela implique. Et le souci serait d’autant plus grave qu’il ne concernerait pas qu’UFO VPN, mais également plusieurs autres VPNs hongkongais, d’après VPNMentor qui est arrivé aux mêmes conclusions que Comparitech.
Le VPN, un outil puissant mais pas infaillible
Ce nouveau scandale ne sera pas de nature à rassurer les utilisateurs réguliers après de nombreuses affaires déjà inquiétantes, comme celle des VPN gratuits qui revendaient les données de leurs utilisateurs à des tiers en 2018. Cela montre bien que le concept du VPN ne permet pas de rester strictement anonyme et qu’il existe bien des failles potentielles à de nombreux niveaux. Certains spécialistes comme Kenn White, ingénieur en cybersécurité, sont encore plus sévères : pour lui, les opérateurs VPN sont parfaitement conscients de ces problèmes, et ont construit un business model en or massif, basé sur “l’exploitation des peurs des gens” à des fins commerciales, comme il l’expliquait récemment à The Register et sur Twitter.
not even that in many cases. As @notdan & others have demonstrated, some of the most popular providers can’t even get split tunneling correct and literally dual home your internal interface. You connect and suddenly your entire home LAN allows ingress from _any_ other VPN user.
— Kenn White (@kennwhite) July 17, 2020
Enfin, il y a un dernier point qui mérite d’être mentionné dans cette affaire : la localisation géographique. Hong Kong est en ce moment même empêtré dans une crise démocratique sans précédent, avec l’ombre du gouvernement chinois en filigrane. De nombreux ressortissants chinois et hongkongais se servent de services de ce type tous les jours : l’internaute moyen s’en sert pour accéder aux nombreux sites censurés par le régime chinois, tandis que l’activiste des droits de l’homme en dépend pour éviter les représailles d’un gouvernement peu tolérant à l’égard des dissidents. La compromission de ces services censés assurer une forme d’anonymat est donc d’autant plus inquiétante dans ces régions, dans la mesure où ils sont employés comme un outil de défense de la démocratie…
Malheureusement, il y a peu de chances que cette affaire, qui reste quasiment négligeable par rapport au volume gigantesque de données qui transite chaque jour au sein de ces réseaux privés, aboutisse à de gros changements dans le monde des VPN. En revanche, si cela peut rappeler à certains qu’un VPN ne constitue pas une cape d’invisibilité numérique et ne dispense en aucun cas d’être prudent avec les données que l’on échange sur le Net, les chercheurs de Comparitech auront déjà rempli leur contrat. À l’heure actuelle, la meilleure façon de s’assurer un anonymat quasi total reste de créer son propre réseau sécurisé à l’aide d’outils open source comme Outline ou WireGuard.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
“…les conclusions des deux équipes ne suggèrent aucune raison de douter de la fiabilité des grands opérateurs VPN américains…” suis convaincu. Tres objectif comme enquete
Surtout quand on oublie de rappeler qu’un VPN ne sert absolument pas à anonymiser mais a faire passer tout son flux par le réseau d’un tiers.
C’est écrit dedans ?