Un service VPN gratuit populaire a été accusé d’avoir divulgué plus de 360 millions d’enregistrements de données d’utilisateurs en ligne.
La violation de SuperVPN comprend une quantité stupéfiante d’informations sensibles sur les personnes, notamment les adresses e-mail, l’adresse IP d’origine, les enregistrements de géolocalisation, les identifiants uniques des utilisateurs, les références aux sites Web visités, etc.
Le service comptant plus de 100 millions de téléchargements dans le monde sur les magasins d’applications Google et Apple, l’expert qui a enquêté sur l’incident estime qu’il devrait « servir d’avertissement » aux utilisateurs sur la nécessité de choisir un service VPN fiable à la place.
Risques SuperVPN
« Alors que de plus en plus de personnes dans le monde se soucient de la confidentialité des données ou tentent de contourner la censure, elles utilisent souvent un VPN. C’est un excellent exemple des données qui pourraient être capturées, partagées avec les gouvernements ou exposées en cas de violation de données », Jeremiah Fowler, le chercheur en cybersécurité qui a découvert et signalé la base de données piratée, a déclaré à TechRadar Pro.
Fowler a découvert un exposé publiquement base de données liée à l’application SuperVPN contenant 133 Go de données, y compris des informations personnelles sur l’utilisateur telles que l’emplacement IP, les serveurs utilisés et les numéros d’identification uniques de l’utilisateur de l’application, ainsi que des détails sur les activités en ligne de l’utilisateur, le modèle d’appareil, le système d’exploitation et les demandes de remboursement.
Après avoir contacté les adresses e-mail disponibles associées aux versions d’application VPN iOS et Android, la base de données a été fermée sans aucune explication.
Cette décision est particulièrement préoccupante car l’application SuperVPN était, en fait, à la mode sur Twitter « pas plus tard que la semaine dernière lorsque le Pakistan a bloqué les médias sociaux », nous a dit Fowler.
Une autre raison de s’inquiéter vient en regardant la propriété derrière SuperVPN. Dans son rapport pour VPNMentor, Flower a observé comment l’application est répertoriée sous des développeurs distincts sur les deux magasins d’applications différents malgré le fait qu’elle ait exactement le même nom et deux logos très similaires.
Sur Google Play, SuperVPN est crédité de SuperSoft Tech. Alors que SuperVPN pour iOS, iPad et macOS serait développé par Qingdao Leyou Hudong Network Technology Co. Parmi les fichiers divulgués, Fowler pourrait même trouver des références à une autre société nommée Changsha Leyou Baichuan Network Technology Co.
« Tous semblent avoir des connexions avec la Chine, et les notes à l’intérieur de la base de données étaient en chinois », a-t-il confirmé, affirmant que toutes les indications pointaient vers Qingdao Leyou Hudong Network Technology Co. en tant que propriétaire de la base de données publique exposant les données des utilisateurs de SuperVPN.
Le comportement malveillant continue et vous ne pouvez pas y faire grand-chose
Sebastian Schaub, PDG de Hide.me VPN
Aucune des deux sociétés n’a répondu aux demandes de commentaires, ni fourni d’informations sur leur propriété et leur emplacement sur leurs sites Web – une décision qui, selon Fowler, soulève « des inquiétudes quant à la transparence et à la sécurité de ces services VPN gratuits ».
Ce n’est pas la première fois que SuperVPN alarme les experts en cybersécurité. En 2020, les utilisateurs ont été avertis de supprimer ce VPN car il mettait des millions d’utilisateurs de VPN en danger de piratage. SuperVPN a également été identifié comme dangereux en 2016, lorsqu’un chercheur australien l’a reconnu coupable d’être l’une des applications VPN les plus malveillantes.
Comment éviter les VPN non sécurisés
Malheureusement, cet incident fait partie d’une série d’exemples qui montrent les risques liés à l’utilisation d’un service VPN non sécurisé pour protéger les données en ligne. C’est d’autant plus troublant que les coupures d’Internet sont en augmentation et, par conséquent, que les personnes ont un besoin urgent d’outils de sécurité et de contournement avec un budget très limité.
« Cet incident sert de signal d’alarme à quiconque utilise un VPN pour comprendre pourquoi le choix d’un service fiable et réputé est important pour votre vie privée à bien d’autres égards que vos activités sur Internet », a déclaré Fowler.
Fowler suggère de rechercher ces drapeaux rouges avant de souscrire à un service VPN :
- Formulation peu claire autour des pratiques de collecte de données. Les utilisateurs doivent toujours s’assurer de s’inscrire à un VPN sans journal pour s’assurer que le fournisseur ne peut pas collecter et vendre leurs informations personnelles à des tiers ;
- Absence de section « Qui nous sommes » / « À propos de nous » sur le site officiel. Il est vital pour les utilisateurs, en particulier ceux qui ont un besoin urgent de protéger leur vie privée, de pouvoir déterminer que le service qu’ils choisissent n’est pas lié à des pays tristement célèbres pour leurs activités de surveillance ou de censure ;
- Manque de fonctionnalités de sécurité de base. Fowler recommande particulièrement d’éviter les services VPN sans protection contre les fuites DNS ou cryptage qui n’est ni AES 128 bits ni 256 bits ;
- Mauvaises critiques. Les utilisateurs doivent prendre le temps de parcourir les avis des autres clients avant de télécharger tout type d’application, en particulier lorsqu’il s’agit d’un service de sécurité. Il est très probable que d’autres utilisateurs aient déjà découvert ses vulnérabilités.
Pour ceux qui recherchent un service gratuit et fiable, notre préféré en ce moment est PrivadoVPN. Ailleurs, certains fournisseurs, dont Surfshark, proposent des comptes premium pour les ONG, les militants et les journalistes vivant sous une liberté restreinte sur Internet.
Il convient également de noter que de nombreux services premium sont loin d’être décrits comme un VPN sécurisé – SuperVPN inclus car il vend également des abonnements payants, en fait.
« Le récit ne se limite pas au VPN gratuit, il s’agit d’entreprises qui ne se soucient pas de la confidentialité », a déclaré Sebastian Schaub, PDG de Hide.me VPN, à TechRadar Pro.
« Si vous avez un joueur chinois avec des enregistrements de confiance zéro, pas d’historique d’entreprise, pas de leadership public et des applications suspectes, j’appellerais à une plus grande surveillance sur la façon dont il peut même participer au marché. Apple et Google devraient appliquer la divulgation quelles données sont traitées et stockées, puis informer les utilisateurs.
« Je dirais que c’est une perspective plutôt sombre – le comportement malveillant continue et vous ne pouvez pas y faire grand-chose tant que les grandes entreprises ne limitent pas la visibilité des applications louches. »
