Applications VPN gratuites en danger : 2,4 milliards de données d'utilisateurs exposées

Un groupe de chercheurs internationaux a identifié de graves problèmes de sécurité dans les applications VPN gratuites destinées au système d'exploitation Android. Les analyses montrent que de nombreux services promettant la confidentialité peuvent en réalité exposer les données des utilisateurs, les transmettre à des entreprises publicitaires et même permettre le détournement du trafic Internet. Plus inquiétant encore, les applications présentant ces vulnérabilités ont été téléchargées plus de 2,4 milliards de fois au total à ce jour. C'est ce que rapporte Ixbt.com rapporte .
Cette étude, menée par des experts de l'Université du Michigan, de l'Université du Nouveau-Mexique et de l'Institut indien de technologie de Delhi, a analysé 281 applications. À l'aide de leur outil MVPNalyzer, les chercheurs ont testé des appareils fonctionnant sous Android 14. Les résultats ont été présentés lors de la prestigieuse conférence sur la cybersécurité NDSS.
Risque de détournement de trafic
Au cours de l'étude, il a été révélé que cinq grandes applications VPN téléchargent des fichiers de configuration sans chiffrement. Ces fichiers définissent les paramètres de connexion et le serveur par lequel transite le trafic de l'utilisateur. Une telle situation est extrêmement dangereuse, surtout sur les réseaux Wi-Fi publics. Les pirates peuvent falsifier la connexion et rediriger tout le trafic vers leurs propres serveurs, tandis que l'utilisateur continue de penser que le VPN fonctionne normalement.La fuite de données ne se limite pas au trafic. Il a été constaté que 29 des 281 applications testées ne parviennent pas à protéger complètement le trafic. De plus, les chercheurs ont noté les problèmes préoccupants suivants :
- 76 applications possèdent un mécanisme de transmission de l'identifiant publicitaire (ID) de l'appareil ;
- 246 programmes se connectent à des plateformes publicitaires et analytiques, envoyant des données telles que le modèle de smartphone, la taille de l'écran et la version d'Android ;
- Dans certains cas, les applications transmettent également les coordonnées GPS précises de l'utilisateur à des tiers.
Technologies obsolètes et protection faible
Les experts se sont également penchés sur les paramètres d'OpenVPN, l'un des protocoles VPN les plus populaires. Sur les 108 applications utilisant ce protocole, une seule répondait à toutes les exigences de sécurité. Près de 89 % des programmes utilisaient une seule méthode d'authentification au lieu d'une combinaison certificat/mot de passe fiable, ce qui réduit considérablement le niveau de protection.De plus, une application sur cinq utilise les algorithmes de chiffrement Blowfish et Triple DES, désormais considérés comme obsolètes et vulnérables. Selon ixbt.com, le problème est aggravé par le fait que de nombreux services gratuits ne sont pas mis à jour à temps. Même le badge « Verified » sur le Google Play Store ne garantit pas la sécurité absolue d'une application, car les vérifications automatiques ne détectent pas toujours ces vulnérabilités complexes.
Les experts conseillent aux utilisateurs de se méfier des services VPN gratuits qui proposent une publicité agressive. C'est un sujet d'actualité pour de nombreux utilisateurs, car beaucoup utilisent ces applications gratuites pour accéder aux réseaux sociaux. La solution la plus fiable consiste à choisir des services payants ou réputés ayant passé un audit de sécurité indépendant et prouvé l'efficacité de leur protection des données.

















Commentaires 0
…