Kape Technologies et leur passé en tant que Crossrider

Marie Fournier
13 avril 2022

Kape Technologies est un acteur en pleine expansion dans le secteur des VPN et de la sécurité et possède désormais 4 fournisseurs de VPN de premier plan. Compte tenu de l’importance de cette entité dans le domaine de la confidentialité et de la sécurité, nous avons ressenti le besoin d’examiner de près son histoire, ses activités commerciales passées et son implication dans le secteur de l’injection de publicité.

Cet article est un complément à notre article précédent dans lequel nous analysions en détails comment le groupe Kape a progressivement fait main basse sur de nombreux fournisseurs de VPN ainsi que leur passé douteux. Nous apportons ici quelques précisions suite à de nouveaux faits ayant été

Lorsque vous utilisez un service VPN, vous faites principalement confiance au fournisseur VPN que vous choisissez. Vous avez confiance dans leurs promesses de chiffrer correctement votre trafic, sécuriser leur réseau de serveurs, leur infrastructure et leurs applications, et ne font rien de louche en arrière-plan.

Dans un sens, vous choisissez de faire confiance à un service VPN avec votre trafic au lieu de votre fournisseur de services Internet (FAI), qui ne sera pas en mesure de voir toute activité avec tout le trafic crypté via le VPN.

Et bien qu’il existe des services VPN qui ne pratiquent pas la journalisation des données qui ont été audités ou ont passé des tests du monde réel, il y a également eu par le passé une poignée de VPN qui ont partagé les journaux de leurs clients à diverses entités.

En outre, nous avons été témoin par le passé de failles de sécurité, telles que le récent incident de sécurité ayant touché le VPN WindScribe dont les serveurs ont été laissés entièrement non cryptés. Un fait qui n’a été révélé qu’après la saisie de leurs serveurs par les autorités ukrainiennes. Inutile de dire que trouver un VPN auquel vous pouvez faire confiance est crucial.

Examinons maintenant de plus près le cas Crossrider.

De nombreuses publications sur Crossrider et les logiciels malveillants

Au cours des dernières années, nous avons exposé dans nos publication la société Kape Technologies (anciennement Crossrider) et ses liens avec la distribution de logiciels malveillants.

Loin de nous ici l’idée de salir cette entreprise mais il existe de nombreuses publications sur le sujet et plusieurs experts en sécurité qui ont discuté des problèmes et des techniques de suppression des logiciels malveillants et publicitaires Crossrider.

En voici 3 exemples :

cet article de Malwarebytes paru en 2018
cet article de Symantec
cet article de 2019 de Security Boulevard

Sur la base de ces informations et celles d’autres sources, nous avons précédemment supposé que Crossrider était à l’origine de ce malware. Cependant, il est nous ai récemment paru important d’apporter quelques précisions à ce dossier.

Crossrider a créé une plateforme de développement pour les extensions de navigateur

Crossrider a été fondée en 2011, alors qu’il n’y avait pas d’interopérabilité d’extension native entre les navigateurs. Cela signifiait que le développement des navigateurs prenait plus de temps.

Toutefois, Crossrider a développé une plate-forme pour résoudre ce problème précis, comme le site TechCrunch a noté dans un article de 2012 :

Crossrider, qui sort de sa version bêta aujourd’hui, vise à rendre les choses un peu plus faciles pour les développeurs. Le service offre une plate-forme de développement multiplateforme pour Chrome, Firefox, Internet Explorer et Safari.

Les développeurs qui souhaitent utiliser le service, qui est disponible gratuitement, n’ont qu’à écrire leur code une seule fois et peuvent ensuite déployer leurs extensions sur les navigateurs pris en charge.

De nombreux développeurs ont par ailleurs fait l’éloge de Crossrider en tant qu’outil de développement d’extensions de navigateur. Voici quelques citations choisies par notre équipe :

« Crossrider est, en termes simples, un wrapper autour de votre code JavaScript avec un ensemble cohérent de méthodes API. »

« En somme, Crossrider facilite également la publication sur Chrome Store et fournit un moyen facile de signer votre extension pour les téléchargements exécutables sur Windows. »

Crossrider a créé des options de monétisation qui ont été utilisées par les injecteurs publicitaires

Les personnes qui s’y connaissent un minimum en sécurité en ligne, savent que la publicité et la collecte de données vont de pair, ainsi que l’abus de la vie privée.

Ainsi, s’il est vrai que Crossrider a créé une plate-forme de développement, nous devons également souligner que Crossrider offrait des options de monétisation qui étaient utilisées par les principaux injecteurs publicitaires.

Qu’est-ce qu’un injecteur publicitaire exactement ?

Un article de Forbes paru en 2015 a discuté du sujet plus en détail, où ils ont noté ce qui suit:

Un injecteur publicitaire intercepte efficacement le trafic des utilisateurs pour injecter du contenu, à savoir ces publicités et popups agaçants qui semblent venir de nulle part. Les médias ont à juste titre sauté sur le rapport, mettant en évidence les entreprises nommées comme les meilleurs injecteurs publicitaires. Ce qui est passé inaperçu, jusqu’à présent, c’est que la plupart des organisations consultables impliquées dans cette activité potentiellement dangereuse sont basées en Israël. Ils ont également des liens avec l’armée du pays et sa principale agence de renseignement, l’équivalent israélien de la NSA ou du GCHQ : l’unité 8200, qui travaille en relation avec les Forces de défense israéliennes (FDI).

Le rapport que Forbes a cité ci-dessus est un document de recherche de 2015 qui a été co-écrit par UC Berkeley, Google et une poignée d’autres organisations et individus. Le document décrit l’industrie de l’injection publicitaire comme suit :

« Aujourd’hui, l’injection Web se manifeste sous de nombreuses formes, mais se produit fondamentalement lorsque des acteurs malveillants et indésirables altèrent directement les sessions de navigateur d’utilisateurs pour leur propre profit.

Dans ce travail, nous mettons en lumière la portée et l’impact négatif de l’une de ces formes, l’injection publicitaire, dans laquelle les utilisateurs se voient imposer des publicités non désirées ou différentes de celles que les sites Web leur ont envoyées à l’origine. »

Le document de recherche décrit également l’implication de Crossrider dans cette industrie :

« Crossrider est une plate-forme de développement mobile, de bureau et d’extension qui permet la monétisation simplifiée via les principaux injecteurs publicitaires. Crossrider fournit son identifiant d’affilié aux injecteurs publicitaires tout en gérant séparément les retours de fonds vers les développeurs. »

En effet, les autres principaux affiliés répertoriés dans le tableau III sont toutes des extensions et des plug-ins inter-navigateurs qui ont un impact sur Chrome, Firefox et Internet Explorer. »

La relation exacte entre les injecteurs publicitaires et les affiliés de Crossrider est complexe.

Dans le contexte de Crossrider, il s’agissait de l’outil sous-jacent que les développeurs utilisaient pour créer des extensions, plutôt que le propriétaire de l’extension elle-même ou la plate-forme de monétisation responsable des annonces posant problème.

Des applications légitimes (non malveillantes) ont également été créées avec Crossrider

Bien que Crossrider ait offert des options de monétisation utilisées par les injecteurs publicitaires, nous devons également souligner que la plate-forme de Crossrider a également été utilisée à des fins légitimes.

Vous pouvez le voir avec l’application officielle des fans du FC Barcelone, qui a été attribuée à « Crossrider Advanced Technologies Ltd. »

De plus, nous avons trouvé que les sites CNET et The Next Web écrivaient sur une application appelée Chat Undetected, qui a également été attribuée à Crossrider.

Examinons maintenant comment la plate-forme Crossrider a également été utilisée pour des activités douteuses.

Divers tiers ont utilisé la plate-forme de Crossrider pour de mauvaises pratiques (logiciels malveillants)

Alors que Crossrider a créé des outils pour les développeurs de logiciels et les injecteurs publicitaires, ces outils étaient également utiles à de mauvais acteurs.

Nous en voyons quelques exemples sur herdProtect, une plate-forme d’analyse de logiciels malveillants:

I Want This (marqué comme adware) – « Crossrider est le propriétaire d’une plate-forme qui permet la création d’extensions multi-navigateurs par les développeurs, mais n’est pas le propriétaire de cette application détectée. »
My Supermarket Companion (signalé comme logiciel malveillant),« Il est construit à l’aide de la plate-forme d’extension cross-navigateur Crossrider. Bien que le fichier utilise le code de Crossrider et ses services de distribution, il n’appartient pas à Crossrider.

Nous voyons également Brian Krebs, le célèbre expert en cybersécurité, clarifier davantage comment la plate-forme Crossrider était utilisée par des tiers dans un but malveillant :

« La semaine dernière, j’ai écrit sur LilyJade, un nouveau ver informatique qui se propageait sur les comptes Facebook en abusant des services gratuits offerts par Crossrider, une plate-forme qui simplifie le développement d’extensions de navigateur qui fonctionnent de manière transparente sur tous les navigateurs et systèmes d’exploitation. » – Source
« Le but de cet article n’est pas de susciter l’inquiétude sur les plateformes de développement légitimes comme Crossrider et Kango, ni même de dissuader les gens d’utiliser Facebook. Il est également vrai que les plugins de navigateur malveillants ne sont pas un problème nouveau. Source

Un employé de Crossrider a également expliqué sur le site StackOverflow comment les outils de l’entreprise étaient exploités par de mauvais acteurs :

« Nous avons eu quelques incidents dans le passé où les développeurs avaient essayé d’écrire des extensions malveillantes en utilisant notre framework, mais avec nos coopérations de sécurité avec Google et Facebook, nous avons réussi à les atténuer.

Suite à la nouvelle de l’achat de Private Internet Access par Kape, Andrew Lee, le cofondateur de PIA, a expliqué les activités de Crossrider sur un fil de discussion HackerNews comme suit :

Malheureusement, CrossRider n’a pas fait assez pour empêcher les logiciels malveillants et la plate-forme a été utilisée par de mauvaises personnes à de mauvaises fins.

Kape n’a jamais été directement impliqué dans les logiciels publicitaires, sauf en fournissant des SDK qui permettent aux développeurs de créer des applications ayant des implications positives et négatives. »

Crossrider ferme la plate-forme et change l’image de marque de l’entreprise

En septembre 2016, Crossrider a officiellement annoncé sa fermeture complète, comme vous pouvez le voir dans ce tweet officiel.

L’équipe a constaté que les abus de la plate-forme ne montraient pas de signes de ralentissement, et l’ouverture et la flexibilité mêmes qui rendaient la plate-forme utile pour les développeurs rendaient également difficile la lutte efficace contre les abus de ce type.

L’année suivante, en 2017, nous constatons que l’entreprise s’est tournée vers un tout autre créneau : la confidentialité et la sécurité en ligne. L’achat de CyberGhost en 2017 a donné le coup d’envoi de cette stratégie, suivi d’un changement de nom pour Kape Technologies peu de temps après.

De plus, nous avons appris que Crossrider avait opéré un changement majeur de personnel pour rafraîchir l’entreprise avec une nouvelle direction.

Les cofondateurs de Crossrider, le PDG Koby Menachemi et le directeur technique Shmueli Ahdut, ont quitté l’entreprise, ainsi que la plupart de l’équipe originale de Crossrider et l’ensemble de ses cadres supérieurs.

Aujourd’hui, Kape est dirigé par le PDG Ido Ehrlichman, qui ne faisait pas partie de l’équipe originale de Crossrider. Kape est une société mondiale dont le siège social est situé à Londres et qui est cotée à la Bourse de Londres.

Pour résumer : Il semblerait ici que le SDK et la plate-forme de développement Crossrider ont été utilisés par des dizaines de milliers de développeurs indépendants pour créer des extensions multi-navigateurs, et malheureusement, un petit nombre de mauvais acteurs ont abusé de la plate-forme pour développer des logiciels publicitaires et des logiciels malveillants.

L’équipe de l’époque a tenté de lutter contre le problème, notamment en tant que participant et partisan de la Clean Software Alliance, mais a finalement décidé de fermer complètement Crossrider en 2016 face à l’explosion des abus.

En raison du fonctionnement de la plate-forme Crossrider, les extensions des développeurs utilisant la plate-forme semblaient généralement liées à Crossrider d’une manière ou d’une autre.

Cela a eu l’effet malheureux que certaines de ces extensions ont été attribuées à tort à la société Crossrider elle-même, y compris par des logiciels publicitaires automatisés et des outils d’analyse et de suppression de logiciels malveillants.

Conclusion et notre avis sur cette histoire

Pendant plusieurs années, nous avons discuté de Kape Technologies en supposant qu’ils étaient responsable des pratiques douteuses associées à Crossrider. L’histoire complète, cependant, est plus nuancée.

Pour commencer, il est clair que Crossrider a fourni une plate-forme qui a été utilisée par les injecteurs publicitaires.

Cependant, il semble également que la plate-forme de développement de Crossrider ait été utilisée par des tiers pour propager des logiciels malveillants, et Crossrider n’en était pas responsable directement.

Il est important pour nous d’apporter ces précision à notre enquête car cela aide nos lecteurs à décider de faire confiance ou non à une entreprise qui offre des outils de confidentialité et de sécurité.

Et la confiance étant une considération énorme, il est important de se concentrer sur des faits vérifiables.

Compte tenu de tout ce que nous avons appris au cours de nos recherches, nous pouvons conclure que :

Crossrider a complètement fermé le programme en 2016, a changé la direction de l’entreprise et s’est tourné vers le créneau de la confidentialité et de la sécurité.
Des tiers ont également utilisé la plate-forme de Crossrider pour la distribution de logiciels malveillants, mais Crossrider n’était ni le propriétaire ni le créateur de ces logiciels malveillants.
Crossrider offrait des options de monétisation avec sa plate-forme et était utilisé par les principaux injecteurs publicitaires.
Crossrider a créé une plate-forme de développement, qui a été utilisée à de nombreuses fins différentes (bonnes et mauvaises).
En 2018, Crossrider a changé son nom pour Kape Technologies.

Maintenant que Kape est un acteur important dans l’industrie VPN, nous espérons que cet article pourra aider les personnes qui envisagent d’utiliser ou non les produits Kape à faire un choix avisé.

En somme, ces produits incluent désormais les services ExpressVPN (avis sur cette page), Private Internet Access (test complet ici), CyberGhost (test complet sur cette page) et ZenMate VPN (testé par notre équipe ici).

Il reste néanmoins des faits troublants liés à ce groupe, que nous exposons dans notre premier article lié à Kape (lien en paragraphe d’introduction) et qui font que nous sommes hésitant à recommander tous leurs services à nos lecteurs !

Marie Fournier

Marie est une blogueuse passionnée et une grande voyageuse qui aime partager sa connaissance du digital sur de nombreux sujets comme le streaming, le torrenting, les VPN ou la sécurité en ligne. Elle travaille actuellement pour un grand groupe qui développe une solution de diffusion de contenu en ligne parmi les plus utilisées au monde.

Actu VPN