Un VPN chinois gratuit a exposé les données de millions d’utilisateurs

Un service VPN gratuit destiné aux utilisateurs chinois a été reconnu coupable d’avoir exposé plus de 5,7 milliards d’entrées de données. La fuite du VPN gratuit comprend les identifiants, les adresses IP et les noms de domaine des utilisateurs.

Une enquête menée par Cybernews a révélé que l’application « Airplane Accelerates » – dont la version chinoise compte plus de 3 000 avis sur le seul App Store – a laissé échapper une quantité stupéfiante d’informations personnelles des utilisateurs, notamment des identifiants, des adresses IP, des noms de domaine et des horodatages.

L’application étant disponible pour Windows, MacOS, iOS et Android, les chercheurs pensent qu’au moins des dizaines, voire des centaines de milliers d’utilisateurs en Chine pourraient avoir été affectés.

Pire qu’une violation de données typique

« Cette fuite est importante, car les données divulguées pourraient être utilisées pour désanonymiser et suivre les utilisateurs de cette application », a déclaré Aras Nazarovas, le chercheur de Cybernews qui a mené l’enquête. « L’analyse de l’application Android montre également qu’elle est capable de fonctionner comme un logiciel espion, et qu’elle a des capacités d’exécution de code à distance. »

Les chercheurs ont trouvé un volume élevé et inquiétant de demandes de permission s’exécutant depuis l’application Android VPN. Celles-ci vont de l’accès à la caméra et à l’enregistrement audio, à la modification des contacts, du stockage externe et même à l’installation de nouveaux logiciels.

« Bien que les applications antivirus ne détectent pas cette application comme étant malveillante, notre analyse soulève des signaux d’alarme importants », a expliqué M. Nazarovas.

Cybernews a contacté AP Network PTY Ltd – la société australienne à l’origine de ce service VPN gratuit – il y a un mois, lorsque la fuite a été découverte. Comme ils n’ont reçu aucune réponse à ce jour, ils ont décidé de publier leurs conclusions en raison de leur grande valeur d’intérêt public.

Le danger des VPN gratuits

Ce n’est que le dernier exemple en date qui montre les risques liés à l’utilisation d’un service VPN gratuit pour sécuriser les données en ligne.

Qu’il s’agisse d’être pisté par des publicités malveillantes, de voir ses informations personnelles exposées ou, pire, de voir son appareil infecté par des logiciels malveillants ou des virus : le prix à payer peut être plus élevé en termes de sécurité des données sur le long terme.

L’identité du propriétaire de ces services gratuits peut également être une source d’inquiétude. Une enquête menée par le site Top10VPN sur les 30 applications les plus populaires sur Google Play a révélé que 59% de ces VPN avaient en fait un propriétaire chinois caché.

Comme l’a souligné Cybernews, les personnes vivant dans un régime comme celui de la Chine pourraient avoir de gros problèmes si une application VPN exposait leur utilisation d’Internet aux autorités. C’est pourquoi nous ne cessons de mettre à jour notre liste de VPN chinois pour ne recommander que les meilleurs services fonctionnant à l’heure actuelle.

Pas seulement la vie privée, cependant. De nombreux VPN gratuits ont également des problèmes pour débloquer les différents catalogues sur les plateformes de streaming et obtenir des vitesses de connexion plus rapides, offrant des performances globales médiocres.