Des centaines de millions de personnes ont téléchargé des applications VPN suspectes dotées de graves problèmes de confidentialité. Apple et Google n'ont pas agi.

août
7 2019

14 min de lecture

Lorsque Thomas Jefferson a rédigé la Déclaration d’indépendance, il a précisé que la vie, la liberté et la recherche du bonheur étaient trois des «droits inaliénables» de l’humanité.

Plus de 230 ans plus tard, les gens se demandent: qu'en est-il du droit à la vie privée?

La conversation n’est pas nouvelle – l’avocate Jacqueline Klosek a écrit un livre intitulé La confidentialité des données à l'ère de l'information en 2000 – mais après Cambridge Analytica, il est nouvellement pertinents aux yeux du grand public. Nous avons depuis longtemps transmis des données personnelles à des entreprises en échange d’un accès à des biens et à des services, mais pour les consommateurs prudents, il existait toujours des outils permettant de protéger leurs données personnelles.

À savoir, l'utilisation de réseaux privés virtuels (VPN) est en augmentation dans le monde entier. Ce type de sauvegarde crée un tunnel de communication crypté entre votre appareil et Internet, sécurisant ainsi votre historique de navigation, votre correspondance et toute autre information que vous partagez des regards indiscrets. Au cours du premier trimestre de 2018, environ 26% des utilisateurs en ligne dans le monde ont déclaré avoir utilisé un VPN ou un serveur proxy pour accéder à Internet le mois dernier. au quatrième trimestre, ce chiffre était passé à 30%.

Mais que se passe-t-il lorsque ces «boucliers défensifs» commencent à se fissurer – que ce soit en raison d'un défaut de construction ou, plus inquiétant, en raison d'un coup de marteau astucieusement placé des créateurs eux-mêmes?

Simon Migliano, responsable de la recherche chez Top10VPN, un site Web de recherche et de révision VPN, a récemment étudié cette question. Lors d’une nouvelle série de critiques, Migliano a découvert une foule d’applications VPN gratuites qu’il n’avait jamais vues auparavant, à la fois sur l’App Store d’Apple et sur le Google Play Store. C'était étrange, dit-il, parce que son travail était de connaître le paysage en ce qui concerne les VPN – et il était rare pour lui de voir autant de nouveaux arrivants. Les applications avaient attiré des centaines de millions d'utilisateurs, mais derrière beaucoup d'entre elles se trouvaient des noms commerciaux inconnus, sans sites Web ni informations sur les personnes qui dirigent l'émission. M. Migliano a toujours eu l'impression que les VPN gratuits étaient douteux, mais ils étaient rarement considérés comme dangereux par le passé.

Dans ce cas, le grand nombre d’applications douteuses a piqué l’intérêt de Migliano: Était-ce des pièges à la consommation? Il a décidé de le découvrir.

Résultats de l'enquête

En décembre, Top10VPN a publié une recherche intensive sur les 30 applications constituant les 20 premiers résultats de recherche du «VPN» sur l'App Store et le Google Play Store. Les résultats ont été déconcertants, en particulier en ce qui concerne les politiques de propriété et de confidentialité des applications, ainsi que le fait que certaines applications ont enregistré plus de 50 millions de téléchargements dans le monde entier.

Après avoir exploré les informations sur la propriété des applications, Migliano et son équipe ont constaté que près de 60% des applications VPN gratuites les plus populaires sur l'App Store d'Apple et le Google Play Store sont secrètement détenus par des particuliers ou des sociétés en Chine, malgré les restrictions Internet connues dans le pays. et interdiction stricte des VPN.

Selon les recherches de Migliano, de nombreuses applications VPN parmi les plus recherchées ont également échoué de manière spectaculaire sur le front de la confidentialité des données. Environ 86% avaient de graves problèmes de politique de confidentialité, notamment une politique générique sans termes spécifiques à un VPN ou un manque de détails sur les processus de journalisation pouvant donner aux utilisateurs un «faux sentiment de sécurité». Certaines applications ne disposaient d'aucune politique de confidentialité. D'autres avaient des politiques autorisant le suivi des activités des utilisateurs ou le partage de données avec des tiers, et d'autres encore indiquaient explicitement qu'ils partageaient des données avec la Chine.

Hola VPN, par exemple, est une application israélienne pour iOS et Android comptant plus de 10 millions d'installations dans le monde. Sa politique de confidentialité spécifie qu'il enregistre les activités des utilisateurs, telles que le type de navigateur, l'historique de navigation et le temps passé sur chaque page Web, ainsi que les dates et heures d'accès.

Un trio d'applications appelées maîtres VPN, VPN Turbo et Snap VPN, qui totalisent plus de 14 millions d'installations Android et 1,1 million d'installations mensuelles sur iOS, indiquent explicitement qu'elles peuvent transférer les données personnelles des utilisateurs en Chine ou à Singapour, et les types de données qu'ils partagent vont loin: informations telles que les types de navigateur, les adresses IP, les horodatages, les codes d'identification de périphérique, les adresses e-mail, les détails de la CPU, l'utilisation de la batterie, etc.

Une autre conclusion douteuse? Environ 55% des applications hébergeaient leurs politiques de confidentialité sur des pages amateurs, telles que des sites WordPress gratuits avec des publicités ou des fichiers en texte brut sur Pastebin. Plus de la moitié ont indiqué que les comptes de messagerie personnels (Gmail, Yahoo, etc.) étaient des adresses électroniques d'assistance à la clientèle. Lorsque Top10VPN a contacté ces canaux, 83% des demandes par courrier électronique d'assistance à la clientèle ont été ignorées.

Prenez SuperVPN, par exemple, une application avec 50 millions de téléchargements sur le Google Play Store. Il répertorie deux adresses apparemment fausses en ligne, propose une adresse Gmail personnelle pour les demandes de renseignements du service clientèle et possède une politique de confidentialité vague ne dépassant pas 350 mots.

Migliano et son équipe ont également mené une analyse technique plus approfondie de 150 applications VPN disponibles pour les utilisateurs d'Android. Ensemble, les applications comptaient plus de 260 millions d'installations provenant du magasin Google Play lors de la publication de l'étude en février. Ce nombre a maintenant atteint 518 millions. Les résultats étaient préoccupants: 85% des applications comportaient des autorisations intrusives ou des fonctions potentiellement abusives. Près de sept sur dix détenaient des autorisations que la documentation officielle pour les développeurs Android qualifie de «dangereuses». Et 18% des applications ont été testées positives aux analyses préliminaires de virus ou de logiciels malveillants.

Entrepreneur a collaboré avec Sixgill, une société d’information sur les menaces qui analyse les sources Web sombres et profondes, pour approfondir cinq des VPN potentiellement dangereux de l’étude de Migliano: le maître proxy VPN, TurboVPN, Snap VPN, X-VPN et Secure VPN. Dov Lerner, un chercheur en cyberintelligence de la société, a constaté que la plupart d’entre eux étaient hautement recommandés dans les forums sur le Web sombre.

«Je me suis un peu moqué de ça, dit Lerner. "Dans cet antre de voleurs, tout le monde est voleur – tout le monde essaie de gagner de l'argent avec quelqu'un d'autre … C'était donc assez drôle de savoir que si ces VPN ne sont pas sûrs, ces personnes ne sont guère en sécurité. Parce qu’ils sont effectivement engagés dans des activités illégales, ces services VPN peuvent les transmettre aux forces de l’ordre ou les utiliser pour faire du chantage. C’est difficile de dire ce qu’ils vont en faire, mais ils ont certainement des matériaux compromettants. "

Comment cela pourrait affecter les consommateurs (et pourquoi vous devriez vous en soucier)

Alors que les violations de données se propagent comme une traînée de poudre – Equifax, Yahoo et Marriott, pour n'en nommer que quelques-unes -, vous vous demandez peut-être: Mes données personnelles sont déjà présentes dans l'éther. Quels nouveaux risques un VPN dangereux peut-il réellement représenter?

Mais il existe ici une raison valable de prendre soin de vous et de prendre des mesures pour vous protéger. Par définition, VPN (encore une fois, virtuel privé réseaux) sont présentés comme des options sûres pour une utilisation Internet sécurisée. Cela signifie que les personnes utilisant un réseau privé virtuel (VPN) peuvent avoir l’impression d’être protégées lorsqu’elles visitent le site Web de leur institution financière, de leur fournisseur d’assurance maladie ou d’un autre point de vente sensible. Mais lorsque vous utilisez un VPN, toutes vos données de navigation transitent par des serveurs exploités par le fournisseur de ce service – l'opérateur de l'application. C’est chaque octet de vos données de navigation, y compris les recherches sur le Web.

Lorsqu'elles sont analysées dans le cadre d'un ensemble de données extrêmement volumineux, même des informations apparemment anodines peuvent révéler des aspects sensibles de la vie d'un consommateur. La localisation peut indiquer la religion, les affiliations politiques, l'état de santé, etc. Vous cherchez peut-être des symptômes de dépression chez un membre de votre famille ou visitez des sites qui vous inquiètent pour la stabilité financière. Dans tous les cas, ces informations peuvent déterminer les publicités avec lesquelles l'application vous cible directement. Il pourrait également être connecté, capturé, divisé et vendu à des tiers, y compris des annonceurs et des spécialistes du marketing.

Avec peu ou pas de protection des données, ces transactions sont conclues à plusieurs degrés du consommateur. Vous n’avez pas de relation avec votre fournisseur de services Internet (FAI) et vous ne participez pas à la conversation sur la revente de données. Le marché est en grande partie non réglementé.

Et ce n’est que l’aspect juridique des choses. Dans les cas marginaux, un fournisseur de réseau privé virtuel non légitime pourrait même collecter des informations sur l'utilisateur à des fins d'usurpation d'identité. Par exemple, sur le Web sombre, les informations d’identité des utilisateurs pour les courriels et les mots de passe pourraient se vendre entre 3 et 5 USD, tandis que les données de carte de crédit pourraient coûter 30 USD, explique Lerner.

Et comme 59% des applications de l’étude Migliano avaient caché la propriété chinoise – malgré l’interdiction stricte des VPN en Chine – les autorités locales pourraient collecter des données confidentielles des utilisateurs à des fins de renseignement, sans surveillance ni contrôle. «C’est ce qui se passe à l’intérieur, à l’intérieur du pays, alors il est loin d’être irréaliste de penser que cela pourrait également se faire à l’international», a déclaré Migliano. Cela peut sembler farfelu, mais la controverse qui a frappé le géant du téléphone Huawei ces derniers mois – entourant ses liens présumés avec le gouvernement chinois et les services de renseignements – signifie que l’idée n’est pas invraisemblable.

Dans le meilleur des cas, ces applications proviennent simplement de sociétés chinoises qui n'assument aucune responsabilité en matière de protection des données, explique Lerner. Dans le pire des cas, non seulement cela reste-t-il vrai mais aussi, ce qui est alarmant, ce sont des données utilisateur qui collectent en masse.

Sur un autre point, il y a le problème des VPN avec peut-être des failles de sécurité involontaires – des produits qui ne fonctionnent tout simplement pas correctement ou qui ont des autorisations dans leur code source qui soulèvent des drapeaux rouges. L’enquête de Migliano a révélé que le quart des 150 applications présentées dans l’indice de risque Android «présentaient des fuites», c’est-à-dire qu’elles permettaient aux FAI d’accéder aux données de navigation d’un utilisateur.

D'autres autorisations intrusives pourraient résulter de tentatives visant à vous cibler plus précisément pour des publicités ou à quelque chose de plus sinistre. L'enquête de Migliano a révélé que 87 des 150 applications incluaient des autorisations de code source pour accéder au dernier emplacement connu de l'utilisateur. Six applications incluaient des autorisations pour ouvrir la caméra d’un utilisateur, ce qui signifiait qu’elles pouvaient potentiellement être considérées comme des logiciels espions. Quatre applications incluaient même des autorisations pour envoyer secrètement des SMS à partir du terminal d’un utilisateur.

"Notre génération Internet s'est habituée à obtenir des applications gratuitement", déclare Lerner, "mais la confidentialité et la protection des données sont primordiales. Si vous souhaitez que vos données soient protégées, vous devez les payer. "

Un problème mondial

Pendant environ un demi-siècle, la «doctrine de la tierce partie» a été l’un des piliers de la législation américaine en matière de protection de la vie privée, stipulant qu’après avoir partagé des informations avec une tierce partie, les individus n’ont aucune attente raisonnable en matière de vie privée. Mais à mesure que les consommateurs investissent davantage dans leurs droits en matière de protection des données – et que les violations continuent de se propager – les gouvernements commencent à prendre des mesures pour renforcer la réglementation. Le Vermont, le Maine et la Californie ont tous adopté des lois qui réglementent ou limitent d'une manière ou d'une autre la vente de données sur les résidents, et plusieurs autres États envisagent des mesures similaires.

Mais la lutte pour la confidentialité des données s’étend bien au-delà des superpuissances mondiales et se déroule à une échelle individuelle.

Des arrêts Internet se produisent régulièrement dans le monde entier. Par exemple, selon un rapport, 22 gouvernements africains ont ordonné des fermetures au cours des cinq dernières années. Et de nombreux utilisateurs de VPN choisissent des options gratuites car ils ne peuvent pas payer pour des services similaires, bien qu’ils soient peut-être réellement dans le besoin.

Depuis 2009, le gouvernement iranien a censuré l'accès aux plateformes de médias sociaux telles que Facebook, Twitter et YouTube depuis que les activistes les ont utilisées pour organiser des manifestations. Certains résidents téléchargent des VPN pour contourner les restrictions.

En avril, après les attentats à la bombe de Pâques au Sri Lanka, le gouvernement a mis en place une fermeture majeure d'Internet sur des plateformes telles que Facebook, WhatsApp et YouTube, invoquant la nécessité de lutter contre la désinformation. Pour plus d'informations sur ce qui s'est passé – et pour contacter leurs proches -, les résidents se sont tournés vers des VPN.

Et en mai, le gouvernement indonésien a restreint l'accès aux médias sociaux à la suite d'émeutes meurtrières qui ont éclaté après l'élection présidentielle. Les résidents ont utilisé des VPN pour contourner l’arrêt et s’enregistrer auprès de leurs proches, ainsi que pour télécharger des photos, des vidéos ou des messages vocaux sur des plateformes telles que WhatsApp.

Il pourrait y avoir un moment où les gouvernements interviennent pour réglementer les réseaux VPN, mais il y a un risque d'entrer dans une réalité dans laquelle ce sont les gouvernements qui instaurent la censure et réglementer les outils anti-censure. C’est la raison pour laquelle Migliano considère Google et Apple comme des exemples parfaits d’organisations supranationales qui pourraient assumer le contrôle de la réglementation des VPN dans les pays du monde entier.

«Les gens voient des signes de dollar quand ils pensent aux VPN», dit Migliano. «Pour le moment, il y a un vide et les mauvaises personnes se précipitent pour le combler.» Il envisage un avenir dans lequel les services seront réglementés de la même manière que les FAI – par exemple, soumis aux exigences de transparence des entreprises. – et potentiellement même un test standardisé pour déterminer si l’on est apte à servir le public. "C’est dans cette optique que Google et Apple devraient afficher les applications VPN, et cela ne se produit vraiment pas."

Réponse de Google et Apple

Lorsque Migliano a communiqué pour la première fois ses résultats à Apple et à Google par courrier électronique début 2019, il a inclus des listes détaillées des applications potentiellement dangereuses, des liens de recherche, des liens vers des listes sur les magasins d'applications, des recommandations de mesures à prendre, etc. Migliano a informé chaque entreprise qu’il attendrait 10 semaines avant qu’elles ne résolvent les vulnérabilités avant de publier la recherche.

Cela fait plus de six mois et 77% des applications signalées comme non sécurisées à la date de publication de l’étude sont non seulement disponibles au téléchargement, mais semblent également gagner en popularité. En ce qui concerne Google Play, les téléchargements d’applications affectés ont grimpé de 85% en six mois (pour un total de 518 millions à ce jour). Dans l’App Store, les installations mensuelles sont restées pratiquement inchangées, à environ 3,8 millions d’euros, mais comme le dit l’étude de Top10VPN, il s’agit toujours d’une augmentation relative: «Ce total a été généré avec 20% moins d’applications qu’au début de l’année, des applications ne sont plus disponibles. "

"Il est assez déconcertant de constater qu'Apple et Google n'ont même pas prononcé un seul communiqué", a déclaré Migliano. «Les laisser complètement ignorer le problème et se mettre la tête dans le sable était l’autre aspect de cette série de recherches qui m’avait étonné – même pas de le reconnaître, de donner des conseils de relations publiques et de dire:« Oui, nous examinons il.'"

Les représentants Apple ont accepté d'examiner les données de plus près, mais ils n'avaient pas encore commenté l'heure de publication et Google n'a pas répondu à plusieurs demandes de commentaires.

Le 3 juin, Apple a présenté une nouvelle version de ses directives de révision de l'App Store qui interdisait aux VPN de partager des informations utilisateur avec des tiers. Le problème: il semble que la société n’ait pas beaucoup appliqué, à en juger par le fait que 80% des 20 applications VPN gratuites actuellement disponibles au téléchargement sur l’App Store ne semblent toujours pas respecter les consignes, mais ont un total de six millions de téléchargements mensuels.

«À mon avis, ils se sont enfoncés dans un coin», dit Migliano. "Ils ont admis que les VPN doivent être traités différemment, mais [they’re] pas vraiment faire quelque chose. "