Des centaines de millions de personnes ont téléchargé des applications VPN suspectes dotées de graves problèmes de confidentialité. Apple et Google n'ont pas agi.

Août
7 2019

14 min de lecture

Lorsque Thomas Jefferson a rédigé la déclaration d'indépendance, il a précisé que la vie, la liberté et la recherche du bonheur étaient trois des «droits inaliénables» de l'humanité.

Plus de 230 ans plus tard, on se demande: qu'en est-il du droit à la vie privée ?

La conversation n'est pas nouvelle – l'avocate Jacqueline Klosek a écrit un livre intitulé La protection des données à l'ère de l'information en 2000 – mais après Cambridge Analytica, il est nouvellement pertinent. aux yeux du grand public. Nous avons depuis longtemps transmis des données personnelles à des entreprises en échange d’un accès à des biens et à des services, mais pour les consommateurs prudents, il existait toujours des outils permettant de protéger leurs données personnelles.

En particulier, l'utilisation de réseaux privés virtuels (VPN) est en hausse dans le monde entier. Ce type de sauvegarde crée un tunnel de communication crypté entre votre appareil et Internet, sécurisant ainsi votre historique de navigation, votre correspondance et toute autre information que vous partagez des regards indiscrets. Au premier trimestre de 2018 environ 26% des utilisateurs mondiaux en ligne ont déclaré avoir utilisé un VPN ou un serveur proxy pour accéder à Internet le mois dernier; au quatrième trimestre, ce chiffre était passé à 30 pour cent .

Mais que se passe-t-il lorsque ces «boucliers défensifs» commencent à se fissurer – que ce soit en raison d'un défaut de construction ou, de manière plus menaçante, en raison d'un placé marteau frappe des créateurs eux-mêmes?

Simon Migliano, chef de la recherche à Top10VPN un site Web de recherche et de synthèse en réseau privé virtuel, a récemment exploré cette thématique. Lors d’une nouvelle série de critiques, Migliano a découvert une foule d’applications VPN gratuites qu’il n’avait jamais vues auparavant, à la fois sur l’App Store d’Apple et sur le Google Play Store. C'était étrange, dit-il, parce que son travail était de connaître le paysage en ce qui concerne les VPN – et il était rare pour lui de voir autant de nouveaux arrivants. Les applications avaient attiré des centaines de millions d'utilisateurs, mais derrière beaucoup d'entre elles se trouvaient des noms commerciaux inconnus, sans sites Web ni informations sur les personnes qui dirigent l'émission. M. Migliano a toujours eu l'impression que les VPN gratuits étaient douteux, mais ils étaient rarement considérés comme dangereux par le passé.

Dans ce cas, le grand nombre d’applications douteuses a piqué l’intérêt de Migliano: Ces pièges étaient-ils des consommateurs? Il a décidé de le découvrir.

Résultats de l'enquête

En décembre, Top10VPN a publié une recherche intensive examinant de plus près les 30 applications constituant les 20 meilleurs résultats de recherche de «VPN» sur l'App Store et sur Google. Play Store. Les résultats ont été déconcertants, en particulier en ce qui concerne les politiques de propriété et de confidentialité des applications, ainsi que le fait que certaines applications ont enregistré plus de 50 millions de téléchargements dans le monde entier.

Après avoir exploré les informations sur la propriété des applications, Migliano et son équipe ont constaté que près de 60% des applications VPN gratuites les plus populaires sur l'App Store d'Apple et le Google Play Store sont secrètement détenus par des particuliers ou des sociétés en Chine, restrictions Internet connues et interdiction stricte des VPN.

Pour les services dédiés – par leur nom et leur fonction – à la confidentialité, de nombreuses applications VPN parmi les plus recherchées ont également échoué de manière spectaculaire sur le front de la confidentialité des données, selon une étude de Migliano. . Environ 86% avaient de graves problèmes de politique de confidentialité, notamment une politique générique sans termes spécifiques à un VPN ou un manque de détails sur les processus de journalisation pouvant donner aux utilisateurs un «faux sentiment de sécurité». Certaines applications ne disposaient d'aucune politique de confidentialité. D'autres avaient des politiques autorisant le suivi des activités des utilisateurs ou le partage de données avec des tiers, et d'autres encore indiquaient explicitement qu'ils partageaient des données avec la Chine.

Un exemple, Hola VPN, est une application israélienne pour iOS et Android comptant plus de 10 millions d'installations dans le monde. Sa politique de confidentialité spécifie qu'elle enregistre les activités des utilisateurs, telles que le type de navigateur, l'historique de navigation et le temps passé sur chaque page Web, ainsi que les dates et heures d'accès.

Trois applications dénommées VPN Master, Turbo VPN et Snap VPN, qui totalisent plus de 14 millions d'installations Android et 1,1 million d'installations mensuelles iOS, indiquent explicitement qu'elles peuvent transférer les données personnelles des utilisateurs en Chine ou Singapour et les types de données qu’ils partagent vont très loin: informations telles que les types de navigateur, les adresses IP, les horodatages, les codes d’identification de périphérique, les adresses e-mail, les informations relatives au processeur, à la batterie, etc.

Une autre conclusion douteuse? Environ 55% des applications hébergeaient leurs politiques de confidentialité sur des pages amateurs, telles que des sites WordPress gratuits avec des publicités ou des fichiers en texte brut sur Pastebin. Plus de la moitié ont indiqué que les comptes de messagerie personnels (Gmail, Yahoo, etc.) étaient des adresses électroniques d'assistance à la clientèle. Lorsque Top10VPN a contacté ces canaux, 83% des demandes par courrier électronique d'assistance à la clientèle ont été ignorées.

Prenez SuperVPN, par exemple, une application avec 50 millions de téléchargements sur le Google Play Store. Il répertorie deux fausses adresses en ligne, propose une adresse Gmail personnelle pour les demandes de renseignements du service clientèle et dispose d'une politique de confidentialité vague qui compte moins de 350 mots.

Migliano et son équipe ont également effectué un examen technique plus approfondi de 150 applications VPN disponibles pour les utilisateurs d'Android. Ensemble, les applications comptaient plus de 260 millions d'installations provenant du magasin Google Play lors de la publication de l'étude en février. Ce nombre a maintenant atteint 518 millions. Les résultats étaient préoccupants: 85% des applications comportaient des autorisations intrusives ou des fonctions potentiellement abusives. Près de sept sur dix détenaient des autorisations que la documentation officielle de développeur pour Android qualifie de "dangereuses". Et 18% des applications ont été testées positives lors de l'analyse préliminaire de virus ou de logiciels malveillants.

Entrepreneur a collaboré avec Sixgill, une entreprise de renseignement sur les menaces qui analyse les sources Web sombres et profondes, pour approfondir l'analyse de cinq des VPN potentiellement dangereux de l'étude de Migliano: VPN Proxy Master, TurboVPN, Snap VPN, X -VPN et VPN sécurisé. Dov Lerner, un chercheur en cyberintelligence de la société, a constaté que la plupart d’entre eux étaient hautement recommandés dans les forums sur le Web sombre.

«Cela m'a fait rire un peu, dit Lerner. "Dans cet antre de voleurs, tout le monde est voleur – tout le monde essaie de gagner de l'argent avec quelqu'un d'autre … C'était donc assez drôle de savoir que si ces VPN ne sont pas sûrs, ces personnes ne sont guère en sécurité. Parce qu’ils sont effectivement engagés dans des activités illégales, ces services VPN peuvent les transmettre aux forces de l’ordre ou les utiliser pour faire du chantage. Il est difficile de dire ce qu'ils vont en faire, mais ils ont certainement des contenus compromettants. »

Comment cela pourrait affecter les consommateurs (et pourquoi vous devriez vous en soucier)

Alors que les atteintes à la sécurité des données se propagent comme une traînée de poudre – Equifax, Yahoo et Marriott, pour n'en nommer que quelques-uns – vous vous demandez peut-être: Mes données personnelles sont déjà disponibles dans l'éther. Quels nouveaux risques un VPN dangereux peut-il réellement représenter?

Mais il existe ici une raison valable de s’inquiéter – et de prendre des mesures pour se protéger. Par définition, les VPN (encore une fois, les réseaux virtuels privés ) sont présentés comme des options sûres pour une utilisation Internet sécurisée. Cela signifie qu'une personne utilisant un réseau privé virtuel (VPN) peut avoir l’impression d’être protégée lorsqu’elle visite le site Web de son institution financière, de son fournisseur d’assurance maladie ou d’un autre point de vente sensible. Mais lorsque vous utilisez un VPN, toutes vos données de navigation transitent par des serveurs exploités par le fournisseur de ce service – l'opérateur de l'application. C’est chaque octet de vos données de navigation, y compris les recherches sur le Web.

Lorsqu’elles sont analysées dans le cadre d’un ensemble de données extrêmement volumineux, même des informations apparemment anodines peuvent révéler des aspects sensibles de la vie d’un consommateur. La localisation peut indiquer la religion, les affiliations politiques, l'état de santé, etc. Vous cherchez peut-être des symptômes de dépression chez un membre de votre famille ou visitez des sites qui vous inquiètent pour la stabilité financière. Dans tous les cas, ces informations peuvent déterminer les publicités avec lesquelles l'application vous cible directement. Il pourrait également être connecté, capturé, divisé et vendu à des tiers, y compris des annonceurs et des spécialistes du marketing.

Avec peu ou pas de protection des données, ces contrats sont conclus à plusieurs degrés du consommateur. Vous n’avez pas de relation avec votre fournisseur de services Internet (FAI) et vous ne participez pas à la conversation sur la revente de données. Le marché est en grande partie non réglementé.

Et ce n’est que l’aspect juridique des choses. Dans les cas marginaux, un fournisseur de réseau privé virtuel non légitime pourrait même collecter des informations sur l'utilisateur à des fins d'usurpation d'identité. Par exemple, sur le Web sombre, les informations d’identité des utilisateurs pour les courriels et les mots de passe pourraient se vendre entre 3 et 5 USD, tandis que les données de carte de crédit pourraient coûter 30 USD, explique Lerner.

Et comme 59% des applications de l’étude Migliano cachent la propriété chinoise – malgré l’interdiction stricte des VPN en Chine – les autorités locales ont la possibilité de collecter des données sensibles d’utilisateurs à des fins de renseignement, sans surveillance ni contrôle. «C’est ce qui se passe à l’intérieur, à l’intérieur du pays, alors il est loin d’être irréaliste de penser que cela pourrait également se faire à l’international», a déclaré Migliano. Cela peut sembler exagéré, mais la controverse qui a touché le géant du téléphone Huawei ces derniers mois – entourant ses liens présumés avec le gouvernement et les renseignements chinois – signifie que l’idée n’est pas invraisemblable.

Dans le meilleur des cas, ces applications proviennent simplement de sociétés chinoises qui ne prennent aucune responsabilité pour la protection des données, explique Lerner. Dans le pire des cas, non seulement cela reste vrai mais aussi, ce qui est alarmant, ce sont des données utilisateur qui collectent en masse.

Dans un autre ordre d'idées, il y a le problème des VPN avec des failles de sécurité peut-être involontaires – des produits simplement ne fonctionne pas correctement ou ne dispose pas d'autorisations dans son code source qui soulèvent des drapeaux rouges. L’enquête de Migliano a révélé que un quart des 150 applications présentées dans l’indice de risque Android «fuyaient», c’est-à-dire qu’il permettait aux FAI d’accéder aux données de navigation d’un utilisateur.

D'autres autorisations intrusives pourraient être le résultat de tentatives visant à vous cibler plus précisément pour des publicités ou quelque chose de plus sinistre. L'enquête de Migliano a révélé que 87 des 150 applications incluaient des autorisations de code source pour accéder au dernier emplacement connu de l'utilisateur. Six applications incluaient des autorisations pour ouvrir la caméra d’un utilisateur, ce qui signifiait qu’elles pouvaient potentiellement être considérées comme des logiciels espions. Quatre applications incluaient même des autorisations pour envoyer en secret des SMS depuis l’appareil de l’utilisateur.

"Notre génération Internet s'est habituée à obtenir des applications gratuitement", dit Lerner, "mais la protection de la vie privée et des données est primordiale. Si vous souhaitez que vos données soient protégées, vous devez les payer. "

Un problème mondial

Depuis environ un demi-siècle, la" doctrine de la tierce partie "a été un élément essentiel du droit américain de la protection de la vie privée. qu'après avoir partagé des informations avec un tiers, les individus n'ont aucune attente raisonnable en matière de vie privée. Mais à mesure que les consommateurs investissent davantage dans leurs droits en matière de protection des données – et que les violations continuent de se propager – les gouvernements commencent à prendre des mesures pour renforcer la réglementation. Le Vermont, le Maine et la Californie ont tous adopté des lois qui réglementent ou limitent d'une manière ou d'une autre la vente de données sur les résidents, et plusieurs autres États envisagent des mesures similaires.

Mais la bataille pour la confidentialité des données s’étend bien au-delà des superpuissances mondiales et se déroule à une échelle individuelle.

Des coupures de connexion Internet se produisent régulièrement dans le monde entier. Par exemple, selon un rapport, 22 gouvernements d'Afrique ont ordonné la fermeture de postes au cours des cinq dernières années. Et de nombreux utilisateurs de VPN choisissent des options gratuites car ils ne peuvent pas payer pour des services similaires, bien qu’ils soient peut-être réellement dans le besoin.

Depuis 2009, le gouvernement iranien a censuré l'accès aux plateformes de médias sociaux telles que Facebook, Twitter et YouTube depuis que les activistes les ont utilisées pour organiser des manifestations. Certains résidents téléchargent des VPN pour contourner les restrictions.

En avril, après les attentats à la bombe de Pâques au Sri Lanka, le gouvernement a institué un blocage majeur d'Internet sur des plates-formes telles que Facebook, WhatsApp et YouTube, invoquant la nécessité de lutter contre la désinformation. Pour des informations sur ce qui s'est passé – et pour contacter leurs proches – les habitants se sont tournés vers les VPN .

Et en mai, le gouvernement indonésien a restreint l'accès aux médias sociaux à la suite d'émeutes meurtrières qui ont éclaté après l'élection présidentielle. Les résidents ont utilisé des VPN pour contourner l'arrêt et s'enregistrer auprès de leurs proches, ainsi que pour télécharger des photos, des vidéos ou des messages vocaux sur des plateformes telles que WhatsApp.

Il se peut qu’à un moment donné, les gouvernements interviennent pour réglementer les réseaux VPN, mais il est à craindre que les gouvernements instaurent la censure et qui réglementent les outils de censure. C’est la raison pour laquelle Migliano considère Google et Apple comme des exemples parfaits d’organisations supranationales qui pourraient assumer le contrôle de la réglementation des VPN dans les pays du monde entier.

"Les gens voient des signes de dollar quand ils pensent aux VPN", dit Migliano. «Pour le moment, il y a un vide et les mauvaises personnes se précipitent pour le combler.» Il envisage un avenir dans lequel les services seront réglementés de la même manière que les FAI – par exemple, soumis aux exigences de transparence des entreprises. – et potentiellement même un test standardisé pour déterminer si l’on est apte à servir le public. «C’est dans cette optique que Google et Apple devraient consulter les applications VPN, et cela n’est vraiment pas le cas.»

Réponse de Google et Apple

Lorsque Migliano a pour la première fois partagé les résultats avec Apple et Google par courrier électronique En 2019, il a inclus des listes détaillées des applications potentiellement dangereuses, des liens de recherche, des liens vers des listes sur les magasins d'applications, des recommandations sur les étapes à suivre, etc. Migliano a informé chaque entreprise qu'il attendrait 10 semaines avant de rendre publique la recherche, afin de résoudre ses vulnérabilités.

Cela fait plus de six mois et 77% des applications signalées comme non sûres à la date de publication de l'étude ne sont pas encore disponibles. disponible pour le téléchargement, mais semble également gagner en popularité. En ce qui concerne Google Play, les téléchargements d’applications affectés ont grimpé de 85% en six mois (pour un total de 518 millions à ce jour). Dans l’App Store, les installations mensuelles sont restées pratiquement inchangées, à environ 3,8 millions d’euros, mais comme le dit l’étude de Top10VPN c’est toujours une augmentation relative: «Ce total a été généré par 20% moins d’applications qu'au début de l'année. l'année, car de nombreuses applications ne sont plus disponibles. ”

“ C'est assez déconcertant de constater qu'Apple et Google n'ont même pas prononcé une seule déclaration ”, déclare Migliano. «Les laisser complètement ignorer le problème et se mettre la tête dans le sable était l’autre aspect de cette série de recherches qui m’avait étonné – même pas de le reconnaître, de donner des conseils de relations publiques et de dire:« Oui, nous examinons ".

Les représentants d'Apple ont accepté d'examiner les données de plus près, mais ils n'avaient pas encore commenté l'heure de publication. Google n'a pas répondu à plusieurs demandes de commentaires.

Le 3 juin, Apple a introduit une nouvelle itération de ses directives d'examen de l'App Store qui interdisait aux VPN de partager des informations utilisateur avec des tiers. Le problème: il semble que la société n’ait pas beaucoup appliqué, à en juger par le fait que 80% des 20 applications VPN gratuites actuellement disponibles au téléchargement sur l’App Store ne semblent toujours pas être conformes aux directives pourtant, nous avons six millions de téléchargements mensuels au total.

«À mon avis, ils se sont en quelque sorte reculés,» dit Migliano. "Ils ont admis que les VPN doivent être traités différemment, mais [they’re] ne font rien en réalité."