Les VPN (réseau privé virtuel) sont très pratiques pour différentes raisons, de la sécurisation d'un accès Internet au contournement de certaines limitations (par zone géographique, par exemple), mais encore faut-il prendre un minimum de précautions dans le choix du service VPN.
Les VPN gratuits sont en général à éviter mais même ceux qui proposent un service payant peuvent être sujets à caution et finir par disséminer vos informations personnelles au lieu de les protéger.
C'est ce qui semble être le cas avec le service SuperVPN qui a laissé échapper une énorme base de données non chiffrée de plus de 360 millions d'éléments et pesant 133 Go, repérée par la firme VpnMentor.
Beaucoup de données en liberté
A l'intérieur, on trouve des adresses email de clients, des adresses IP, de la géolocalisation et les enregistrements des serveurs utilisés. Dans certains cas, il y a aussi des identifiants uniques et des UUID, ainsi que des numéros de téléphone et le type de smartphone utilisé.
La base de données comprend également des informations sur des transactions réalisées pour prendre un abonnement à SuperVPN et des liens vers les sites Web consultés.
Adresses IP, emails, on trouve de quoi identifier les utilisateurs (credit : VpnMentor)
Ces données, qui peuvent contribuer à retrouver l'identité des utilisateurs, proviennent essentiellement de deux applications Super VPN disponibles sur l'App Store et le Google Play Store et qui auraient été téléchargées 100 millions de fois.
Les applications sont reliées à une entreprise Qingdao Leyou Hudong Network Technology Inc. mais aussi à une enteprise SuperSoft Tech dont il reste difficile de savoir s'il s'agit de la même entité, d'autant plus que les informations légales sont rares sur leurs sites officiels, ce qui n'est déjà pas rassurant en soi.
VpnMentor note que les adresses email du service client de SuperVPN sont aussi associées à d'autres services VPN qui pourraient être le même service proposé sous des noms différents.
Ne pas se laisser abuser
L'expert en sécurité Jeremiah Fowler indique que l'application de SuperSoft Tech avait déjà été repérée comme problématique du point de vue de la sécurité du service avec la possibilité de réaliser des attaques de type man-in-the-middle et la recommandation de la désinstaller.
Des références sur les transactions réalisées auprès du développeur
(credit : VpnMentor)
VpnMentor rappelle donc l'importance de bien choisir son service VPN et de ne pas céder à la facilité du tout gratuit, ou même du payant sans vérifier certains éléments comme un discours peu clair sur les données collectées par le fournisseur du service, l'absence de mentions claires sur le propriétaire et son siège social.
Il faut également vérifier si le service est protégé contre les fuites DNS et s'il dispose d'un chiffrement suffisant. En dernier recours, les notes et commentaires des utilisateurs, surtout négatifs, peuvent aiguiller sur la qualité du VPN et son degré de confiance.
L'origine chinoise du VPN peut aussi être un signal d'alerte dans la mesure où les autorités locales imposent un droit de regard aux fournisseurs de services, d'abord pour surveiller l'activité des utilisateurs chinois mais avec de potentielles implications pour les utilisateurs extérieurs.
En l'absence d'informations complémentaires, rien ne permet de dire pour le moment que les développeurs du service ont été négligents mais il reste que cette base de données à beaucoup à révéler sur ses utilisateurs.
