Les services de VPN se multiplient à travers le globe et les offres deviennent de plus en plus agressives. Pour se démarquer sur un marché ultra concurrentiel, certains prestataires se démarquent par le prix de leurs offres, ou les prestations.

C'est ainsi que certains proposent une offre "zero log" pour se démarquer et proposer une couche supplémentaire de sécurité aux utilisateurs. La promesse est simple : pendant l'utilisation du VPN, aucune trace de l'activité de l'utilisateur n'est stockée, aucun historique n'est en théorie créé, garantissant ainsi une couche d'anonymat en plus...

vpn accès infromation  (1)

Mauvaise nouvelle : Bob Diachenko, chercheur en sécurité a malgré tout mis la main sur plus d'un téraoctet de logs appartenant justement à des utilisateurs de ces services VPN pourtant garantis zero log. Les données étaient par ailleurs accessibles au public sur un serveur Elasticsearch, la faille concernerait 7 fournisseurs de VPN.

UFO VPN est le premier concerné avec 894 Go de données de log affichant les mots de passe des comptes utilisateurs, adresses IP, serveurs préférés et même les identifiants des services consultés depuis le VPN ainsi que les noms de domaine fréquentés. Le fichier rassemblerait ainsi 20 millions d'entrées en clair, soit l'ensemble des abonnés du service du fournisseur...

Six autres fournisseurs, tous localisés à Hong Kong ont également été épinglés pour des faits similaires : Fast VPN, Flash VPN, Free VPN, Rabbit VPN, Secure VPN et Super VPN. Au total, c'est 1,2 To de logs qui ont ainsi été récupérés sur la toile et consultables en ligne pendant une période inconnue.