La concurrence entre les fournisseurs de VPN grand public fait rage et tous rivalisent de promesses marketing pour attirer les clients. Certains vantent les bienfaits du double VPN tandis que d’autres promettent tout simplement de ne garder aucun log sur l’activité des utilisateurs. Cette seconde affirmation vient de prendre du plomb dans l’aile : le chercheur en sécurité Bob Diachenko a annoncé avoir découvert une base de données exposée contenant 894 GB de données appartenant au service UFO VPN, qui promet sur son site de ne garder aucune information sur les connexions de ses utilisateurs.
Parmi les données collectées dans la base de données, Diachenko affirme avoir trouvé les mots de passe des utilisateurs en clair, les tokens d’authentification de session, les adresse IP des utilisateurs et des serveurs VPN qu’ils ont utilisés, les tags de géolocalisation, les horodatages de connexion au service, les informations sur les appareils et systèmes d’exploitation des utilisateurs, et les URL des domaines publicitaires ayant injecté des publicités dans le trafic des utilisateurs. Au total, la base de données exposait un peu plus de 20 millions d’entrées par jour selon Comparitech, accessibles directement sur internet sans authentification nécessaire.
La base de données fautive a été indexée par le moteur de recherche Shodan.io à la fin du mois de juin, avant d’être découverte par le chercheur Bob Diachenko le 1er juillet. Ce dernier a pris contact avec la société à l’origine du service UFO VPN afin de faire corriger ce problème, et l’incident a été résolu le 15 juillet.
Effet domino
Selon les chercheurs du groupe VPNMentor, la fuite de données n’aurait pas uniquement affecté le service UFO VPN mais l’ensemble des services VPN proposés par la société hongkongaise Dreamfii HK Limited. VPNMentor indique avoir de son côté constaté la présence de plusieurs bases de données ElasticSearch exposées, contenant des données relatives à plusieurs services de VPN : UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, Rabbit VPN. Au total, le contenu total de ces différentes bases de données équivaudrait à plus d’un téraoctet de données, selon VPNMentor. La faille a été colmatée le 15 juillet selon VPNMentor, ce qui laisse penser que l’ensemble de ces services partageait une infrastructure commune.
Dans une réaction relayée par VPNmentor, les administrateurs d’UFO VPN indiquent que « sur ce serveur, toutes les informations collectées sont anonymisées et ne doivent être utilisées que pour analyser les performances et les problèmes du réseau de l’utilisateur afin d’améliorer la qualité de service. Certaines reviews envoyées par les utilisateurs eux-mêmes contiennent des e-mails, cependant, le nombre est très faible, moins de 1 % de nos utilisateurs ». UFO VPN conteste également la présence de mots de passe en clair dans la base de données : « ce doivent être les tokens de connexion aux serveurs VPN, et nous les collectons dans les commentaires des utilisateurs pour vérifier si le mauvais token est utilisé. Nous appelons cette catégorie « mot de passe » dans les commentaires et stockons en texte clair. Mais pour les comptes d’utilisateurs et les mots de passe de connexion, nous les avons tous chiffrés lors du transfert et du stockage ».
Comparitech et VPNMentor estiment de leur côté que ces déclarations sont incorrectes et que les données exposées contenaient des données sensibles : VPNMentor détaille ainsi sur son blog des cas de figure permettant de retracer l’historique de navigation de certains utilisateurs, ainsi que les changements de mots de passe successifs.
Sur son blog, VPNMentor montre une partie des données conservées par les éditeurs de ces services VPN et la façon dont celles-ci peuvent permettre de retrouver l’historique de navigation d’un utlisateur. (Source : VPNMentor)
Des mots, rien que des mots ?
Nombreux sont les éditeurs de VPN qui promettent une politique « Zero logs », afin d’assurer l’anonymat à leurs utilisateurs. Cette fuite de données vient relativiser ces affirmations : les VPN qui promettent une sécurité absolue ne sont pas toujours honnêtes avec leurs utilisateurs. De nombreux Etats ont passé des lois obligeant les services de ce type à conserver une partie de l’activité de leurs utilisateurs afin de les tenir à la disposition de la justice en cas d’enquête, et les promesses d’anonymat ne sont souvent que des arguments marketing visant à appâter le chaland dans un marché hyper concurrentiel.
Si l’utilisation d’un serveur VPN grand public peut répondre à des besoins précis (par exemple, vouloir accéder à un contenu bloqué dans un pays), l’utilisation de ces services revient au final à confier son trafic internet à un tiers. Mieux vaut donc avoir de solides gages de confiance (audits externes, applications open source, etc.) avant de s’engager les yeux fermés.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "http://connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));