La guerre des VPN fait rage. Chaque fournisseur y va de son offre exceptionnelle pour attirer les clients dans son escarcelle. Généralement, les fournisseurs de VPN « zéro log » sont les plus plébiscités. En effet, qui dit « zéro log » dit aucune sauvegarde de l’activité de l’utilisateur : IP, journaux de connexion, métadonnées, etc. C’est en principe une garantie supplémentaire pour préserver son anonymat sur la toile.
Seulement, il s’avère que certains fournisseurs voient plus le « zéro log » comme une promesse marketing, et non un véritable service. C’est en effet ce qu’a découvert le chercheur en sécurité informatique Bob Diachenko. L’expert a mis la main sur un téraoctet de données personnelles et de logs sur un serveur Elasticsearch accessible au public.
Toutes ces données appartiennent aux utilisateurs de 7 fournisseurs de VPN basés à Hong-kong, qui ont eu la bonne idée de regrouper tous leurs œufs dans le même panier. Parmi eux, UFO VPN peut prétendre à la palme du plus beau raté. En effet, la société a sauvegardé pas moins de 864 Go de données sur ce serveur.
864 Go de logs et de données personnels
On y trouve des mots de passe, des adresses IP, des identifiants relatifs aux différentes navigations des utilisateurs, le nom de domaine de certains sites Web visités ou encore la liste des serveurs VPN préférés des usagers. On est loin de la promesse d’une confidentialité optimale non ?
D’après Bob Diachenko, pas moins de 20 millions d’entrées ont été laissées en clair, autrement dit sans chiffrement, sur le serveur Elasticsearch. Fait amusant, UFO VPN se félicite justement sur son site d’avoir 20 millions d’utilisateurs… Si UFO VPN est le cas le plus grave, le chercheur Noam Rotem du site VPNmentor a découvert de son côté que les fournisseurs de VPN Fast VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN ont eu aussi sauvegardé des logs sur ce même serveur.
UFO VPN n’est pas le seul…
En cumulant le tout, ce serveur Elasticsearch abritait pas moins de 1,2 To de données personnelles et de logs appartenant aux utilisateurs de tous ces fournisseurs de VPN. Cela représente plus d’un milliard d’entrées, accessible à n’importe quel hacker sur un serveur non chiffré. Certains paquets contenaient même des coordonnées bancaires et des informations de paiement Bitcoin et Paypal, ainsi que des adresses postales et des noms d’utilisateurs.
Les chercheurs en sécurité informatique conseillent aux utilisateurs de ces VPN de « changer leur mot de passe immédiatement, et cela va de même pour tout autre compte qui utilise le même mot de passe ». De son côté, UFO VPN a supprimé toutes les traces de logs, affirmant que le coronavirus l’avait empêché de sécuriser son réseau et que ces logs étaient conservés à « des fins d’analyses » seulement. La belle affaire !
Faites confiance à un vrai VPN !
La sécurité est primordiale sur Internet et c’est avec ce genre de VPN véreux que la réputation de ce type de service reste entachée. Sur notre sélection des meilleurs VPN de 2020, les trois premiers ont passé avec succès des audits indépendants garantissant la sécurité de vos données : les anglais de PricewaterhouseCoopers pour ExpressVPN et NordVPN ou Cure53 pour Surfshark. Si vous devez optez pour un VPN, faites-nous confiance, nous les avons tous essayé !
Source : Presse Citron
