Catégories
Uncategorized

Les VPN sans journaux manquent … leurs enregistrements

Les VPN sans journaux manquent ... leurs enregistrements

La concurrence entre les principaux fournisseurs de VPN est féroce et tout le monde participe aux promesses marketing pour attirer les clients. Certains notent les avantages d’un double VPN, tandis que d’autres promettent simplement de ne pas suivre l’activité des utilisateurs. Cette seconde revendication vient de prendre les devants: le chercheur en sécurité Bob Diachenko a annoncé avoir découvert une base de données divulguée contenant 894 Go de données appartenant à un service VPN UFO, qui promet sur son site de ne stocker aucune donnée sur les connexions de ses utilisateurs.

Parmi les données collectées dans la base de données, Diachenko prétend avoir trouvé des mots de passe utilisateur clairs, des jetons d’authentification de session, des adresses IP utilisateur et des serveurs VPN qu’ils ont utilisés, des balises de géolocalisation, des horodatages de connexion au service, des informations sur l’appareil utilisateur et le système d’exploitation, et des URL. ces domaines publicitaires qui ont injecté des annonces dans le trafic des utilisateurs. Au total, la base de données présentait un peu plus de 20 millions d’entrées par jour selon Comparitech, disponibles directement via Internet sans authenticité.

La base de données défectueuse a été indexée par Shodan.io fin juin, avant d’être découverte par le chercheur Bob Diachenko 1est Juillet. Ce dernier a contacté la société derrière le service VPN UFO pour résoudre le problème, et l’incident a été résolu le 15 juillet.

effet domino

Selon des chercheurs du groupe VPNMentor, la violation de données affecterait non seulement le service VPN UFO, mais également tous les services VPN proposés par la société hongkongaise Dreamfii HK Limited. VPNMentor montre qu’il a détecté la présence de plusieurs bases de données ElasticSearch exposées, qui contiennent des données liées à plusieurs services VPN: UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, Rabbit VPN. Au total, le contenu total de ces différentes bases de données représenterait plus d’un téraoctet de données, selon VPNMentor. L’omission a été rectifiée le 15 juillet, a rapporté VPNMentor, suggérant que tous ces services partageaient une infrastructure commune.

Dans une réaction véhiculée par VPNmentor, les administrateurs d’UFO VPN soulignent que «toutes les informations collectées sur ce serveur sont anonymes et ne doivent être utilisées que pour analyser les performances et les problèmes du réseau utilisateur afin d’améliorer la qualité de service. Certains avis envoyés par les utilisateurs eux-mêmes contiennent des e-mails, cependant, le nombre est très faible, moins de 1% de nos utilisateurs. UFO VPN conteste également la présence de mots de passe clairs dans la base de données: «ce doivent être des jetons pour se connecter aux serveurs VPN, et nous les collectons dans les commentaires des utilisateurs pour vérifier si le mauvais jeton est utilisé. Nous appelons cette catégorie «mot de passe» dans les commentaires et la stockons en texte clair. Mais pour les comptes utilisateurs et les mots de passe de connexion, ils sont tous cryptés pendant la transmission et le stockage. « 

Comparitech et VPNMentor, pour leur part, estiment que ces affirmations sont incorrectes et que les données affichées contiennent des données sensibles: VPNMentor détaille ainsi leurs scripts de blog qui vous permettent de suivre l’historique de navigation d’utilisateurs spécifiques ainsi que les changements de mots. passes consécutives.

Sur son blog, VPNMentor affiche certaines données stockées par les éditeurs de ces services VPN et comment il peut aider à trouver l’historique de navigation des utilisateurs. (Paquet source: VPNMentor)

Des mots, juste des mots?

De nombreux fournisseurs de VPN promettent une politique «zéro» pour assurer l’anonymat de leurs utilisateurs. Cette fuite de données met ces affirmations en perspective: les VPN qui promettent une sécurité absolue ne sont pas toujours honnêtes avec leurs utilisateurs. De nombreux États ont adopté des lois exigeant que les services de ce type maintiennent une partie des activités de leurs clients afin de les maintenir à la disposition de la justice en cas d’enquête, et les promesses d’anonymat ne sont souvent que des arguments marketing visant à attirer les clients vers un marché hyper-concurrentiel.

Bien que l’utilisation d’un serveur VPN grand public puisse répondre à des besoins spécifiques (par exemple, on souhaite accéder à un contenu bloqué dans un pays), utiliser ces services revient à terme à externaliser le trafic Internet vers un tiers. Il est donc préférable d’avoir des garanties de confiance fermes (audits externes, applications open source, etc.) avant de commencer les yeux fermés.