Une étude menée conjointement par des universitaires australiens et états-uniens met en avant le danger d’une partie des applications de VPN proposées sur Google Play. Après avoir analysé 283 VPN gratuits pour Android, les chercheurs ont découvert que la majorité des apps ne protégeaient pas vraiment leurs utilisateurs. Et que certaines étaient même malveillantes sous couvert de protéger la connexion.
Rappelons qu’un VPN a pour mission, sur un terminal mobile, de faire transiter sa connexion via un serveur tiers. Soit pour contourner une restriction géographique, soit pour protéger sa connexion, notamment dans le cas où l’on utilise un Hotspot Wi-Fi. Utiliser un VPN implique de faire confiance à un tiers, puisque tout le trafic web du smartphone ou de la tablette passera dès lors par un autre serveur.
Malheureusement, les fournisseurs de VPN ne sont pas tous dignes de confiance, surtout ceux qui proposent leurs services gratuitement. L’étude montre que 75 % des apps analysées utilisent des outils de suivi tiers alors même que 67 % d’entre elles assurent améliorer la vie privée de l’utilisateur pendant sa connexion. Plus de 80 % des apps surveillées demandent par ailleurs un accès à des informations sensibles, comme les fichiers de logs qui enregistrent toutes les opérations menées par Android.
Plus gênant encore, une partie des VPN proposés aux utilisateurs Android sont dangereux. Pour commencer, 18 % des apps ne chiffrent pas le trafic entre le smartphone et les serveurs associés. Ce qui signifie qu’un tiers pourrait analyser ce trafic, comme si aucun VPN n’était utilisé. L’écrasante majorité des apps ne gère pas le trafic en IPv6 et ne le fait pas transiter par le serveur sans prévenir pour autant l’utilisateur.
Pire, au moins deux VPN parmi ceux qui étaient analysés modifiaient les pages web pour injecter leurs propres publicités et se financer ainsi à l’insu des utilisateurs. L’une des deux apps va même jusqu’à modifier les liens vers des boutiques en ligne pour ajouter un code de suivi et gagner de l’argent, là encore à l’insu des utilisateurs. Sans aller jusque-là, 38 % des apps analysées intègrent un malware, en général sous la forme de publicité. L’étude ne s’est intéressée qu’aux VPN gratuits, ce qui explique sans doute ces résultats.
L’étude ajoute que les avis largement positifs sur le Play Store montrent bien que les utilisateurs ne sont pas conscients du mal que peuvent faire certains VPN. Il faut dire que les applications promettent toutes une connexion anonyme et protégée et il est difficile de vérifier ces affirmations, surtout quand on n’a qu’un smartphone sous la main.
De manière générale, mieux vaut éviter les VPN gratuits ou alors s’en tenir aux acteurs sérieux, comme celui d’Opera. Les deux pires apps de l’étude sont à retenir et à éviter : Hotspot Shield VPN Proxy, WiFi proposée par AnchorFree et WiFi Protector VPN d’Optimal Software.
L’étude s’est intéressée à Android, mais ces conseils valent aussi sur iOS. L’App Store regorge de VPN gratuits, mais ne choisissez pas le premier-venu si vous tenez à votre vie privée. D’ailleurs, le VPN d’AnchorFree épinglé dans l’étude est aussi présent sur l’App Store. Néanmoins, il ne s’agit pas d’un VPN gratuit et peut-être que la situation est différente sur la plateforme d’Apple.
Source : Ars Technica