La relation du public avec la vie privée numérique est en train de changer suite à différents événements, selon ProPrivacy. Des révélations d'Edward Snowden en 2013 au scandale de Cambridge Analytica en 2019 aux États-Unis et bien d’autres états de surveillance numérique dans d’autres pays, les consommateurs ont pris conscience que leur vie privée est confrontée à des attaques sans précédent. Plusieurs d’entre eux se sont par conséquent tournés vers l'utilisation des réseaux privés virtuels.
La sensibilisation croissante à la protection de la vie privée en milieu numérique a créé une opportunité extrêmement lucrative. Les VPN sont devenus une grande entreprise, et tout le monde veut sa part du gâteau. Selon ProPrivacy, le marché combiné des VPN devrait dépasser les 50 milliards de dollars US d'ici 2024, contre 34 milliards de dollars US en 2018. Il faut également noter que l’ensemble des VPN grand public ont été téléchargés plus de 1,25 milliard de fois sur la seule boutique Google Play Store, et selon l’étude, cela représente, collectivement, plus que Twitter, Snapchat, Skype et Microsoft Word.
Les applications VPN à éviter
Les applications VPN grand public ont de multiples usages et sont utilisées par différentes personnes pour différentes raisons. Ils sont capables de contourner les contenus géoréférencés, ce qui les a rendus très populaires pour accéder à des services comme Netflix, qui restreint une grande partie de son contenu en fonction de la région.
Cependant, comme leur nom l'indique, leur fonction principale est de protéger et de maintenir la vie privée de l'individu qui utilise le service. Un fournisseur de VPN doit être en mesure de relever les défis techniques liés au masquage de l'identité de ses utilisateurs. Qu'il s'agisse de citoyens soucieux de leur vie privée, de dissidents, de journalistes ou de dénonciateurs, les gens comptent sur les VPN pour travailler. S'il ne répond pas aux exigences techniques de base, les conséquences dans le monde réel peuvent être désastreuses.
Mais malgré ces exigences, les marchés de la téléphonie mobile sont truffés de services VPN gratuits. Pour son étude, ProPrivacy a prélevé les 250 meilleures applications VPN sur la boutique Google Play. Parmi celles-ci, 32 étaient des services premium (payants) et ont donc été écartées des analyses. 14 autres ont été écartées, car elles n'étaient pas de véritables services VPN. Sur le reste, 79 applications au total n'ont pas satisfait aux normes de protection suffisantes. Ces statistiques devraient servir à ouvrir les yeux aux nombreux utilisateurs qui pensent que l'utilisation d'applications VPN gratuites ne présente aucun risque.
ProPrivacy a découvert que de nombreuses applications VPN ne fournissent pas les mesures de sécurité nécessaires parce qu'elles reposent sur IPv4, un ancien protocole 32 bits. À l'époque, le protocole avait la capacité d'identifier les appareils de manière unique et offrait suffisamment de variables pour contribuer à la conservation d’environ 4,3 milliards d'adresses uniques dans le système 32 bits. Cependant, à mesure que de plus en plus de dispositifs ont commencé à accéder à l'Internet, les adresses uniques ont commencé à devenir obsolètes et le protocole IPv6, basé sur des adresses 128 bits, a pris le relais.
10 des 79 applications VPN qui exposent les données utilisateurs
Pour analyser encore plus le problème, les chercheurs ont également observé que les développeurs créent beaucoup de VPN similaires uniquement en changeant l'apparence et le nom du logiciel. Le développeur Softtechstudio, par exemple, a créé un total de 98 VPN et, par conséquent, le VPN défectueux a facilement reproduit l'application créée par la société.
Habituellement, selon ProPrivacy, la majorité des VPN sont également très identiques. Ce sont les noms qui font toute la différence avec USA VPN , VPN Korea, VPN Australia, VPN Israel, VPN India, et VPN China qui sont ensuite proposés par AltApps et qui sont finalement téléchargés un million de fois par les utilisateurs.
87 % des fuites des applications VPN gratuites étaient liées à l'IPv6
De nombreux fournisseurs d'accès Internet, sites Web et services Internet ne prennent toujours pas en charge le protocole IPv6. C'est pourquoi de nombreux fournisseurs de services VPN ont négligé d'aborder la manière dont les connexions IPv6 devraient être traitées, d’après ProPrivacy. Cependant, la connectivité IPv6 est en augmentation. Les données fournies par Google suggèrent qu'entre 25 et 30 % de tout son trafic est désormais IPv6.
Les clients VPN de haute qualité offrent une protection contre les fuites IPv6, mais l’étude a révélé que presque toutes les fuites des applications VPN gratuites (87 %) étaient liées à l'IPv6. Neuf autres VPN présentaient des fuites WebRTC. Ces services comprenaient deux fournisseurs avec plus de 5 millions de téléchargements chacun.
Sur la base des chiffres moyens d'adoption mondiale de la norme IPv6, combinés au nombre total de téléchargements mensuels, ProPrivacy estime que jusqu'à 39 millions d'utilisateurs ont potentiellement divulgué des informations personnelles via IPv6.
Faut-il se tourner vers le VPN payant ? ProPrivacy a conclu son rapport par la solution suivante : il faut faire davantage confiance aux VPN payants qu'aux VPN gratuits, car le plus souvent, ils vendent les données des utilisateurs aux plus offrants, sans aucune mesure de sécurité efficace.
Source : ProPrivacy
Et vous ?
Que pensez-vous de cette étude ?
Utilisez-vous les applications VPN gratuites ? Qu’en pensez-vous ?
Jusqu'à 39 millions d'utilisateurs ont potentiellement divulgué des informations personnelles via IPv6. Quel commentaire en faites-vous ?
Voir aussi :
Plus de 480 millions d'applications mobiles VPN ont été téléchargées en un an. L'Indonésie, les USA et l'Inde figurent en tête des pays ayant enregistré le plus de téléchargements
Un grand nombre d'applications VPN gratuites populaires sur Google Play et App Store sont détenues par des entités chinoises, ou sont basées en Chine
Sept VPN gratuits ont exposé les données personnelles de 20 millions d'utilisateurs, via un serveur Elasticsearch non sécurisé
Google interdit les publicités pour les produits VPN en Chine, pour se conformer aux restrictions légales du pays