Les VPN suivent et enregistrent leurs utilisateurs, et risquent de divulguer leurs données
Les VPN suivent et enregistrent leurs utilisateurs,
Et risquent de divulguer leurs données, selon un rapport
A cause des mesures de confinement dues à l’épidémie COVID-19, l'utilisation du VPN a augmenté. Les personnes obligées de rester à la maison utilisent ces services pour regarder leur films préférés sans restrictions géographiques, par exemple. Les VPN sont utilisés pour leur capacité à contourner les restrictions de géolocalisation, ainsi que pour offrir aux utilisateurs un maximum de sécurité et de confidentialité. Mais les nouvelles recherches du site de comparaison VPNpro risquent de surprendre les utilisateurs. En effet, certains de leurs VPN préférés ne semblent pas du tout respecter leur vie privée. Ils enregistreraient plutôt leurs utilisateurs et pourraient même divulguer leurs données, selon le rapport des recherches.
Les recherches de VPNpro montrent que les sites Web VPN sont très similaires - et parfois même pires - que d'autres sites Web populaires. Sur les 114 VPN analysés, VPNpro a constaté que 102 sites Web disposaient de trackers, et 26 sites Web en avaient 10 ou plus. Un grand nombre de ces trackers impliquent des tiers qui n'ont pas la meilleure réputation en matière de respect de la vie privée des utilisateurs.
Plus inquiétant encore est le fait qu’ils utilisent des session replay scripts. Près d'un site Web VPN sur quatre utilise des session replay scripts pour enregistrer des vidéos sur les activités en ligne de l’utilisateur (déplacement sur son site Web, ce sur quoi il clique, ce qu'il recherche, et bien plus encore), d’après les recherches. Si certains outils de session replay expurgent les informations saisies par les utilisateurs - comme les mots de passe -, tous ne le font pas.
Pourtant, c’est ce qu’ils sont censés faire. Jan Youngren, chercheur en sécurité pour VPNpro, qui a fait le rapport de recherches sur le blog de la société, a affirmé : « Quand on pense aux outils de cybersécurité les plus conviviaux, on en vient probablement aux programmes antivirus et aux VPN. Les VPN sont utilisés pour leur capacité à contourner les restrictions de géolocalisation, ainsi que pour offrir aux utilisateurs un maximum de sécurité et de confidentialité. Il serait donc très surprenant pour ces utilisateurs de découvrir que certains de leurs VPN préférés ne semblent pas du tout respecter la vie privée de leurs utilisateurs ».
Afin d'analyser ces sites Web VPN, VPNpro a utilisé le logiciel gratuit Ghostery, un anti-tracker. En plus d'examiner simplement les trackers pour chaque site Web VPN, le comparateur de VPN a également examiné les politiques de confidentialité de ces tiers pour déterminer leur sécurité ou les risques qu'ils présentent.
Trackers et violations de la vie privée des utilisateurs
Alors que les utilisateurs devraient s’attendre à un niveau de confidentialité et d'anonymat plus élevé de la part de ces services - sur la base de ce que ces sociétés VPN sont censées fournir - ce qu’ils trouveront en réalité est beaucoup moins que çà, d’après le rapport de recherches. Selon les recherches, 45 sites Web que VPNpro a analysés utilisent les trackers de Facebook. Les recherches ont permis à VPNpro d’identifier 34 traqueurs différents qui sont mauvais pour la vie privée des utilisateurs, parmi lesquels Taboola, Zendesk, Adroll, BlueKai et OpenX.
En prenant l’exemple d’OpenX, qui se présente comme le leader mondial de la "publicité programmatique", conformément à sa politique de confidentialité, il « peut recueillir votre âge, votre sexe, votre état civil, vos informations téléphoniques, votre adresse IP et même votre position GPS exacte », selon les recherches de VPNpro.
OpenX a été accusé de violer la vie privée des consommateurs par le passé. La société a été identifiée comme utilisant une technique qui lui permettait de partager des données avec d'autres sociétés, y compris des tiers non autorisés, a rapporté VPNpro. Ce qui permet à plusieurs sociétés de collecter des données sur les utilisateurs même sans que ces autres sociétés obtiennent le consentement des utilisateurs.
Les dangers des session replay scripts pour les utilisateurs
Chaque fois que vous visitez un site Web qui utilise des session replay scripts, votre session est probablement enregistrée. Ces scripts permettent aux propriétaires de sites Web, aux spécialistes du marketing, aux vendeurs et autres de voir comment les utilisateurs interagissent avec leurs sites Web. Les recherches de VPNpro ont montré que 26 sites Web VPN utilisent des session replay scripts sur leurs sites, dont un, Avast SecureLine VPN, qui utilise même trois outils de session replay différents pour enregistrer les utilisateurs.
Voici des images de quelques sessions vidéo que vous pouvez voir en utilisant un outil de session-replay de premier plan, Hotjar, selon VPNpro :
Pour étayer le caractère préoccupant des session replay scripts, VPNpro a rapporté ce qu’ont trouvé les chercheurs de Princeton Security :
« La collecte du contenu d'une page par des session replay scripts par un tiers peut entraîner la fuite d'informations sensibles telles que les dossiers médicaux, les détails de cartes de crédit et autres informations personnelles affichées sur une page vers le tiers dans le cadre de l'enregistrement... Cela peut exposer les utilisateurs à l'usurpation d'identité, aux escroqueries en ligne et autres comportements indésirables. Il en va de même pour la collecte des informations des utilisateurs lors des processus de paiement ou d'enregistrement ».
Les chercheurs ont trouvé que si certains outils de session replay étaient capables de supprimer les informations que les utilisateurs saisissaient pendant l'enregistrement, tous les outils ne le faisaient pas. « Des mots de passe pouvaient clairement être enregistrés lors de leurs recherches, et de nombreuses données sensibles pouvaient également être divulguées », lit-on dans le rapport.
Dans le tableau ci-dessous, les chercheurs ont affiché leurs résultats, où un cercle rempli signifie que les données ont été expurgées, un cercle semi-rempli indique un masquage équivalent, et un cercle vide signifie que les données sont envoyées directement :
Selon VPNpro, même lorsqu'une certaine sécurité est mise en place, les chercheurs de Princeton ont constaté que certaines entreprises, « dont Yandex, Hotjar et Smartlook, diffusaient toutes ces enregistrements d'utilisateurs sur des pages HTTP, même si les enregistrements étaient prévus sur des pages HTTPS ». Etant donné que les pages HTTP ne sont pas chiffrées, cela représente une grande opportunité pour les attaques MITM (man in the middle), où un pirate peut facilement voler toutes les données d'enregistrement.
Selon un commentateur qui dit ne pas être choqué par les résultats des recherches, il suffit de regarder les boutiques d'applications sur les téléphones et « il y a des centaines de VPN sans nom et sans aucune référence qui vous donneraient une quelconque confiance ». Un autre commentateur pointe plutôt du doigt les entreprises qui offrent des points de terminaison sur le plan commercial, et non la technologie elle-même. Et vous, qu’en pensez-vous ?
Source : VPNpro
Et vous ?
Que pensez-vous des résultats des recherches de VPNpro ?
Lire aussi
Répondre avec citation
Partager