Les données utilisateurs de trois VPN Android auraient été piratées

Par Guillaume Belfiore, Rédacteur en chef adjoint.

Publié le 03 mars 2021 à 12h24

Les bases de données de trois services VPN pour Android ont été piratées et les informations relatives à plusieurs millions d'utilisateurs ont été mises en vente.

Voilà une affaire pour le moins ironique. Si l'un des buts fondamentaux d'un service VPN est précisément de renforcer la sécurité de sa vie privée, les données personnelles de 21 millions d'utilisateurs Android se retrouvent désormais en vente.

21 millions de personnes affectées

Le magazine CyberNews, qui rapporte l'information, précise que les services SuperVPN, GeckoVPN, et ChatVPN ont été hackés. Ces éditeurs conçoivent une application VPN à destination des utilisateurs d'appareils Android.

À en juger par les chiffres du Play Store, SuperVPN aurait été téléchargé au moins 100 millions de fois tandis que GeckoVPN compte plus d'un million d'installations. De son côté ChatVPN a été choisi par 50 000 utilisateurs.

Un hacker a pu récupérer plusieurs données personnelles et les commercialise sur un forum. Au total, plus de 21 millions d'utilisateurs sont affectés. SuperVPN, GeckoVPN et ChatVPN n'ont pas commenté ce piratage.

Trois archives sont mises en vente. Le hacker donne même la possibilité de trier ces données en fonction des pays. Il affirme que parmi les informations personnelles collectées se trouvent :

les adresses e-mail ;
les noms d'utilisateur ;
les noms complets ;
les pays de résidence ;
les chaînes de mots de passe générées de manière aléatoire ;
les données relatives au paiement ;
le statut des membres premium avec la date d'expiration de leur souscription.

La sécurité des VPN remise en cause

CyberNews a pu récupérer un échantillon de ces données, lesquelles incluent également les informations relatives à l'appareil utilisé, et notamment le numéro de série, le type de smartphone, l'identifiant unique ainsi que les numéros IMSI.

Le hacker explique que ces données ont été exfiltrées de bases de données disponible « publiquement ». Plus précisément, ces dernières auraient été laissées vulnérables par les administrateurs qui ne se seraient pas donné la peine de modifier les identifiants et mots de passe par défaut.

Ce hack pose plusieurs problèmes. Tout d'abord, il semblerait que ces prestataires de services n'aient pas été totalement transparents envers leurs utilisateurs et collectent finalement bien plus de données qu'annoncé au sein de leur politique de vie privée.

Bien évidement, si le VPN sert à notamment à assurer une meilleure protection de sa vie privée, on s'interroge également sur les pratiques de ces éditeurs et sur la véracité des propos du hacker concernant l'accès à ces bases de données.

Source : CyberNews

Par Guillaume Belfiore

Rédacteur en chef adjoint

Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.

Articles de Guillaume Belfiore

Piratage

Données personnelles

Actualités VPN

VPN pour tous les appareils

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

thunderboy

VPN, Cloud, gestionnaires de mots de passe… à tort ou a raison, je reste éloigné de tous ces trucs.
Pas envie de confier ma vie privée à des sociétés dont je ne connais rien.
Par contre, il est vrai que j’abuse de la fonction « mot de passe oublié » ces derniers temps, vu que j’utilise un mot de passe unique pour chaque site…

Matrix-7000

Et bien voilà un bon argument pour ne pas se lancer sur le premier fournisseur venu, ni sur le moins cher, et encore moins sur le ou les plus populaires.
Il ne faut pas oublier, que pour installer et maintenir une tell technologie, il faut des gens compétant, et des sociétés qui ont une sérieuse réputation.
La réputation ne doit pas forcément venir du grand public, mais plutôt d’organisations non gouvernementales qui luttent en faveurs du respect des droits humains et qui utilisent le VPN pour permettre la transmission d’informations censurées par des états.
Certains fournisseurs supportent et offrent leurs services gratuitement à ce genre d’associations, mais aussi à des personnes qui essayent de faire parvenir au monde ce qu’il se passe dans leur pays.
N’oublions pas, que les variables d’ajustements des coûts, sont souvent les mêmes, à savoir, les salaires et la qualité/sécurité. Ce genre de services nécessitent des infrastructures très coûteuses et du personnel avec un niveau de qualification très élevé.

Oncle_Picsou

Dans ce cas, le mieux c’est d’utiliser une pass phrase avec variation, du style:

JaimeLaPizz4!clubic
JaimeLaPizz4!youtube

Et pour un peu plus de sécurité tu peux rajouter un nombre supplémentaire, en apparence aléatoire, par ex « JaimeLaPizz4!clubic6 » (6 = nombre lettres de « clubic »).

Et ca, pas de risque de l’oublier ^^

cirdan

Je suis également très réticent avec tous les gestionnaires de mots de passe qui synchronisent.
Tu devrais essayer « KeePass ». C’est sauvegardé en local, pas de connexions vers des serveurs, et avec un mot de passe principal fort, que tu peux également associer à un fichier, tu ne risques pas grand chose. Un peu austère comme interface mais vraiment très pratique.

juju251

+1 avec cirdan pour Keepass.

Et perso, synchroniser des mots de passe dans le « cloud », c’est non.

Pour revenir au sujet de l’article, c’est dingue de voir que des fuites de données proviendraient encore de bases de données configurées avec des mots de passe par défaut.

ramses_deux

Il y a une solution a ca.
Utiliser une astuce mnemonique. Une espece d’equation ou de fonction dont tu te souviens et qui permet d’affecter un mot de passe different sur chaque site/application sans en oublier aucune.

Example avec clubic.com:

Majuscule(MP)+(premiere_lettre_domaine+2)+nom_du_chat+(derniere_lettre_domaine+1)+(charactere_special[’**’])+(chiffre[01])

Ce qui nous donne pour un mot de passe de compte pour le site Clubic.com
MPechatd**01

Pour Google.com:
MPichatf**01

Les majuscules car par mal de sites demandent au moins un majuscule
Un ou Des caracteres speciaux, car ils sont souvent demande egalement
Un chiffre ou nombre car souvent demande egalement.

Cela peu paraitre complique, mais en fait pas vraiement.

Et le HASH de MPechatd01 vs le HASH de MPichatf01 n’a absolument rien a voir dans la BDD du site

Voila, enfin c’etait une simple suggestion.
Tellement de monde autour de moi qui galere avec les mots de passe, et je ne fais pas confiance au application de mdp non plus.

EDIT:
Grilled par @Oncle_Picsou

Proutie66

Je trouve que les mots de passe généré automatiquement et proposé par Google, Safari et autres sont aussi une bonne solution.

J’ai moins peur que Google se fasse hacker ses mots de passe qu’un ptit éditeur du coin.

Le meilleur mot de passe est celui qu’on ne connait pas car il est trop compliqué.

On ne devrait en connaître qu’un (même pas…), qui centralise les autres. Celui-ci étant doublé par des systèmes d’auth plus forte (sms, apps…)
Les propositions automatique faisant le reste, sur les sites tiers.

yabadabado

android est le pire OS mobile au niveau sécurité au contraire de IOS ! au niveau des mots de passe, incorporez * et # …
#S4lUTJ3m4pP3Ll3Y4Ba##

edit : c’est quoi ce bug CLUBIC ?? on ne peut pas utiliser des étoiles dans nos commentaires ??

yabadabado

mot de passe winrar Hachable en quelques secondes!

kyosho62

Le problème devrait être réglé.