L’information a été relayée le 7 juillet dernier par un chercheur de Cybernews : une instance ElasticSearch de 626 Go a été ouverte sur un réseau privé virtuel gratuit (VPN) chinois. Cette dernière contient une base de données de près de 5,7 milliards d’entrées, dont les identifiants des utilisateurs et leur adresse IP.
Cette fuite de données n'est pas sans risques puisqu’elle pourrait permettre au régime chinois de poursuivre les utilisateurs d’Airplane Accelerates, le VPN en question. Les réseaux privés virtuels sont particulièrement populaires dans un pays comme la Chine où la navigation sur Internet est contrôlée.
Un VPN avec plusieurs zones d’ombre
Cette découverte a poussé l’équipe de chercheurs à continuer leur investigation sur Airplane Accelerates, et ce qu’ils ont trouvé ne va pas rassurer les principaux intéressés par cette fuite. Le VPN serait en réalité issu d’une société mère basée en Australie sous le nom d’AP Network PTY Ltd.
L’application utiliserait le protocole HTTPS, un protocole qui engendre son lot de problème, comme le souligne Aras Nazarovas, à la tête des recherches sur le logiciel : « Selon la manière dont elle est mise en œuvre, l'application pourrait ne chiffrer que le trafic web, et non le trafic du système d'exploitation (OS) ou d'autres applications ».
Ce VPN compterait, si on l’en croit les avis laissés sur la page d’application, plusieurs milliers, voire centaines de milliers d’utilisateurs. Cette fuite peut donc avoir de grosses répercussions.
Une gestion des données floue de la part de cette entreprise australienne
En poussant un peu plus les recherches dans les aspects légaux de l’application, Cybernews a constaté des pratiques pour le moins suspectes, comme la demande d’accès au capteur photo et vidéo de ses utilisateurs, la lecture de ses contacts ou encore l’enregistrement audio. Des demandes non justifiées pour un VPN.
Un comportement qui porte à confusion, d’autant que l’application n’a pas de politique de confidentialité propre, le lien redirigeant vers cette dernière étant vide. Il en existe bel et bien une sur le site de la maison mère, mais les tournures de phrases peuvent porter à confusion sur les services concernés.
Des méthodes douteuses qui ne mettent pas les utilisateurs d’Airplane Accelerates à l’abri d’un partage de leurs données. Malgré toutes ces failles, le VPN n'a pas répondu aux contacts de l’équipe de chercheurs, qui a donc décidé de révéler l’affaire au grand public.
Source : Cybernews
