Dans la jungle des VPN, les fournisseurs les plus recommandables sont souvent ceux qui garantissent une politique dite « zero log ». Autrement dit : qui ne conservent strictement aucune trace de l’activité de leurs utilisateurs. Alors quand cette promesse est brisée, la chute n’en est que plus vertigineuse pour les personnes impliquées.
Un chercheur en sécurité informatique a découvert plus d’un téraoctet de logs appartenant à des utilisateurs de VPN « zero log » en clair, à la disposition de tous, sur un serveur Elasticsearch. Sept fournisseurs seraient concernés par cette « maladresse ».
Plus de 890 Go de logs en provenance d’UFO VPN
Dans le détail, ce sont sept fournisseurs de VPN basés à Hong-kong qui ont failli à leur promesse de confidentialité. D’entre eux, c’est UFO VPN qui signe probablement la plus grosse bourde.
Le 1er juillet dernier, le chercheur Bob Diachenko a mis le doigt sur une base de données de plus de 894 Go appartenant à UFO VPN. Mots de passe de comptes utilisateurs, adresses IP, serveurs VPN préférés, et même des identifiants relatifs aux sessions des utilisateurs, ou encore le nom de domaine de certains sites Web visités.
Au total, plus de 20 millions d’entrées ont été laissées en clair sur le serveur. Coïncidence : UFO VPN se targue justement sur son site web d’avoir plus de 20 millions d’utilisateurs sur son service.
Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN également concernés
Le 5 juillet, Noam Rotem du site VPNmentor a de son côté découvert que UFO VPN n’était que l’arbre qui cachait la forêt. Il s’est avéré que Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN étaient également concernés par cette fuite de logs en clair sur le Web. Six autres fournisseurs, tous hongkongais, et édités selon le site The Register par une entité commune : Dreamfii HK.
Au total, ce sont donc 1,2 téraoctet de logs comprenant précisément 1 083 997 361 entrées qui étaient accessibles à tous sur le cluster Elasticsearch. Cette découverte a aussi mis au jour que des données relatives aux sites visités, aux noms des utilisateurs, aux adresses email et de résidence, et même aux informations de paiement (PayPal et Bitcoin) étaient inscrites dans ces fichiers.
Pire : il ne s’agirait pas de cas isolés. Poussant l’investigation plus loin, VPNmentor s’est créé un compte sur l’un des services, et a pu retrouver quasi instantanément les informations qu’il avait utilisées sur le serveur, toujours en clair.
Le coronavirus a bon dos
Alerté le 14 juillet par Diachenko, UFO VPN a réagi et fait disparaître toute trace de ces fameux logs de son serveur le jour suivant. Au chercheur, l’entreprise aurait répondu que la situation liée au coronavirus aurait empêché ses équipes de sécuriser l’infrastructure de son réseau. « Désormais, la situation est réglée », rassure le fournisseur.
Une réponse immédiate, certes, mais qui n’enlève rien à un élément central de l’affaire : UFO VPN et les six autres fournisseurs continuent de promettre une politique zero log alors que ce n’est clairement pas le cas. Interrogé à ce propos, UFO admet qu’il conserve des logs uniquement à des fins d’analyse de la performance, et que toutes les données sont anonymisées. Faux, répondent les chercheurs à l’origine de la découverte, qui répètent que de nombreuses entrées permettaient une identification claire des utilisateurs.
« En nous basant sur les données recueillies, nous ne pensons pas que les données étaient anonymes, appuie Paul Bischoff, un chercheur de Comparitech. Nous recommandons aux utilisateurs d’UFO VPN de changer leur mot de passe immédiatement, et cela va de même pour tout autre compte qui utilise le même mot de passe ».
Via : The Register