Play Store : Google retire l’un des VPN gratuits les plus populaires à cause d’une énorme faille

Google a dû retirer du Play Store l’une des applications VPN gratuites les plus populaires. SuperVPN Free VPN Client développé par SuperSoftTech (100+ millions de téléchargements) est en effet visé par une faille béante qui aurait permis des attaques man-in-the-middle.

Utiliser un VPN est en général une bonne idée, surtout si vous vous connectez à un Hotspot wifi public dans un lieu passant pour consulter des services sensibles comme vos emails (qui peuvent servir à récupérer les mots de passe d’autres comptes), ou votre banque. VPN signifie en effet Vitual Private Network – l’objectif est de créer un tunnel chiffré entre votre appareil et un serveur distant d’où vous tirerez votre connexion internet.

Plutôt que de naviguer directement avec la connexion fournie par votre point d’accès. Il est dès lors normalement très difficile, pour un acteur malicieux connecté au même point d’accès, d’épier votre trafic et d’en extraire des données sensibles. Or, le problème, c’est que le risque se déplace en réalité de votre environnement immédiat, vers des serveurs distants. C’est pourquoi il est nécessaire de bien faire attention lorsque vous choisissez un service VPN.

Et dans tous les cas d’éviter les services VPN gratuits, étant donné que maintenir des serveurs a un coût et que ces dernier génèrent de l’argent plus ou moins à vos dépends. Un fournisseur de service VPN peut en effet, en théorie, voir tout ce que vous êtes en train de faire sur le net, à votre insu. Le fait qu’un VPN gratuit soit accolé à un grand nom n’est d’ailleurs aucunement une garantie pour vos données.

 

Un nouveau VPN gratuit retiré du Play Store


On se souvient par exemple du comportement d’Onavo, le VPN gratuit fourni par Facebook, et qui a dû être fermé après que l’on ait découvert qu’il aspirait secrètement les données de ses utilisateurs. C’est donc dans ce contexte que l’on apprend qu’une nouvelle application VPN gratuite parmi les plus populaires du Play Store a dû être retirée par Google en raison d’une faille béante, potentiellement exploitée par des pirates.

Il s’agit de SuperVPN Free VPN Client, une application avec plus de 100 millions de téléchargements – soit à peu près autant que Tinder par exemple. Il est recommandé de désinstaller au plus vite l’application. Les chercheurs de VPN Pro expliquent : « nous avons découvert que SuperVPN se connecte à de multiples hôtes. Nous avons découvert qu’un paquet (payload) était envoyé depuis l’application via du HTTP non sécurisé à l’un de ces hôtes ».

Et les chercheurs de poursuivre : " le payload contient des données chiffrées et encodées et l’infrastructure côté serveur répondait via un payload similaire. Après des recherches plus approfondies, nous nous sommes rendus compte que ce payload contenait en fait la clé nécessaire au déchiffrement de l’information ". En utilisant cette clé, les chercheurs ont eu alors accès en clair aux certificats du serveur, et aux identifiants censés sécuriser la connexion.

Ils expliquent qu’il est ainsi possible pour n’importe quel acteur mal intentionné d’obtenir la clé, et de déchiffrer le trafic VPN d’un utilisateur donné sur ce service. Et donc, de facto mener une attaque de type man-in -the-middle. Les chercheurs de VPN Pro vont d’ailleurs plus loin et suggèrent que cette faille pourrait être intentionnelle. Ils pointent d’autres éléments douteux autour de cette application.

Notamment une avalanche de faux avis, et des techniques SEO questionnaires comme le fait de faire référencer leur application sur des milliers de sites qui n’ont rien à voir. VPN Pro pointe également l’identité trouble du développeur de l’application qui prétend être développée à Singapour – le propriétaire serait en réalité basé en Chine. On le souligne, si vous avez ce VPN, nous vous recommandons de désinstaller immédiatement l’application.

Source : Phonandroid