Un rapport universitaire révèle que de nombreuses applications de VPN parmi les plus téléchargées sur Google Play partagent les mêmes failles critiques. Derrière des noms différents, elles cachent des propriétaires communs, des serveurs identiques et des pratiques douteuses qui mettent en péril la sécurité de millions d’utilisateurs.
Un rapport qui secoue l’univers des VPN
Les VPN sont devenus des outils très utilisés pour protéger sa vie privée ou contourner des restrictions géographiques. Mais une étude baptisée “An Analysis of Secretive VPN Families” a mis en évidence un problème de taille : plus de 20 applications populaires ne sont pas indépendantes, comme elles le prétendent, mais appartiennent à seulement trois grands groupes qui partagent codes, serveurs et vulnérabilités.
Cette recherche, menée par le Citizen Lab de l’Université de Toronto et l’Université d’Arizona, a analysé les 100 VPN les plus téléchargés. Résultat : 21 d’entre eux sont liés à ces trois familles, malgré une apparence de concurrence.
Trois familles, les mêmes risques
- Famille A : Innovative Connecting, Autumn Breeze et Lemon Clove. Ils éditent des applications comme Turbo VPN, VPN Proxy Master et Snap VPN. Toutes partagent des failles de sécurité, dont l’utilisation de mots de passe codés pour Shadowsocks, un protocole incapable d’assurer un véritable anonymat.
- Famille B : six fournisseurs derrière des apps telles que XY VPN, Global VPN et Super Z VPN. Elles utilisent les mêmes serveurs et mots de passe par défaut. Certaines seraient liées à la société chinoise Qihoo 360, déjà sanctionnée aux États-Unis.
- Famille C : Fast Potato et Free Connected Limited, responsables de Fast Potato VPN et X-VPN, vulnérables à des attaques permettant de détourner le trafic si l’assaillant se trouve sur le même réseau.
Plus de 700 millions de téléchargements concernés
Ces applications totalisent à elles seules plus de 700 millions d’installations. Un chiffre énorme qui traduit l’ampleur du problème. Le plus grave est que leurs vulnérabilités sont identiques : chiffrements dépassés, mots de passe statiques et collecte cachée de données de localisation, alors que leurs politiques de confidentialité promettent l’inverse.
Un faux choix pour l’utilisateur
Le scandale va au-delà de la sécurité technique. Ces applications se présentent comme des produits concurrents, mais ne sont que des clones issus des mêmes bases. Pour les utilisateurs, c’est un double piège : une illusion de choix et une exposition accrue aux cyberattaques. En réalité, un pirate ayant des notions d’ingénierie inverse peut facilement exploiter ces failles pour intercepter ou décrypter vos données.
Pourquoi il faut redoubler de vigilance
Ce rapport rappelle que la gratuité a un prix caché. Choisir une application VPN au hasard parmi les plus populaires peut s’avérer désastreux pour la confidentialité. Les experts appellent aussi Google à renforcer ses contrôles afin d’empêcher la prolifération de ces apps risquées sur le Play Store.
Dans un monde où la cybersécurité est devenue une priorité, ces révélations rappellent que protéger ses données ne doit pas se limiter à installer la première app venue, mais à sélectionner avec soin un service réellement fiable.
Je m’appelle Samuel Le Goff. À 38 ans, je suis l’actualité du numérique depuis plus de 14 ans. Aujourd’hui, je m’intéresse particulièrement aux smartphones et aux usages concrets de l’intelligence artificielle, que je traite à travers des contenus clairs et accessibles sur Menow.fr.
