Mise à jour (3 avril) : Nous avons partagé nos découvertes avec Google à travers Google Play Security Reward Program — un programme de révélation des vulnérabilités sur HackerOne — puisque nous ne parvenions pas à contacter les développeurs de Super VPN directement. Le programme de Google sur HackerOne autorise la révélation pour les applications comptant plus de 100 million de téléchargement. Le 19 mars, l’équipe a pu confirmer que la vulnérabilité était toujours présente dans la nouvelle version de Super VPN.

Nous travaillons à l’heure actuelle avec Google afin de contacter les développeurs de l’application pour les aider à corriger cette vulnérabilité. Au moment d’écrire ces lignes, l’application est toujours présente sur Play Store, et continue d’accumuler de nouvelles installations chaque jour et de mettre ses utilisateurs en danger.

Super Free VPN Client est l’une des applications VPN gratuites les plus populaires que vous puissiez trouver sur Google Play, avec déjà plus de 100 millions d’installations.

Mais en plus d’être une application très populaire, vous devez aussi savoir une autre chose au sujet de ce VPN : SuperVPN Free VPN Client est également très dangereux. Notre analyse montre que cette application recèle des vulnérabilités cruciales qui l’exposent à des attaques dangereuses connues sous le nom de Man-In-The-Middle (MITM). Ces vulnérabilités permettront aux pirates de facilement intercepter toutes les communications entre l’utilisateur et le fournisseur VPN, autorisant ainsi les pirates à voir tout ce que l’utilisateur fait.

C’est donc l’opposé de ce qu’un VPN est censé faire. Un VPN est supposé garder votre activité en ligne privée et sûre, et à l’abri des yeux indiscrets. En fait, un VPN est censé être si sécurisé, que même si un pirate interceptait ses communications, il lui faudrait plus de temps que l’âge de l’univers pour commencer même à déchiffrer les données volées. Mais ce n’est pas le cas de SuperVPN.

Ce VPN, lui, laisse ses utilisateurs, des gens en recherche de plus de protection et de sécurité, moins protégés et moins sécurisés que s’ils n’utilisaient pas de VPN du tout.

Les implications sont ici très sérieuses. En nous basant sur notre recherche, plus de 105 millions de personnes pourraient à l’heure actuelle voir leur numéro de carte de crédit volé, leurs photos et vidéos privées postées ou vendues en ligne, chaque minute de leur conversations privées enregistrées et envoyées vers un serveur dans un emplacement secret. Ils pourraient surfer sur de faux sites internet, ou des sites malveillants établis par des pirates informatiques aidés par ces dangereuses applications VPN.

Mais le pire est que cette application VPN n’est pas la seule : parmi les applications VPN bien classées que nous avons analysées, 10 VPN gratuits montrent des vulnérabilités similaires. Si vous avez installé l’un de ces VPN dangereux, vous devriez immédiatement le désinstaller :

Applis VPN Vulnérables sur Google Play Store
Applis VPN Vulnérables sur Google Play Store

À propos de cette recherche :

De manière à effectuer notre analyse, nous avons d’abord développé une démonstration de faisabilité d’une attaque de type MITM. Nous avons ensuite étudié les applications les mieux classées sur Google Play qui s’affichaient pour le mot clé “VPN” en janvier 2019. Nous avons d’abord tenté une attaque MITM sur deux des VPN du top 10 – SuperVPN et Best Ultimate VPN – et ensuite filtré et testé les applications restantes.

Nous avons informé de ces vulnérabilités les 10 VPN affectés en octobre 2019 et leur avons fournit suffisamment de temps pour régler le problème. Malheureusement, seul l’un d’entre eux, Best Ultimate VPN, a répondu et fini par réparer leur application sur la base des informations que nous leur avions fourni durant cette période de 90 jours. Les autres VPN n’ont pas répondu à nos requêtes.

Nous avons également reporté ces vulnérabilités à Google, mais n’avons pas encore reçu de réponse en retour.

Principaux éléments

  • 10 des applications VPN gratuites le plus populaires sur Google Play Store ont des vulnérabilités significatives, qui affectent près de 105 millions d’utilisateurs.
  • Ces vulnérabilités permettent à un pirate informatique de facilement intercepter les communications, ce qui inclut de voir les sites internet visités, et de voler noms d’utilisateur et mots de passe, photos, vidéos et messages.
  • 2 applications utilisent une clé de chiffrement codée en dur, et 10 applications n’ont pas de chiffrement des données sensibles. 2 de ces applications souffrent de ces deux vulnérabilités.
  • Une de ces applications a déjà été identifiée comme malware, mais n’a jamais été retirée par le Play Store, gagnant 100 millions d’utilisateurs dans le même temps. Dans une recherche précédente, nous avons identifié cette application comme l’une des applis qui pourraient manipuler les algorithmes de Google Play de manière à se classer plus haut dans les résultats de recherche et obtenir plus d’installations.
  • 4 des applications affectées sont basées à Hong Kong, Taiwan ou en Chine continentale.
  • Certaines applications portent leur clé de chiffrement codée en dur dans l’application. Ce qui signifie que, même si les données sont chiffrées, les pirates peuvent facilement les déchiffrer en utilisant ces clés.
  • Grâce à ces vulnérabilités, les pirates peuvent facilement forcer les utilisateurs à se connecter à leurs propres serveurs VPN malveillants.

Jetons un oeil en détail à l’une des applications afin d’illustrer quel genre de vulnérabilités nous avons découvert.

SuperVPN met 100 millions d’utilisateurs en danger

SuperVPN est un VPN pour Android hautement populaire qui se classait à la cinquième position des résultats de recherche pour le mot clé “vpn” au moment de notre analyse. Selon Google Play, l’application a été téléchargée plus de 100 millions de fois (en janvier 2019 elle n’avait que 50 millions d’installations) :

installations de l'appli SuperVPN
Installations de l’appli SuperVPN

Afin de comprendre à quel point ce chiffre est impressionnant pour une appui VPN, figurez-vous que c’est le même nombre d’installations que pour des applications comme Tinder et AliExpress :

Installations de l'appli Tinder
Installations de l’appli Tinder
Installations de l'appli AliExpress
Installations de l’appli AliExpress

Ce que nous avons fait

Lors de nos tests, nous avons noté que SuperVPN s connecte à plusieurs hôtes, et certaines de ces communications passent via un protocole HTTP non sécurisé. Cette communication contenait des données chiffrées. Mais en creusant un peu plus, nous avons découvert que ces communications contenaient également la clé nécessaire à leur déchiffrement.

Ce que nous avons découvert

Après avoir déchiffré les données, nous avons trouvé des informations sensibles au sujet des serveurs de SuperVPN, ses certificats, et les identifiants dont le serveur VPN a besoin pour l’authentification. Une fois que nous avons obtenu cette information, nous avons remplacé les données du véritable serveur SuperVPN par les données de notre propre faux serveur.

Qui est derrière SuperVPN ?

Nous avons déjà croisé le chemin de SuperVPN et de son développeur SuperSoftTech. Une de nos recherches précédentes a découvert les quelques compagnies qui se cachent derrière de nombreux produits VPN. C’est pourquoi nous savons que SuperSoftTech prétend être basé à Singapour mais est en fait la propriété de l’éditeur indépendant d’applications Jinrong Zheng, un citoyen chinois vraisemblablement basé à Beijing.

Nous avons aussi découvert que SuperVPN avait déjà été montré du doigt en 2016 dans un article de chercheurs australiens [pdf] comme étant la troisième application VPN la plus remplie de malwares sur le marché.

SuperVPN malware

À cette époque, en 2016, SuperVPN ne comptait que 10000 installations. Maintenant, trois ans plus tard, il en compte déjà plus de 100 millions. Étonnamment, bien que plusieurs articles ont dénoncé SuperVPN et ses malwares, il n’a toujours pas été retiré de Google Play Store.

C’est là juste un exemple des vulnérabilités que nous avons trouvées parmi les 10 applications listées dans cet article.

Une réputation de manipulateur

SuperVPN a déjà été évoqué dans notre précédente recherche sur les tactiques potentielles de manipulation que les top VPN semblaient utiliser pour mieux se positionner dans les résultats de recherche de Google Play.

Dans cette recherche, nous avons découvert que le top 10 des résultats pour le mot clé “vpn” sur Google Play étaient tous des VPN gratuits. Ils se classaient mieux que certains leaders du marché VPN, tels que NordVPN et ExpressVPN. Notre enquête a établi que ces applications les mieux classées semblent utiliser trois techniques de manipulation simples pour obtenir de tels classements.

Cela veut dire que SuperVPN par SuperSoftTech semble non seulement utiliser des techniques de manipulation pour mieux se positionner dans Google Play, mais est aussi dangereusement vulnérable.

Nous avons tenté de contacter M. Zheng à plusieurs reprises, mais nous n’avons jamais obtenu de réponse.

Comment les assaillants MITM pénètrent les applications VPN

De manière à bien comprendre à quel point ces vulnérabilités sont dangereuses et cruciales, vous devez comprendre comment les utilisateurs se connectent habituellement à leur VPN.

Le fonctionnement exact d’un VPN peut sembler un peu compliqué, mais le processus de connexion est assez simple.

Connexion VPN normale

Avec une connexion VPN piratée, un assaillant MITM se positionne entre votre application et le serveur VPN :

Connexion VPN piratée par une attaque MITM

Et voici le danger : en modifiant les détails, l’assaillant peut vous forcer à vous connecter à son serveur VPN malveillant au lieu du véritable serveur VPN à votre insu. Tout semblera normal pour vous, et vous penserez être en sécurité, alors que vous serez en réalité totalement exposé.

Si vous naviguez sur internet à travers ce serveur VPN, l’assaillant pourra voir toutes vos communications : vos messages privés et appels via internet, vos mots de passe, vos photos et vidéos.

Au total, votre vie personnelle est exposée, et les seules limites de ce qu’il est possible de faire avec toutes ses données sont celles de l’imagination du hacker qui vous aura pris pour cible.

Ce que cela signifie pour votre sécurité

C’est une découverte désastreuse à deux niveaux. Au sens large, il est désastreux qu’une application qui participe à protéger les données de ses utilisateurs souffrent de telles vulnérabilités qui font qu’il est particulièrement facile pour les pirates et gouvernements d’espionner les communications de l’utilisateur.

Pour une application VPN, être aussi vulnérable est une trahison de la confiance de l’utilisateur qui les place dans une pire position que s’ils n’avaient pas utilisé de VPN du tout.

Mais il est surtout désastreux qu’un VPN affiche de telles vulnérabilités. Après tout, les utilisateurs se connectent à un VPN pour accroître la protection de leur vie privée et leur sécurité. Pour cette raison, ils transmettront plus facilement des informations sensibles via leur application VPN que sur d’autres applications. Pour une application VPN, se montrer aussi vulnérable est une trahison de la confiance de l’utilisateur qui les place dans une pire position que s’ils n’avaient pas utilisé de VPN du tout.

Cependant, il pourrait y avoir plus encore ne jeu ici. Lorsque l’on prend ces applications dans leur ensemble, il semble y avoir deux possibilités :

  1. Ces vulnérabilités sont intentionnelles au sein de ces applications VPN gratuites. Après tout, puisqu’une attaque MITM réussie permettra à quelqu’un de surveiller les données sensibles de l’utilisateur (ou rerouter les utilisateurs vers de faux serveurs VPN) sans qu’il le sache, c’est un outil utile pour toute organisation ou état avide de surveillance.
  2. D’un autre côté, il ne faut pas toujours attribuer à la malice ce qui peut s’expliquer par la stupidité – ou ici, la paresse. Pour le dire simplement, les développeurs de ces applications semblent si obnubilés par capter autant d’utilisateurs que possible et remplir leurs applications d’autant de pubs que possible, qu’ils attribuent moins d’importance aux fonctionnalités essentielles de sécurité de leurs applications.

Bien qu’un de ces scénarios semble bien pire que l’autre, au final seul le résultat compte : les gens qui utilisent ces applications vulnérables mettent leurs données – et parfois leurs vies – en danger.

Sur la base de ce seul fait, nous recommandons très fortement aux utilisateurs d’éviter ces applications VPN vulnérables à tout prix. Lorsqu’ils se mettent en quête d’un VPN efficace, nous recommandons aux utilisateurs d’effectuer les recherches nécessaires. Posez-vous les questions suivantes :

  • Est-ce que je connais cette marque ou ce développeur de VPN ? Ont-ils l’air d’être de confiance ?
  • Où le VPN est-il basé ? Est-il dans un pays qui respecte le droit à la protection de la vie privée ?
  • Pour les applications mobiles, quelles permissions sont requises ? Ont-elles vraiment besoin de ces permissions (accès à l’appareil photo, GPS ou micro de l’appareil) ?
  • La gratuité c’est bien – mais pouvez-vous faire confiance à ce VPN ? Il existe quelques VPN gratuits recommandables ou des VPN de marques réputées avec une option gratuite.

Filtrer activement les bons VPN des mauvais pourra éviter aux utilisateurs beaucoup de problème dans le futur.

Découvrez nos autres recherches :

Cette société chinoise derrière 24 applis populaires qui requièrent des permissions dangereuses
Comment Tromper l’Algorithme de Google Play et Obtenir 280 Millions d’Installations
Révélations sur les Propriétaires Cachés des VPN : Acquisitions, Faux-Semblants et Ombres Chinoises

Avertissement :
Nous enquêtons méticuleusement pour nos recherches et nous efforçons d’offrir une représentation précise à nos lecteurs. Mais après tout, nous sommes humains, et si vous pensez que nous avons fait une erreur factuelle (il ne s’agit pas de désaccord avec nos opinions ici), contactez-nous de sorte que nous puissions enquêter et soit corriger soit confirmer les faits. Vous pouvez nous contacter en utilisant le formulaire de contact sur cette page.