Des chercheurs montrent à nouveau comment les principaux fournisseurs de VPN compromettent discrètement la sécurité de leurs utilisateurs (traduction)

 

Compte tenu des scandales de protection de la vie privée apparemment sans fin qui déferlent désormais sur les secteurs de la tech, des télécoms et de l'adtech de façon quasi quotidienne, de nombreux consommateurs se sont rués sur les réseaux privés virtuels (VPN) pour protéger et chiffrer leurs données. Une étude a révélé que l'utilisation des VPN a quadruplé entre 2016 et 2018, les consommateurs cherchant à se protéger à la suite des scandales, des failles et des piratages.

Malheureusement, de nombreux consommateurs se ruent sur les VPN en ayant l'impression erronée que ces outils sont une panacée quasi-mystique, agissant comme une sorte de bouclier à l'épreuve des balles qui les protège de toute violation potentielle de la vie privée sur internet. Non seulement ce n'est pas vrai (les FAI, par exemple, disposent de toute façon d'une multitudes de moyens pour vous suivre), mais de nombreux fournisseurs de VPN sont encore moins respectueux de l'éthique que les entreprises ou les FAI en proie à des scandales en matière de vie privée.

Une étude réalisée par Consumer Reports à la fin de l'année dernière a examiné 16 des principaux fournisseurs de VPN et a révélé que la majorité d'entre eux présentaient de manière inexacte leurs produits ou leurs pratiques en matière de conservation des données, et que beaucoup d'entre eux mettaient en fait la vie privée des consommateurs en danger. Seul un quart des VPN examinés indiquaient clairement combien de temps ils conservaient les données de navigation et autres des utilisateurs.

D'autres VPN n'offrent tout simplement pas une sécurité exceptionnelle, même si le marketing prétend que c'est la raison de leur existence. Par exemple, Surfshark, TurboVPN, Sumrando VPN et plusieurs autres fournisseurs de VPN ont récemment été accusés d'installer un certificat d'autorité de certification (CA) sur les appareils des utilisateurs, souvent à leur insu ou sans leur accord.

Ce certificat racine risqué expose les utilisateurs de ces VPN à un risque accru d'attaques de type "man in the middle" ou autres :

L'installation d'un certificat racine supplémentaire compromet potentiellement la sécurité de tous vos logiciels et communications. Lorsque vous incluez un nouveau certificat racine de confiance sur votre appareil, vous permettez à un tiers de recueillir presque toutes les données transmises vers ou depuis votre appareil.

De plus, un pirate qui met la main sur la clé privée appartenant à une autorité de certification de racine peut générer des certificats à ses propres fins et les signer avec la clé privée.


Pour les consommateurs, il n'est pas facile de déterminer quel VPN offre une sécurité utile et quel VPN est un tuyau percé pour la vie privée et pour la sécurité, surtout si l'on tient compte du fait que de nombreuses évaluations de VPN ne sont rien d'autre que du spam sur des blogs d'affiliés. Ainsi, si les VPN de qualité sont toujours utiles, les experts soulignent que, à moins de savoir ce que vous achetez et d'avoir vraiment besoin de protection, ils n'en valent souvent pas la peine. 

source :

https://www.techdirt.com/2022/04/21/researchers-again-show-how-major-vpns-quietly-undermine-user-security/

Enregistrer un commentaire

Les commentaires sont validés manuellement avant publication. Il est normal que ceux-ci n'apparaissent pas immédiatement.

Plus récente Plus ancienne