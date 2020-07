Les VPN ont pour objectif de permettre aux utilisateurs de naviguer librement sur Internet en protégeant (relativement) leur identité. Pour ce faire, la position géographique est modifiée par l’outil afin qu’elle ne soit plus visible, ce qui permet par exemple de consulter le contenu web d’un autre pays alors que vous n’êtes pas sur place.

Compte tenu de l’importance d’un tel service, il est important que celui-ci ne soit pas victime de failles de sécurité pouvant impliquer la révélation des données des utilisateurs.

Plus de 1,2 téraoctet de logs en fuite

Sept VPN basés à Hong Kong auraient vraisemblablement failli à leur mission en exposant des données sensibles d’utilisateurs. Tous promettaient le « zero log », ce qui veut dire qu’ils ne conservaient aucune information sur les activités en ligne des internautes.

UFO VPN serait le plus concerné par cette fuite, car il aurait laissé traîner en ligne une base de données en clair de plus de 894 Go. Dans celle-ci, on pouvait trouver des adresses IP, des mots de passe, des identifiants sur les sessions des utilisateurs, des informations des paiements ainsi que certains noms de domaines visités par les utilisateurs.

Le service UFO VPN a admis qu’il conservait les logs, mais que ceux-ci servaient uniquement à des analyses anonymes. Cela semble faux, sachant que les chercheurs à l’origine de la découverte ont accédé à ces données en clair. Il a également affirmé qu’il n’avait pas pu protéger ces données plus vite à cause de la pandémie de coronavirus ayant engendré un changement des équipes.

Les VPN Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN sont également concernés. Les sept services appartiennent tous à Dreamfii HK. Plus de 1,2 téraoctet de logs ont été accessible à cause de cette faille de sécurité.

Si la situation est problématique, elle l’est encore plus parce qu’elle concerne Hong Kong. La répression sur le territoire est de plus en plus forte, si bien qu’une telle liste permettrait aux autorités d’identifier plus facilement les dissidents dans le cas où elles ont pu y avoir accès. Sous pression de la Chine, le territoire a récemment adopté une nouvelle loi répressive visant à accroitre la surveillance et à mettre en place des peines allant jusqu’à la prison à perpétuité. Des entreprises tech comme Facebook et Google ont déjà fait part de leur opposition à ce texte.