Il est difficile pour ceux qui vivent dans un État autoritaire de s'informer objectivement sur la situation dans leur pays. Les médias d'opposition sont interdits et les sites web étrangers sont souvent bloqués.

La solution : une connexion VPN, c'est-à-dire un réseau privé virtuel. Elle présente deux avantages : les adresses IP sont masquées et les contenus cryptés. Cela permet d'accéder aux sites web bloqués et de faire valoir le droit à la liberté de la presse et à l'information. Des centaines de millions de personnes l'utilisent dans le monde entier.

C'est pourquoi ces réseaux sont fortement restreints dans des pays comme la Chine, la Russie, la Biélorussie, l'Iran et la Corée du Nord. Ceux qui les utilisent dans ces pays le font discrètement et attendent du fournisseur qu'il traite les données générées avec la même discrétion. 

Mais ce n'est pas toujours le cas, selon l'Open Technology Fund, une organisation indépendante à but non lucratif qui œuvre pour la promotion de la liberté sur Internet à l'échelle mondiale.

Des lacunes

Des lacunes alarmantes chez certains fournisseurs de VPN peuvent conduire des utilisateurs peu avertis en prison, c'est ce que révèle une étude approfondie menée par l'Open Technology Fund.

Selon l'organisation, la liste de ces lacunes commence par un manque de transparence en matière de propriété. L'étude indique que "de nombreux services VPN dissimulent leurs véritables propriétaires derrière des structures d'entreprise complexes". Il est souvent difficile de savoir donc qui exerce réellement une influence sur ces entreprises.

Ainsi, les entreprises Innovative Connecting PTE, Autumn Breeze PTE et Lemon Clove PTE prétendent être enregistrées à Singapour. En réalité, elles seraient contrôlées depuis la Chine par des ressortissants chinois et seraient donc soumis à la législation chinoise en matière de contrôle de l'information, écrivent les auteurs. 

Huit fournisseurs et 16 VPN considérés comme "très problématiques"

En outre, de nombreux services VPN seraient développés par une seule et même entreprise, ceci grâce à des solutions en marque blanche. Il s'agit d'un produit développé par un fournisseur tiers, puis vendu par une autre entreprise sous sa propre marque.

L'étude a ainsi identifié huit fournisseurs VPN hautement problématiques, proposant 16 applications VPN et totalisant plus de 700 millions de téléchargements sur Google Play Store, qui dissimulent leurs liens entre eux. 

Elle précise également que " les applications commercialisées par ces fournisseurs présentent en outre des problèmes de confidentialité et de sécurité qui exposent les utilisateurs à un risque de surveillance". Des centaines de millions d'utilisateurs sont potentiellement menacés

Parmi les applications jugées "extrêmement préoccupantes" figurent Turbo VPN, VPN Proxy Master, XY VPN et 3X VPN – Smooth Browsing, qui ont chacune été téléchargées 100 millions de fois sur Google Play Store.

Ainsi, des centaines de millions d'internautes se croient en sécurité, alors que ce n'est pas toujours le cas. "En effet, les fournisseurs utilisent le protocole Shadowsocks Tunneling (qui n'est pas conçu pour garantir la confidentialité) pour établir le tunnel VPN et affirment que les connexions de leurs utilisateurs sont sécurisées".

Les mots de passe fixes constituent un risque pour la sécurité

Mais ce n'est pas tout : selon l'étude "Who owns, operates, and develops your VPN matters", les deux groupes de fournisseurs utilisent le protocole Shadowsocks avec des mots de passe fixes, enregistrés dans les applications, ce qui constituerait une grave faille de sécurité. Les pirates peuvent lire ces mots de passe et ainsi décrypter et lire l'ensemble des communications.

De plus, de nombreux fournisseurs utilisent des serveurs loués dans des centres de données, sans avoir le contrôle total du matériel. Et certaines applications VPN collectent secrètement des données de localisation, bien que leurs politiques de confidentialité affirment le contraire.

Mon application VPN est-elle également concernée ?

La conclusion de l'étude est la suivante :"Malheureusement, dans le meilleur des cas, les VPN peuvent donner un faux sentiment de sécurité et, dans le pire des cas, compromettre totalement la confidentialité et la sécurité". 

Dans le cas d'Innovative Connecting, Autumn Breeze, Lemon Clove, Matrix Mobile, ForeRaya Technologies, Wildlook Tech, Hong Kong Silence Technology et Yolo Mobile Technology Limited, chaque utilisateur de ces applications s'expose à un risque important, car celles-ci présentent de graves problèmes en matière de confidentialité et de sécurité.   

Les auteurs recommandent plutôt d'utiliser des VPN payants, généralement considérés comme plus fiables et plus sûrs. Ainsi, aucun problème grave en matière de confidentialité ou de sécurité n'a été constaté avec Lantern, Psiphon, Proton VPN ou Mullvad.

Appel aux exploitants d'App Stores

Face à ce constat, les auteurs de l'étude d'Open Technology Fund en arrivent à la conclusion que " les utilisateurs devraient privilégier les fournisseurs VPN qui offrent une transparence totale en matière de propriété, d'infrastructure et de juridiction". 

Les solutions open source et les audits indépendants constitueraient selon eux des indicateurs de qualité décisifs.

Ils recommandent par ailleurs aux exploitants d'App Stores d'accorder davantage d'attention aux lacunes en matière de sécurité lors de leur sélection. Sinon, l'icône VPN disponible dans Google Play Store donne aux utilisateurs un sentiment de sécurité qui n'est pas corroboré par les faits.

Dernier recours : le navigateur Tor

Pour Mixon-Baca, l'un des auteurs de l'étude, il existe une contradiction fondamentale en ce qui concerne les solutions VPN : 2 La protection des données et la sécurité, c'est-à-dire ce que les gens attendent de ces produits ou pensent en retirer, sont en contradiction directe avec la publicité et la recherche de profits. Nous avons constaté, comme d'autres, que mélanger protection des données et publicité pour gagner de l'argent ne donne pas de bons résultats":

Selon lui, une solution VPN financée par des fonds publics, similaire à l'application de messagerie Signal, serait certes formidable, mais cela ne résoudrait pas les contraintes fondamentales en matière de protection des données et de sécurité, qui ne peuvent être résolues même avec des fonds publics.

Selon Mixon-Baca ceux qui veulent vraiment jouer la carte de la sécurité devraient utiliser le navigateur Tor, qui a ses limites, mais si la protection des données est leur principale préoccupation, il serait " le premier choix".