Adresse IP dénoncées

Network cable on computer keyboardDes chercheurs ont trouvé des vulnérabilités critiques au sein de 3 services populaires de VPN qui pourraient dénoncer les adresses IP de certains utilisateurs et autres données sensibles.

L’utilisation d’un VPN, ou réseau privé virtuel est sans aucun doute la meilleure façon de protéger vos activités en ligne tous les jours.

Cet outil fait un cryptage de vos données et booste la sécurité, il sert aussi à cacher votre adresse IP actuelle.

Pendant que certaines personnes choisissent les services de VPN pour être anonyme en ligne, une autre raison majeure de l’utiliser est pour cacher votre adresse IP réelle afin de contourner la censure en ligne et pour réussir à accéder des sites web bloqués par les FAI.

Mais que se passerait-il si le VPN que vous pensiez contribuer à la protection de votre vie privée donne en effet plus d’informations sur vos données sensibles et votre emplacement exact ?

Une équipe de 3 hackers engagés par VPN Mentor, le militant de la vie privée en ligne a révélé que 3 services de VPN populaires, HotSpot Shield, PureVPN, et Zenmate, possédant des millions de clients dans le monde entier ont été déterminé comme étant vulnérables et défectueux, ce qui pourrait compromettre la vie privée des utilisateurs.

L’équipe inclut l’application de sécurité du chercheur Paulos Yibelo, un hacker éthique très connu par son surnom File Descriptor et ses travaux pour Cure53, et par contre, l’identité du 3ème n’a pas été révélé lors de la demande.

PureVPN est l’entreprise qui a menti en disant qu’il pratiquait le principe de ‘no log’ policy, mais quelques temps apres a aidé le FBI pour retracer des logs qui ont mené à l’arrestation d’un homme a Massachusetts dans un cas de cyber poursuite.

Après une série de tests privés sur 3 services VPN, l’équipe a vu que tous les 3 ont fait circuler une vraie adresse IP d’utilisateur, qui peut être utilisée pour identifier les utilisateurs individuels et les emplacements actuels.

Concernant les conséquences pour les utilisateurs finaux, VPN Mentor explique que les vulnérabilités pourrait permettre aux gouvernements, organisations hostiles, ou individuels d’identifier l’actuel adresse IP d’un utilisateur, même avec l’utilisation de quelques VPN.

Les soucis avec ZenMate et PureVPN ne sont pas encore connus car ils n’ont pas encore été patchés, pendant que VPN Mentor dit que les problèmes découverts chez ZenMate VPN étaient moins sévères que ceux de HotSpot Shield et PureVPN.

L’équipe a vu 3 vulnérabilités séparés au niveau du HotSpot Shield de AnchorFree, qui a été fixé par l’entreprise. Ci-après, la liste :

Hijack all traffic (CVE-2018-7879) — Cette vulnérabilité réside dans l’extension Chrome de Hotspot Shield et aurait pu permettre aux hackers de détourner et de rediriger les victimes du trafic web vers des sites malicieux.

DNS leak (CVE-2018-7878) — Faille et fuite DNS chez Hotspot Shield exposant les adresses IP originales des utilisateurs aux serveurs DNS, permettant ainsi aux FAI de surveiller et d’enregistrer leurs activités en ligne.

Real IP Address leak (CVE-2018-7880) — Cette faille compose une menace envers la vie privée des utilisateurs depuis que les hackers peuvent retracer les vrais emplacements des utilisateurs et le FAI.

Ce problème est survenu car l’extension avait une liste assez instable pour les “connexions directes”. Des chercheurs ont trouvé que peu importe quel est le nom de domaine avec un hébergeur local, par exemple, localhost.foo.bar.com, il suffit de taper =a1fproxyspeedtest’ dans l’URL pour contourner le proxy et démasquer les vraies adresses IP.

Il faut noter que toutes les 3 vulnérabilités étaient dans le plug-in gratuit de HotSpot Shield sous Chrome, pas sur le navigateur lui-même ou via les applis de smartphones.

Pour efficacement vous proteger en ligne, utilisez des VPN comme Hide My Ass, Vypr VPN ou Nord VPN.

Les chercheurs ont aussi rapporté des vulnérabilités similaires dans les plugins de Zenmate et PureVPN, mais pour le moment, les détails des bogues sont gardés sous couverture car les deux services n’ont pas encore réglé le souci.

Les chercheurs pensent que la plupart des autres services de VPN souffrent aussi de ce type de problèmes.

Désolé, les commentaires sont fermés pour cet article.

Voici le meilleur VPN de l'année 2018

  • P2P autorisé
  • Bitcoins acceptés
  • Politique d'absence de journaux
  • Onion over VPN

Garantie satisfait our remboursé dans les 30 jours

Meilleur VPN 2017
Share This