Publié le 2025-10-06 18:42:00. Une analyse approfondie de près de 800 VPN gratuits révèle des failles de sécurité alarmantes, mettant en péril la protection des données et la vie privée des utilisateurs.
- Une étude de ZLABS a identifié de graves lacunes dans environ 800 applications VPN gratuites pour Android et iOS.
- Plus de 65% des applications présentent des comportements risqués, tandis que près de 41% demandent des autorisations abusives.
- Des vulnérabilités comme l’utilisation de bibliothèques obsolètes et des faiblesses dans les canaux de communication ont également été constatées.
Les Réseaux Privés Virtuels (VPN) sont devenus des outils essentiels pour le chiffrement des données et le masquage de l’adresse IP, offrant une couche de sécurité indispensable face à la surveillance en ligne. Cependant, cette étude menée par les chercheurs de Zimperium ZLABS vient jeter un pavé dans la mare, démontrant que de nombreux services VPN gratuits, loin de protéger les utilisateurs, pourraient les exposer à des risques considérables.
L’analyse, portant sur près de 800 VPN gratuits disponibles sur les plateformes Android et iOS, révèle que la majorité de ces applications ne garantissent « aucune véritable confidentialité ». Les chercheurs ont classé les problèmes de sécurité découverts en cinq catégories distinctes, dressant un tableau préoccupant de l’état actuel de ces services.
Des comportements qui suscitent l’inquiétude
La première catégorie, baptisée « comportements risqués et API », a concerné 65,13% des applications testées. Ces failles incluent des fonctionnalités inquiétantes comme la capacité de prendre des captures d’écran de l’interface utilisateur à l’insu de l’utilisateur, des lancements d’activités non sécurisés pouvant mener à des états instables, ainsi que des injections de données utilisateur et des expositions de données. Des vulnérabilités dans les systèmes de fournisseurs de contenu exportés ont également été identifiées, ouvrant la porte au vol de données et à l’escalade de privilèges.
Des autorisations trop intrusives
Près de 41% des applications examinées ont montré une tendance à demander des autorisations excessives, dépassant largement le périmètre fonctionnel d’un VPN. Certaines ont ainsi sollicité le rôle d’authentificateur de compte Android, ou la permission d’accéder en permanence à la localisation de l’appareil, même lorsque le VPN était inactif. Plus préoccupant encore, des applications ont demandé l’autorisation de « lire les journaux » du système, potentiellement capable d’exposer une quantité massive d’informations sur l’utilisateur, ses actions, les événements système et les activités des applications. Les chercheurs soulignent qu’une telle demande est rarement légitime pour une application normale et devrait être considérée comme un signe d’intention malveillante.
Sur iOS, 30 applications VPN ont également demandé des droits privés, une permission qui semble hors de propos pour un service VPN et qui pourrait permettre le vol de données ou l’exécution de code malveillant.
Des bibliothèques obsolètes, porte ouverte aux failles
Certains VPN intègrent des bibliothèques tierces obsolètes, non corrigées contre les vulnérabilités connues. Cette négligence dans la maintenance des correctifs peut offrir une voie d’accès directe aux appareils des utilisateurs pour les acteurs malveillants. L’étude a notamment relevé trois applications utilisant une ancienne version de la bibliothèque OpenSSL, les rendant vulnérables à la faille Heartbleed de 2014, une vulnérabilité qui avait touché des millions de sites web.
Autres failles relevées
Des failles dans les canaux de communication ont également été détectées, avec 1% des applications présentant des faiblesses face aux attaques de type « man-in-the-middle » (MITM). Ces attaques compromettent l’intégrité du tunnel de communication sécurisé, rendant le chiffrement du VPN inefficace. Sur iOS, ZLABS a aussi constaté des étiquettes trompeuses ou manquantes concernant les permissions demandées, et ce, malgré les exigences d’Apple. Dans 25% des cas de mauvaise labellisation, les applications n’ont pas fourni de manifeste de confidentialité valide.
Cette étude s’inscrit dans la continuité de recherches antérieures ayant déjà mis en évidence des liens cachés entre différents services VPN gratuits, ainsi que des problèmes de sécurité tels que des identifiants codés en dur et des protocoles de chiffrement faibles.
Pour ceux qui recherchent des options fiables, ZDNET recommande de consulter sa sélection des meilleurs VPN gratuits, soigneusement testés pour aider les utilisateurs à faire des choix éclairés.