Attention, les utilisateurs VPN: Vous ne pouvez pas être aussi sûr que vous le pensez

Il est de pratique courante d'utiliser les réseaux privés virtuels pour plus de confidentialité et de sécurité en cette ère de surveillance de masse, mais une étude publiée cette semaine suggère que ces réseaux pourraient ne pas être aussi sûrs que En fait, en raison d'une vulnérabilité connue sous le nom de fuite IPv6, beaucoup d'entre eux peuvent exposer l'information de l'utilisateur aux regards indiscrets, selon un article de chercheurs de l'Université Sapienza de Rome et de l'Université Queen Mary. de Londres.

Intitulé "Un coup d'œil sur le VPN: fuite IPv6 et détournement DNS dans les clients VPN commerciaux", le rapport décrit une étude menée l'année dernière qui a examiné 14 fournisseurs VPN commerciaux populaires dans le monde. [Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Plus précisément, les chercheurs ont testé les VPN en tentant deux types d'attaques: la surveillance passive, par laquelle un pirate peut simplement collecter les informations non cryptées de l'utilisateur, et le piratage DNS, où le pirate redirige le navigateur de l'utilisateur vers un serveur Web contrôlé. Ce qu'ils trouvaient déconcertant: 11 des 14 fournisseurs ont divulgué des informations, y compris les sites Web auxquels l'utilisateur accédait et le contenu réel des communications de l'utilisateur. Les trois seuls qui n'ont pas été Private Internet Access, Mullvad et VyprVPN. TorGuard a offert un moyen de contourner le problème, ils ont noté, mais il n'a pas été activé par défaut.

L'étude a également examiné la sécurité de diverses plates-formes mobiles lors de l'utilisation de VPN et a constaté qu'ils étaient beaucoup plus sûrs lorsqu'ils utilisaient iOS. vulnérable aux fuites en utilisant Android.

Les interactions avec les sites Web exécutant le cryptage HTTPS n'ont pas été divulguées, ont noté les chercheurs.

Alors, qu'est-ce qui est à blâmer pour la fuite? Les chercheurs ont conclu qu'un certain nombre de VPN ne protégeaient que le trafic IPv4.

Un autre problème qu'ils ont constaté est que de nombreux fournisseurs de services VPN utilisent encore des protocoles de tunneling obsolètes tels que PPTP.

Les auteurs pointent Tor sur les distributions Linux comme Tails comme alternatives potentielles pour ceux qui cherchent l'anonymat. Les VPN d'entreprise, quant à eux, sont largement épargnés par les problèmes de fuite.

"Pour l'utilisateur professionnel moyen de la technologie VPN, il n'y a pas d'impact", explique Steve Manzuik, directeur de la recherche de Duo Security. Toutefois, ceux qui comptent sur les services VPN pour la confidentialité devraient toujours être conscients des protocoles sur lesquels leurs systèmes émettent et envisager un service VPN qui offre également une couverture pour ceux-ci ou, à tout le moins, désactiver ceux qui ne sont pas utilisés.

Il convient également de noter que la technologie VPN n'a pas été conçue pour offrir une protection de la vie privée aussi sécurisée que la connexion à l'infrastructure réseau interne d'une entreprise via des réseaux non sécurisés. Selon Manzuik, il existe d'autres méthodes pour identifier un utilisateur et violer sa vie privée. "