Mining network cables
© Alessandro Bianchi/Reuters
File photo of mining network cables.
Selon une étude du cabinet de recherche sur la confidentialité et la sécurité VPNpro, 97 VPN sont gérés par 23 sociétés mères, dont beaucoup sont situées dans des pays dotés de lois laxistes en matière de confidentialité. Six de ces sociétés sont basées en Chine et offrent collectivement 29 services VPN, mais dans de nombreux cas, les informations sur la société mère sont cachées pour les consommateurs.

Les chercheurs de VPNpro ont rassemblé des informations sur la propriété à l'aide de listes d'entreprises, de données de géolocalisation, de CV d'employés et d'autres documents. Dans certains cas, la propriété de différents VPN est répartie entre plusieurs filiales. Par exemple, la société chinoise Innovative Connecting possède trois entreprises distinctes qui produisent des applications VPN: Autumn Breeze 2018, Lemon Cove et All Connected. Au total, Innovative Connecting développe 10 produits VPN apparemment non connectés, selon l'étude.

« À première vue, il peut sembler que le marché des réseaux VPN regorge de sociétés en concurrence pour une part du gâteau croissant du VPN destiné aux consommateurs.

« Cependant, lorsque nous avons commencé à examiner de plus près les VPN et les sociétés qui en sont propriétaires, nous avons remarqué quelque chose d'intéressant: beaucoup de ces produits appartiennent à la même société. Notre curiosité a été piquée au vif. Aussi, nous avons décidé de creuser davantage pour savoir combien de produits VPN sont détenus ou exploités et par quelles sociétés.

« Le nombre peut vous surprendre:

« Nos recherches montrent qu'au moins 97 produits VPN sont la propriété de 23 sociétés ou sont exploités par celles-ci.

« Cela inclut à la fois les produits VPN multiplateformes et mobiles. Cela inclut également les filiales directes ou les produits / marques, ainsi que les services de marque blanche. Cela représente un nombre beaucoup plus grand que ce qui avait été rapporté auparavant dans d'autres recherches ».

VPN, Chinese Parent Companies
Pourquoi est-ce important ?

Bien que la propriété d'un certain nombre de services VPN par une entreprise ne soit pas inhabituelle, VPNpro craint que nombre d'entre eux soient basés dans des pays dotés de lois de la vie privée laxistes ou inexistantes. Par exemple, sept des principaux services VPN appartiennent à Gaditek, basé au Pakistan. Selon VPNpro, cela signifie que le gouvernement pakistanais peut accéder légalement à toutes les données sans mandat et que ces données peuvent également être transmises librement à des institutions étrangères.

« Si les sociétés mères sont effectivement situées dans un pays 5/9/14 Eyes, qui sont généralement des pays à haute surveillance, les données des utilisateurs pourraient être largement ouvertes à ces gouvernements. Si elles se trouvent en Russie, en Chine et dans d'autres gouvernements autoritaires / répressifs, elles sont obligées de fournir leurs données aux gouvernements par défaut. La société mère peut également être disposée à vendre des données utilisateur ».

Les chercheurs ont déclaré que la possibilité d'accéder aux données détenues par les fournisseurs de VPN pourrait permettre aux gouvernements ou à d'autres organisations d'identifier les utilisateurs et leur activité en ligne. Cela met potentiellement en danger les défenseurs des droits de l'homme, les défenseurs de la vie privée, les journalistes d'investigation et les lanceurs d'alerte.

Lan,VPN, internet
L'étude note que ce manque de confidentialité s'étend aux consommateurs ordinaires, qui font également l'objet d'une surveillance accrue de la part du gouvernement. « Nous n'accusons aucune de ces entreprises de faire des choses sournoises. Cependant, ce qui suscite notre crainte est que de nombreux fournisseurs de réseaux VPN ne sont pas transparents sur l'identité de leur propriétaire et le lieu où ils sont basés », a déclaré Laura Kornelija Inamedinova, analyste de recherche chez VPNpro.

« De nombreux utilisateurs de VPN seraient choqués de savoir que les données stockées à leur sujet pourraient être légalement demandées par des gouvernements de pays tels que la Chine et le Pakistan.

« Notre recommandation est que les utilisateurs fassent preuve d'une diligence raisonnable à l'égard du VPN qu'ils souhaitent utiliser, car ils ne sont pas tous créés égaux et que l'utilisation d'un VPN ne garantit pas la confidentialité ou la sécurité ».

VPNpro a identifié quatre autres sociétés: Super VPN & Free Proxy, Giga Studios, Sarah Hawken et Fifa VPN qui possèdent ensemble 10 services VPN et où la société mère (donc la société d'origine) est complètement masquée.

Les points saillants de l'enquête

Le rapport indique que :
  • j2 Global (via StackPath) possède ou exploite au moins 10 marques de VPN. Cependant, il prétend officiellement ne posséder que 3: IPVanish, StrongVPN et Encrypt.me (anciennement Cloak). VPNpro a montré qu'il fournit des services en marque blanche pour VPNHub et NameCheap VPN, et exploite également 5 autres produits VPN.
  • De même, AnchorFree ne revendique officiellement que les produits Hotspot Shield, TouchVPN et JustVPN. Cependant, elle cache le fait qu'elle possède également les produits Betternet, pour un total de 10 produits VPN détenus.
  • Gaditek, la société de technologie basée à Karachi, affirme officiellement ne posséder que 3 produits VPN (PureVPN, Ivacy et le plus récent, Unblock VPN & Proxy). Cependant, VPNpro a découvert deux autres produits VPN. VPNpro a également montré que cette société exploite les sites de révision de réseau privé virtuel vpnranks.com, bestvpnservice.com, bestvpn.co et 2 autres.
  • Innovative Technologies, le célèbre développeur de réseaux mobiles virtuels, a 10 produits VPN à son actif. VPNpro a montré que 2 de ces produits VPN sont de son autre société, Lemon Clove, et 2 autres de Autumn Breeze 2018, dont elle est également propriétaire.
  • La société américaine Actmobile Networks, avec 3 applications mobiles VPN, exploite ou exploite également Free VPN LLC, pour un total de 6 produits VPN.
  • VPNpro a montré que la plupart des VPN populaires pour mobiles uniquement sont en fait des Chinois (gérés par des ressortissants chinois ou situés en Chine). Cela signifie que les autorités chinoises auront probablement accès aux données des utilisateurs, confirmant ainsi la crainte des sénateurs américains de voir les données américaines tomber entre des mains chinoises ou russes.
StackPath
Pour rappel, une marque blanche est un service ou un produit conçu par une entreprise (le « producteur »), que d'autres entreprises (les « distributeurs ») reprennent à leur compte et commercialisent sous leur propre marque. Il s'agit donc d'un mécanisme commercial de mise à disposition d'outils ou de produits, sans citer la marque ni l'origine de l'information transmise. L'entreprise qui fournit un produit en marque blanche à une autre société est souvent appelée Original Design Manufacturer. On peut parler de marque grise ou de marque franche lorsque les produits ou services vendus révèlent leur véritable origine au consommateur.

En février 2019, deux sénateurs américains ont exprimé leur inquiétude à propos de cette question et de la menace potentielle pour les consommateurs et les agences gouvernementales, appelant le Department of Homeland Security à enquêter sur la possibilité que les VPN permettent à des informations précieuses d'être transmises à des adversaires étrangers. Dans une lettre, le démocrate Ron Wyden et le républicain Marco Rubio ont demandé à Christopher Krebs, directeur de la Cybersecurity and Infrastructure Security Agency (CISA) du DHS, d'effectuer une évaluation de la menace d'un VPN afin de déterminer les risques potentiels pour le gouvernement américain, a rapporté SearchSecurity.

Dans une fiche technique sur les VPN, le groupe des libertés civiles et de la confidentialité, Big Brother Watch avertit que les fournisseurs de VPN ont le potentiel de voir l'activité Internet des utilisateurs, « mais beaucoup de VPN payants expliquent qu'ils ne consignent aucun trafic de leurs utilisateurs ». Cela empêche les fournisseurs de VPN de fournir un document indiquant les sites consultés par les utilisateurs des sites Web, indique le guide.

Big Brother Watch recommande d'éviter les VPN gratuits, car ils ne sont peut-être pas sécurisés et peuvent suivre les utilisateurs. « Si vous voulez vous assurer que votre activité en ligne reste privée, assurez-vous de choisir un VPN qui n'enregistre pas votre activité Internet ni votre trafic en ligne », indique le guide. « Tous les VPN ne sont pas identiques. Assurez-vous de faire vos recherches avant de choisir un VPN ».

Source : VPNpro