Les services VPN ont de nombreuses utilisations et avantages, comme vous assurer que vous n’êtes pas surchargé en fonction de votre emplacement, protégeant votre vie privée lors de l’utilisation d’Internet et en streaming des médias situés en dehors de votre propre région (par exemple, la bibliothèque Netflix d’un autre pays). Et pour la plupart, les VPN ont longtemps été considérés comme sûrs à utiliser.
Mais une enquête récente de Top10VPN a soulevé des questions sur la question de savoir si les VPN sont vraiment aussi sûrs qu’ils sont présentés. En collaboration avec le chercheur en sécurité Mathy VanHoef, Top10VPN a partagé cette découverte avant sa présentation lors de la conférence de l’USENIX 2025 à Seattle.
En bref, ils ont découvert de graves vulnérabilités qui affectent plus de 4 millions de systèmes. Ces systèmes comprennent des serveurs VPN, des routeurs de réseaux domestiques, des serveurs mobiles et des nœuds CDN, y compris ceux appartenant à de grandes entreprises mondiales comme Meta et Tencent.
Plus précisément, il concerne les protocoles de tunneling IP6IP6, GRE6, 4in6 et 6in4, qui sont censés sécuriser la transmission des données. Cependant, c’est là que les attaquants peuvent apparemment exploiter les vulnérabilités (relativement facilement) pour accéder aux réseaux.
Le problème de sécurité VPN, expliqué
Selon les chercheurs, de nombreux protocoles VPN ne peuvent pas vérifier de manière fiable que l’identité d’un expéditeur correspond au profil utilisateur autorisé du VPN. Les attaquants peuvent donc utiliser des proxys dits à sens unique pour accéder encore et encore, le tout sans être tracé.
Selon le rapport, les pirates ont juste besoin d’envoyer des paquets de données qui implémentent l’un des protocoles affectés pour obtenir un accès non autorisé. Ensuite, ils peuvent faire des choses comme le lancement des attaques de déni de service (DOS) ou infiltrer les réseaux privés pour voler des données.
La seule façon d’empêcher cela est d’utiliser des mécanismes de sécurité supplémentaires, tels que IPSEC ou Wireguard, qui fournissent un chiffrement de bout en bout des données de trafic VPN. Seul le serveur est alors en mesure de lire les données cryptées.
Quels VPN sont affectés?
Parmi les nombreux hôtes VPN qui ont été analysés, les personnes classées comme peu sûres comprenaient principalement des serveurs et des services des États-Unis, du Brésil, de la Chine, de la France et du Japon. En général, cependant, la prudence doit toujours être exercée lors de l’utilisation des services VPN.
Lors du choix d’un VPN, assurez-vous toujours qu’il offre l’une des fonctionnalités de chiffrement mentionnées ci-dessus. La meilleure façon de rester en sécurité est de effectuer des tests indépendants, ce que nous avons fait pour vous dans notre comparaison des meilleurs services VPN globaux.
