«Si le produit est gratuit, vous êtes le produit.»
Vous pouvez appliquer cette réflexion à presque tout ce qui est soutenu par la publicité ou la collecte de données, y compris des outils comme Chrome et Gmail. (Et vous ne payez pas pour lire ces mots, êtes-vous? Faire la réflexion.) Mais un outil VPN, prétendant accroître la confidentialité et la sécurité des utilisateurs, pourrait être en train de espionner les personnes qu’elle prétend protéger.
C’est la réclamation avancée par KOI Security, un fournisseur de logiciels qui enquête également sur d’autres applications. Selon son rapport, le réseau privé virtuel «FreeVPN.One», disponible comme extension du navigateur Chrome, jette un coup d’œil sur ses utilisateurs de diverses manières. Premièrement et le plus inquiétant, l’extension semble prendre une capture d’écran de chaque site Web que l’utilisateur visite, même en attendant une seconde après le chargement de la page pour s’assurer que tout est rendu.
Cet enregistrement d’écran automatique peut être lié à la fonction «Scan with IA Threat Detection» de l’outil. Ce petit bouton vous permet de «scanner» visuellement un site Web, puis il envoie la capture d’écran aux serveurs de FreeVPN.one, où il est analysé pour les menaces. Cela semble bien, je suppose… mais cela ne fait rien qui ne pourrait pas être fait plus rapidement et plus efficacement simplement en envoyant l’URL. Et, comme le rapporte KOI, l’outil semble avoir pris une capture d’écran de chaque page que le navigateur visite déjà, sans informer l’utilisateur.
L’extension enregistre également l’emplacement de l’utilisateur via l’adresse IP et a accès à toutes les URL de l’utilisateur via des autorisations élevées. «Avec le <all_urls> Permission, l’extension acquiert la possibilité d’accéder à chaque site que vous visitez « , explique le rapport de Koi. » Cette large portée lui permet d’injecter un script de contenu partout où vous allez. »
Koi dit que Freevpn.One a mis à jour massivement ses autorisations et ses prétendus espionnages à partir d’avril de cette année, après avoir amassé des centaines de milliers d’installations, et a couvert ses traces dans certaines des versions récentes avec des mises à jour destinées à obscurcir son activité. Bien que le développeur affirme que les captures d’écran ne sont pas enregistrées en permanence ou transmises et que les données des utilisateurs ne sont jamais vendues, elles restent anonymes sans activités commerciales ni coordonnées notables. Le développeur a cessé de répondre aux e-mails de Koi après avoir été invité à fournir une sorte de preuve de légitimité.
Les outils VPN montent en flèche en popularité, car de plus en plus de pays et d’États américains mettent en œuvre des lois qui limitent l’accès des utilisateurs aux sites Web pour adultes, et de plus en plus d’utilisateurs se méfient de leur sécurité en ligne. Mais les VPN gratuits sont au mieux un pari – la nature même du système nécessite une bonne quantité de confiance, canalisant littéralement tout votre trafic Web via un tiers. Cette extension particulière, qui est toujours disponible sur la boutique en ligne Chrome, est allée bien au-delà des bases pour cela via ses autorisations élevées.
