Après Whatsapp, Snapchat et Facebook, la
plupart des gens recherchent des applications VPN mobiles. «VPN» est le deuxième terme non-marque le plus populaire après le «jeu», et les applications exclusivement gratuites dominent les résultats de recherche. Les plus populaires d'entre elles ont rassemblé des centaines de millions d'installations à travers le monde, mais il semble que les entreprises derrière elles reçoivent trop peu d'attention et que les magasins d'applications mobiles les étudient trop superficiellement.
Lorsqu'une personne décide d'installer un VPN d'entreprise sur son appareil, il décide en fait de confier ses données à cette entreprise au lieu de son fournisseur de connexion filaire ou sans fil. Le fournisseur VPN peut examiner votre trafic, le modifier, conserver des enregistrements et, si les règles le permettent, l'envoyer ailleurs. Étant donné le potentiel d'abus potentiel de données, il est essentiel que l'utilisateur choisisse judicieusement son VPN.
Nous avons exploré les applications VPN les plus populaires sur l'App Store et Google Play Store. Nous avons constaté que seule une petite fraction de ces applications incroyablement populaires font au moins quelque chose pour gagner la confiance des personnes qui essaient de protéger leur vie privée en ligne.
La recherche
Nous avons examiné les 20 applications gratuites les plus populaires qui figurent dans la liste des demandes VPN dans l'App and Play Store pour la Grande-Bretagne et les États-Unis. En général, ils sont téléchargés 80 millions de fois par mois sur Google et 4 millions sur Apple. Notre méthodologie et une liste de tous les VPN étudiés sont disponibles dans le
rapport détaillé .
Nous avons trouvé quelque chose de contraire aux normes élevées que l'utilisateur pouvait attendre du support dans les applications distribuées par Google et Apple qui sont dans une catégorie si sensible. La plupart des applications proviennent de sociétés inconnues et hautement classées qui s'efforcent de cacher les informations les concernant aux utilisateurs.
Ces applications VPN ont été téléchargées des dizaines de millions de fois depuis les plus grandes boutiques d'applications, mais elles ne fournissent à l'utilisateur que peu d'informations sur les entreprises derrière elles et sur ce qu'elles font avec l'énorme flux de trafic sensible traversant quotidiennement leurs serveurs.
Notre étude a révélé que plus de la moitié des applications VPN gratuites les plus populaires appartiennent à des Chinois ou sont situées directement en Chine, un pays qui supprime agressivement ses services VPN ces dernières années et restreint Internet avec sa main de fer. De plus, nous avons constaté que la plupart de ces applications manquent d'une protection formellement prescrite des informations personnelles et manquent de support utilisateur.
Affiliation des services et leur présence sur le web
59% des applications étudiées sont détenues par des Chinois ou directement situées en Chine, malgré le fait que les VPN sont strictement interdits dans ce pays et que le trafic Internet est surveillé. Cela soulève des questions sur la raison pour laquelle ces entreprises - avec de grandes bases d'utilisateurs dans le monde - sont autorisées à continuer à travailler.
Les VPN chinois sont téléchargés par des utilisateurs des États-Unis, de Grande-Bretagne, d'Amérique latine, du Moyen-Orient et du Canada. Les propriétaires de trois d'entre eux, TurboVPN, ProxyMaster et SnapVPN, se sont avérés être des sociétés liées. Dans leur politique de confidentialité, ils notent: "Notre entreprise peut nous obliger à transférer vos données personnelles vers des pays en dehors de la zone euro (EEE), y compris des pays tels que la République populaire de Chine ou Singapour."
L'une des propositions, VPN Patron, appartient à la société IST Media basée à Hong Kong, qui se présente en Chine comme une entreprise spécialisée dans la publicité mobile et la monétisation du comportement des utilisateurs d'Internet.
Compte tenu des efforts déployés par ces sociétés pour masquer des informations sur leurs propriétaires, il est souvent assez difficile de savoir exactement qui se cache derrière les applications, en particulier pour l'utilisateur moyen.
64% de ces fournisseurs n'ont pas de site Web ou de présence Web spécial, et plus de la moitié de ces e-mails sont des comptes personnels dans des domaines tels que Gmail ou Yahoo. Plus de 80% de nos demandes d'assistance sont restées sans réponse.
Malgré une telle opacité, ces entreprises ont pu inspirer confiance aux utilisateurs peu informés que leurs demandes avaient été approuvées par l'administration des magasins Apple et Google.
Politiques de confidentialité, suivi, enregistrement des actions des utilisateurs
La simple popularité de ces applications peut peut-être suffire à convaincre la plupart des utilisateurs de leur fiabilité, mais un examen attentif de celles-ci révèle de graves problèmes.
Les services VPN consciencieux, qu'ils soient gratuits ou basés sur des abonnements, ont généralement des politiques de confidentialité détaillées qui décrivent comment ils fonctionnent et les obligent à ne pas surveiller les utilisateurs et à ne pas enregistrer leur trafic.
Cependant, de nombreuses applications VPN populaires n'ont rien de semblable à de telles politiques, et beaucoup n'ont aucune politique du tout. Cela souligne l'existence d'une incertitude désagréable sur ce qui se passe avec les énormes volumes de données des utilisateurs, et nous fait craindre que des millions d'utilisateurs dans le monde donnent aux organisations inconnues et potentiellement hostiles l'accès à leur trafic.
Nous avons constaté que 86% de ces applications utilisent des politiques de confidentialité non standard, où le problème de la confidentialité des utilisateurs est soigneusement traité ou pas du tout couvert. Certaines de ces applications bénéficient d'un accès complet au trafic Internet des utilisateurs, se permettent de les suivre et envoient leurs données à des tiers depuis la Chine. Parmi les données collectées sur l'utilisateur, il y a une liste de sites Web visités, l'adresse IP (y compris l'emplacement de l'utilisateur), l'heure, la durée de navigation sur les sites, les identifiants des appareils, les adresses e-mail et plus encore.
Parmi les problèmes courants dans les politiques de confidentialité, citons:
- Suivez les actions des utilisateurs.
- Envoi d'informations sur son comportement à des tiers.
- Manque de détails importants concernant les politiques de suivi.
- Textes de politique généralisés qui ne sont pas spécifiques au VPN.
- Transfert de données revendiqué à des tiers depuis la Chine.
- Absence de politique.
Plus de la moitié (55%) des politiciens ressemblent à du travail amateur - par exemple, ils se trouvent sur des sites Wordpress gratuits avec des publicités ou sous forme de fichiers texte sur des pages Web anonymes - ce qui nous rend encore plus préoccupés par la légitimité de ces entreprises.
Qu'est-ce que tout cela signifie?
Du point de vue du consommateur, toutes les applications dans la boutique officielle sont marquées par les propriétaires des boutiques Apple ou Google comme sécurisées et légales. Cependant, étant donné l'ampleur de la désinformation et de l'opacité associées à ces listes, il devient clair que la supervision dans cette catégorie reste minime.
Les utilisateurs sans méfiance redirigent leur trafic Internet mobile via des serveurs appartenant à des entreprises, dont la plupart n'offrent aucune protection contre l'utilisation abusive des données. Il s'agit d'une négligence élémentaire de la part des plus grands géants de la technologie, le manque de contrôle de leur part, ce qui conduit au fait que des millions de consommateurs sont soumis à une collecte de données en gros sous couvert de protection en ligne.
De plus, les informations découvertes soulèvent des questions telles que: pourquoi la Chine autorise ces entreprises à travailler en violation de ses lois strictes interdisant l'utilisation des VPN, et avec qui les entreprises partagent ces données après les avoir reçues.
Outre les nombreuses questions qui se sont posées après la découverte d'une influence chinoise si forte dans ce domaine, ces découvertes obligent Apple et Google à expliquer aux consommateurs pourquoi ils approuvent les candidatures d'entreprises sans présence sur le Web, offrant des informations d'entreprise minimales ou trompeuses, et ayant des informations faibles et parfois au détriment des politiques de confidentialité des utilisateurs.
En permettant à ces entreprises opaques et non professionnelles d'héberger des applications potentiellement dangereuses dans leurs magasins, Apple et Google montrent une incapacité à tester les entreprises à l'aide de leurs plateformes et à superviser les programmes qui y sont annoncés. Toutes les
manifestations de la volonté de contrôles de la confidentialité n'ont aucun sens si si peu de surveillance est exercée sur cette catégorie d'applications potentiellement dangereuses.