Comment les fournisseurs VPN de shareware vendent vos données

Salut, Habr.

Nous avons une nouvelle pour vous: il n'y a pas de VPN gratuits. Vous payez toujours - en visionnant des publicités ou vos propres données. Pour les apologistes de l'idée de base de l'anonymat sur Internet, ce dernier mode de paiement est particulièrement désagréable. Le problème est que vous décidez de vendre ou de transférer vous-même des informations vous concernant à des tiers.



Les accords d'utilisation sont partout, mais qui les lit? À l'été 2017, 22000 Britanniques ont accepté de nettoyer les toilettes publiques en se connectant via le réseau Wi-Fi public (je me demande ce que nous acceptons en nous connectant au Wi-Fi dans le métro russe). Le projet à but non lucratif Best VPN Services a mené une étude et a découvert que certains fournisseurs de VPN partagent les données des utilisateurs «légalement» - cela est indiqué dans le contrat d'utilisation des plus populaires d'entre eux. Il y a exactement un an depuis la publication de ce document, et nous avons décidé de voir si les informations contenues dans l'étude restaient pertinentes.

Selon un article de The Best VPN Services, certains services VPN transfèrent des informations sur les utilisateurs aux sociétés liées aux fournisseurs ou à ceux qui paient simplement plus. De plus, de nombreux services ne disent pas aux utilisateurs comment gagner de l'argent avec eux, ou ils en parlent opaque: ici vous pouvez lire la plainte de l'American Center for Democracy and Technology (CDT) concernant le travail du shareware Hotspot Shield Free VPN adressée à la Federal Trade Commission. Il s'est avéré que le service violait sa propre politique de confidentialité et collectait les adresses MAC, IMEI, les noms de réseaux sans fil et d'autres informations sur les utilisateurs. Après l'ingénierie inverse de l'application cliente, les chercheurs ont trouvé cinq bibliothèques différentes qui pourraient être utilisées pour la désanonymisation.

Et ici, vous pouvez savoir ce que pense l'Organisation pour la recherche scientifique et industrielle (CSIRO) des applications VPN de Google Play: 84% d'entre elles contribuent aux fuites de trafic. Une autre caractéristique des services VPN shareware est la distribution de liens vers les sites Web de certaines entreprises et la publicité intrusive.

À quoi ressemble un accord avec un diable VPN?

Les chercheurs de The Best VPN Services ont classé les 10 fournisseurs VPN les plus populaires qui peuvent vendre vos données personnelles à d'autres entreprises et personnes:

• Hola
• Betternet
• VPN Opera
• Bouclier de hotspot
• Psiphon
• Onavo protect
• Zpn
• HoxxVPN
• Finchvpn
• TouchVPN

Nous supposons qu'il existe en réalité beaucoup plus de ces services. Mais les fournisseurs ci-dessus au moins ne le cachent pas - personne ne lit leurs accords d'utilisation.

Concentrons-nous sur les «découvertes» les plus intéressantes du projet The Best VPN Services et considérons les trois plus grands fournisseurs de VPN. Une analyse de chacun des dix services sélectionnés se trouve sur la page d' étude , ajustée du fait qu'elle a été publiée en mai 2018. Nous parlerons des données mises à jour.

Hola et vendre vos données à «uniquement des clients décents»

Hola est un VPN basé sur un navigateur avec plus de 150 millions d'utilisateurs. L'entreprise exploite l'idée de «liberté prise en charge par la communauté»: le VPN est gratuit, mais vous pouvez ajouter au service.

Après une attaque DDoS sur la carte 8chan en 2015 (il y a un article à ce sujet sur Habré), il s'est avéré que Hola vend des canaux Internet d'utilisateurs à des tiers: en particulier, les données des utilisateurs tombent dans le réseau commercial Luminati. Cette information a suscité une grande réaction dans la communauté Internet et un groupe de militants a créé le site Web Adios, Hola! où dénonce les vulnérabilités des extensions.

Réponse officielle de Hola: «Nous sommes une entreprise innovante. Skype a également utilisé votre trafic. Nous vendons Luminati uniquement à des clients respectables (pas comme Tor). Tout le monde a des vulnérabilités: Apple iCloud, Snapchat, Skype, Sony, Evernote, Microsoft . »

Examinons l'accord d'utilisation de Hola, qui était pertinent en 2018:



Le fournisseur appelle honnêtement ses objectifs: recherche, analyse et marketing. Mais cela ne ressemble pas à l'anonymat. Un nouvel accord ressemble à ceci:

Source: hola.org/legal/privacy (2019)

La collecte de données pour «améliorer la qualité ou fournir des services» est un élément fréquent dans de nombreux services VPN. Mais ici, le fournisseur signale à nouveau ouvertement qu'il partage les données des utilisateurs avec d'autres sociétés. Dans le même temps, Hola stocke les données des utilisateurs pour toujours - tant que cela est nécessaire pour assurer le fonctionnement du service:


Source: hola.org/legal/privacy (2019)

Auparavant, le fournisseur ne cachait pas le fait que les informations utilisateur entrent dans le réseau commercial Luminati. En d'autres termes, l'accès à votre ordinateur était auparavant vendu à des personnes qui le payaient. On ne sait pas si Hola fait quelque chose de similaire aujourd'hui: la formulation dans la vie privée est maintenant assez vague.

Voici un extrait de l'ancienne politique de confidentialité:


Source: hola.org/legal/privacy (2018). Maintenant, le site Hola n'a plus de telles informations

Façons de gagner Hola:

• Le fournisseur peut transférer vos informations personnelles à des tiers.
• Le fournisseur utilise l'appareil de l'utilisateur en tant qu'hôte et y accède jusqu'à ce que vous utilisiez un VPN (promet de laisser les informations personnelles en sécurité et d'utiliser le gadget uniquement comme routeur).

Selon Hola, en fait, ils ne transmettent pas d'informations à des tiers. Ils ont une version payante que les entreprises et les sociétés utilisent. Ils utilisent "une petite partie des ressources de votre ordinateur lorsqu'ils ne sont pas utilisés (donc nous ne vous ralentissons jamais) au profit du réseau" .


Source: hola.org/faq

Betternet et vider l'historique de votre navigateur

Betternet est un autre service VPN majeur avec des versions gratuites et premium, avec plus de 38 millions d'utilisateurs. Sur le site officiel, le fournisseur essaie de répondre honnêtement à la question de savoir d' où il tire l'argent : les utilisateurs sont invités à installer des applications partenaires tierces et à regarder une vidéo publicitaire. Ou achetez un abonnement pour bénéficier du "plus haut niveau de service". Est-ce à dire que vos données ne se vendent pas? Non, semble-t-il.

«Nous pouvons partager votre position (au niveau de la ville)» ...

Source: www.betternet.co/privacy-policy

Le CSIRO a également noté que Betternet possède une bibliothèque à grande échelle avec des données utilisateur. En 2018, leur politique de confidentialité était différente: Betternet a déclaré que les annonceurs pouvaient accéder à l'historique du navigateur de l'utilisateur.


Capture d'écran de l'ancienne politique de confidentialité (2018)

Comment Betternet fait de l'argent sur les utilisateurs aujourd'hui:

• Les annonceurs ont accès à l'emplacement approximatif de l'utilisateur (au niveau de la ville).
• Affichage publicitaire.

Fantôme VPN à Opera

Un VPN honnête et gratuit pourrait être un excellent moyen de populariser le navigateur Opera. Au printemps 2018, l'application mobile Opera VPN a annoncé la fin des travaux, et maintenant le site précédent n'est plus disponible. Mais le VPN gratuit d'Opera depuis 2016 n'est allé nulle part. Dans le même temps, la politique de confidentialité qui se trouve sur le site est la même pour tous les produits: Opera peut collecter vos données personnelles. Y compris pour les campagnes marketing. La politique de confidentialité permet au fournisseur de fournir des informations à des tiers et de suivre vos données.


Source: www.opera.com/privacy

«Lors de l'installation de l'application Opera, un identifiant d'installation aléatoire est généré. Nous pouvons collecter cet identifiant, ainsi que l'identifiant de votre appareil et les spécifications matérielles, la configuration du système d'exploitation et de l'environnement, les données sur l'utilisation des fonctions. Nous utilisons ces informations à des fins commerciales légitimes spécifiques:

• Pour mieux comprendre comment les gens interagissent avec nos applications et services;
• Pour changer, personnaliser ou autrement améliorer nos applications et services;
• Déterminer l'efficacité des campagnes publicitaires et de la publicité;
• Détecter, déboguer et corriger les plantages dans nos applications et services;
• Pour éviter les violations de sécurité et les abus.

Ces informations nous aident à améliorer nos produits et services. Nous n'avons aucun moyen pratique d'utiliser ces informations pour vous identifier personnellement. Nous pouvons stocker ces données jusqu'à trois ans ... "


Source: www.opera.com/privacy

Le chercheur polonais Mikhail Shpachek pense que ce n'est pas du tout un VPN, mais le proxy le plus courant. Shpachek a posté la preuve sur GitHub, voici son commentaire:

«Ce VPN Opera est simplement un proxy HTTP / S reconfiguré qui ne protège que le trafic entre Opera et le proxy, rien de plus. Ce n'est pas un VPN. Dans les paramètres, ils appellent eux-mêmes cette fonction un «proxy protégé» (et l'appellent également VPN, bien sûr). »

Les développeurs de navigateurs répondent:

«Nous appelons notre VPN un« VPN de navigateur ». Sous le capot de cette solution se trouvent des proxys protégés qui fonctionnent dans différentes parties du monde à travers lesquelles passe tout le trafic du navigateur, correctement cryptés. "[Notre solution] ne fonctionne pas avec le trafic provenant d'autres applications, comme les VPN système, mais, au final, ce n'est qu'un VPN de navigateur."

Comment Opera vous fait de l'argent:

• Fournir des informations vous concernant à des partenaires commerciaux.
• Autorisation (sur une base commerciale) de suivre les informations vous concernant.

Commentaire de Stanislav Shakirov, directeur technique de RosKom Svoboda :

«La collecte de métadonnées et leur vente aux agences de marketing est une pratique courante pour de nombreux services Internet, pas seulement pour les VPN. Souvent, cela est écrit dans les accords d'utilisation, mais généralement personne ne le lit. En ce qui concerne les services VPN, il est bien sûr préférable de choisir ceux qui ne le font pas: on ne sait pas comment les informations, bien que anonymisées, seront ensuite traitées, car vous pouvez également en tirer des conclusions qui peuvent nuire à l'utilisateur.

Le VPN est une entreprise qui opère dans une juridiction particulière. Par conséquent, oui, il est absolument légal de collecter et de transmettre des données en informant l'utilisateur à ce sujet dans les accords d'utilisation. Si rien n'est dit à ce sujet dans les accords d'utilisation, le fournisseur VPN n'a pas le droit de transférer quoi que ce soit à un tiers. Mais si cela est de facto inconnu: le service doit également vivre de quelque chose, s'il est gratuit.

Lorsque nous commençons à utiliser un service, il est préférable de penser immédiatement à la façon dont il fait de l'argent. Si le service est gratuit et ne vend pas vos métadonnées, il insère probablement ses annonces ou intercepte vos données sensibles, telles que les connexions, les mots de passe, les données de carte bancaire. Il arrive que des services VPN importants et décents fassent des tarifs promotionnels gratuits, mais ils sont généralement limités en vitesse ou en trafic. Vous devez également comprendre le fonctionnement du service lui-même. Rappelez-vous l'histoire désagréable avec le plugin Hola, qui aurait donné un VPN gratuit, mais il s'est avéré qu'en utilisant le plugin, d'autres utilisateurs pouvaient accéder au réseau via votre ordinateur. Si les actions de ces personnes sur le réseau sont illégales, la police s'adressera au propriétaire de l'ordinateur. »

Au lieu d'un épilogue

Sur la base de nos nombreuses années d'expérience personnelle, nous pouvons déclarer de manière responsable: notre propre service VPN coûte très cher aux propriétaires. Le prestataire doit payer:

1. Maintenance d'un réseau de serveurs dans différents pays;
2. Le trafic, qui pour de tels services n'est jamais gratuit et illimité en raison des énormes volumes de consommation des utilisateurs;
3. Assistance technique, surveillance et développement de logiciels 24h / 24.

Cela n'inclut pas l'assistance aux utilisateurs, les fonds de développement et au moins une sorte de publicité.

Sur une base sans altruisme, l'existence d'un tel service dans notre univers pose de nombreuses questions. À quoi servent ces propriétaires? Quels fonds sont utilisés pour compenser les dépenses? Qu'est-ce qui est demandé à l'utilisateur en retour? Il est utile de poser ces questions non seulement aux services VPN gratuits, mais à tout autre service de shareware sur Internet. Surtout ceux qui fonctionnent avec des données utilisateur sensibles.