Les fournisseurs de VPN ont bénéficié de la crise suite à la ruée des télétravailleurs et des entreprises pour sécuriser les connexions sortantes. Les fournisseurs gratuits n’ont pas été en reste non plus, car la confusion était grande entre les services pour professionnels et ceux dévolus au grand-public. UFO VPN est un fournisseur basé à Hong Kong qui se glorifie de compter 20 millions d’utilisateurs. La success story aurait été exemplaire si ce n’est qu’UFO VPN vient d’être mis à l’indexe pour avoir exposé une base de données de journaux d’utilisateurs (gratuits et payants) et d’enregistrements d’accès à son API. Le lièvre a été soulevé par le site Comparitech, spécialisé dans les tests de sécurité, de vie privée et des services réseau. La base de données n’était même pas protégée par un mot de passe et aucune procédure d’authentification n’en barrait l’accès.
Bourde monumentale ou négligence abyssale
Les informations des utilisateurs, accessibles en clair, comprenaient les mots de passe en texte clair, les données de géolocalisation et des informations qui pourraient être utilisées pour identifier les utilisateurs du VPN et suivre leur activité en ligne. Tout le contraire de ce qu’ils cherchaient. Et plus grave encore, UFO VPN fournit son service en marque blanche à six autres fournisseurs (FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN et Rabbit VPN), partageant avec eux sa base de données et son infrastructure. Au total, 1 207 To d’informations confidentielles, ou supposées comme telles, ont été exposées.
Lorsqu’un fournisseur VPN, donc un spécialiste de l’anonymisation, expose des millions de données sensibles de ses utilisateurs, on peut penser à une faille ou une attaque réussie ou un problème quelconque « indépendant de la volonté » de la victime. Mais lorsqu’on apprend que sa base de données n’était même pas protégée par un mot de passe, on dépasse le cadre de la « bourde acceptable », surtout pour un spécialiste de la sécurité des accès et de la protection des données de ses utilisateurs. On entre là dans le domaine de l’inconscience, sauf que pour un spécialiste du VPN, l’inconscience est interdite.