Botnets et portes dérobées : le cheval de Troie des VPN gratuits

Imaginez être accusé d’un cybercrime. Vous connaissez peu de choses sur Internet, et encore moins sur la criminalité. Et soudainement, une montagne de preuves numériques et de cybersécurité s’abat sur vous. La police confisque vos appareils et examine chaque recoin de votre vie numérique. Votre ordinateur et son adresse IP unique, vous disent finalement les autorités, sont responsables de fraudes à hauteur de plusieurs milliers d’euros. Ou peut-être vous accusent-ils d’un crime encore plus incompréhensible. Dans tous les cas, vous êtes laissé à naviguer dans un enfer juridique pour tenter de prouver votre innocence dans un crime que vous ne comprenez probablement même pas. Ce cauchemar peut être une réalité pour de nombreux utilisateurs d’Internet.

Il y a quelques semaines à peine, une opération internationale dirigée par le ministère de la Justice américain (DoJ) a démantelé un botnet mondial appelé 911 S5. Au cours de la dernière décennie, ce que le DoJ appelle “probablement le plus grand botnet jamais vu” avait infiltré 19 millions d’adresses IP uniques dans près de 200 pays. L’accès aux dispositifs compromis était ensuite vendu à des criminels pour commettre des cyberattaques, des vols, des fraudes et masquer des activités illicites derrière les IP des utilisateurs sans méfiance.

Un point clé de cette histoire est que le botnet utilisait des portes dérobées conçues dans six logiciels de réseau privé virtuel (VPN) gratuits qui, en plus de fonctionner comme VPN, étaient également des logiciels malveillants. Suite à l’arrestation du prétendu maître du botnet, le Federal Bureau of Investigations (FBI) a publié une alerte publique (PSA) conseillant aux utilisateurs de désinstaller les VPN et de scanner leurs systèmes à la recherche des fichiers malveillants qui ouvraient les portes de leurs systèmes à l’exploitation criminelle.

Dans les premiers volets de Nym Dispatch, nous nous concentrerons sur les risques liés à l’utilisation des services VPN “gratuits”. Comme nous l’examinerons tout au long de la série, de nombreux VPN gratuits peuvent poser de réels dangers pour la confidentialité et la sécurité des utilisateurs, et contiennent presque toujours des pratiques invasives comme la publicité ciblée. C’est exactement le contraire de la raison principale pour laquelle les utilisateurs se tournent vers un VPN : la véritable confidentialité, la sécurité et l’anonymat en ligne. Le botnet 911 S5 devrait être un signal d’alarme, mais le problème va bien plus loin.

ProxyGate 2024 : un cheval de Troie de plusieurs milliards de dollars

Un botnet est un réseau de dispositifs compromis qui peuvent être contrôlés à distance par une entité centrale. Une fois infiltrés, les dispositifs peuvent être utilisés pour effectuer des activités malveillantes à l’insu de leurs opérateurs, comme des attaques DDoS, la distribution de spam, la fraude ou la diffusion de matériel d’exploitation comme la pornographie infantile.

Avec le réseau de proxy résidentiel 911 S5 en place et alimenté par 150 serveurs dans le monde, le maître du botnet vendait l’accès à des dizaines de millions d’adresses IP via une place de marché virtuelle. Les acheteurs utilisaient ensuite ces adresses IP pour mener une large gamme d’activités illicites, notamment la fraude massive au programme d’aide à la pandémie du gouvernement américain, d’un montant de plusieurs milliards de dollars grâce à des demandes d’allocations fictives.

Comment une opération de cette ampleur a-t-elle pu être possible ? Selon l’ordonnance du tribunal du DoJ du 10 mai 2024, le suspect a installé un accès par porte dérobée aux dispositifs des utilisateurs principalement en offrant leur propre “logiciel VPN gratuit en ligne” et en cachant “les propriétés malveillantes aux utilisateurs qui téléchargeaient intentionnellement ce qu’ils croyaient être un programme VPN légitime”. Le malware était également diffusé via des logiciels de torrenting et des “services pay-per-install” dans lesquels les distributeurs numériques sont payés chaque fois qu’un programme avec un bundle de logiciels malveillants est installé avec succès sur un appareil utilisateur.

La place de marché 911 S5 a été prétendument démantelée par les enquêteurs en 2022 avant de réapparaître sous le nom de “Cloudrouter” en 2023. Cependant, le malware a continué à fonctionner sur les systèmes des utilisateurs sans intervention supplémentaire jusqu’à ce que l’opération du FBI, intitulée “Operation Tunnel Rat”, démantèle finalement les domaines des VPN et révèle publiquement les noms des programmes VPN.

Au moment de son arrestation le 24 mai 2024, le prétendu maître du botnet, selon les estimations du gouvernement, avait amassé seul 99 millions de dollars de bénéfices grâce à la vente d’accès aux adresses IP. Un montant stupéfiant de 5,9 milliards de dollars a été fraudé au programme d’aide à la pandémie et de chômage du gouvernement américain. Les pertes, la douleur et la confusion subies par des millions de personnes involontaires dans le monde n’ont pas encore été entendues.

La porte dérobée des VPN gratuits

Six services VPN et proxy sont prétendument responsables d’avoir fourni des portes dérobées pour les infections par malware dans le botnet 911 S5 :

• MaskVPN
• DewVPN
• PaladinVPN
• ProxyGate
• ShieldVPN
• ShineVPN

Que savons-nous exactement d’eux ? Comme prévu, étonnamment peu de choses. L’acte d’accusation précise que ces services VPN ont été conçus spécifiquement pour construire le botnet. Le malware restait actif en arrière-plan des systèmes des utilisateurs sous forme de fichiers .exe semblant innocents, tels que “MaskVPN.exe”, que les utilisateurs pensaient probablement les protéger. Si ce n’est, le manque d’informations sur ces VPN téléchargés par des millions d’utilisateurs est un signe révélateur de la mesure dans laquelle l’industrie des VPN gratuits est non réglementée et non scrutée.

Les services VPN ci-dessus qui disposaient de domaines réels ont été saisis par le FBI, y compris PaladinVPN.com, DewVPN.com et ShineVPN.com. Le domaine fictif de MaskVPN reste actif sous le nom de maskvpns.com, promettant que vous, les utilisateurs chanceux, pouvez “sécuriser et rendre étanche pour protéger votre vie privée”.

Capture d’écran de la page d’accueil de paladinvpn.com le 10 juin 2024.

À la date de publication, de nombreuses applications portant les noms des services ci-dessus sont toujours disponibles en téléchargement sur Google Play, Apple et d’autres magasins d’applications, comme ShieldVPN, ShineVPN et MaskVPN, certaines comme ShineVPN répertoriant plus de 500k téléchargements sur Google Play. Cependant, Nym n’a pas confirmé si ces applications correspondent effectivement à celles mentionnées dans l’acte d’accusation ou plutôt à d’autres fournisseurs homonymes. Le serveur proxy ProxyGate, longtemps signalé pour ses activités malveillantes par les entreprises de sécurité et les forums, semble également être téléchargeable en tant que ProxyGate VPN, bien qu’il ne soit pas clair si cette application correspond au botnet 911 S5.

Nous devrons attendre plus de détails sur les opérations de ces services VPN spécifiques, les plateformes qui les distribuaient et le nombre exact d’utilisateurs les ayant téléchargés au fil des ans. Mais il y a des questions cruciales que nous devrions poser en attendant :

• Comment les fonctions de malware de ces VPN sont-elles passées inaperçues pendant tant d’années ?
• Quelles autres fonctions clandestines d’autres logiciels VPN gratuits sur le marché exercent-ils actuellement ?
• Combien de violations de la confidentialité et de risques pour la sécurité sommes-nous prêts à accepter pour économiser quelques euros chaque mois alors que nous pourrions investir dans un véritable outil de protection de la vie privée ?

Les risques des VPN gratuits

On estime que plus d’un cinquième de la population mondiale utilise des VPN, et que la moitié utilise une version gratuite plutôt qu’une version payante. Qu’est-ce que cela signifie pour la confidentialité des 600 millions d’utilisateurs de VPN dans le monde ?

En principe, il n’y a rien de mal à un service “gratuit”. Et il existe en fait des fournisseurs de services VPN fiables qui offrent des VPN préservant la confidentialité gratuitement et en tant que bien public. Mais les modèles économiques prédominants pour les centaines de VPN gratuits disponibles au téléchargement sont tout sauf altruistes : s’il n’y a pas de revenus provenant des abonnements des utilisateurs, alors ils gagnent sûrement de l’argent d’une autre manière.

Comme nous le verrons dans la série en cours de Nym, ces revenus cachés proviennent de diverses tactiques : publicité ciblée et insérée, vente de données utilisateur à des courtiers, et même autorisation de tiers à installer des cookies sur les navigateurs des utilisateurs pour suivre leurs activités. En bref, les VPN gratuits commercialisent la confidentialité, mais ils profitent de la surveillance. Et la cible de cette surveillance n’est pas une activité répréhensible, mais les micro-détails de nos vies personnelles.

Les VPN gratuits derrière le botnet 911 S5, cependant, montrent un risque de sécurité bien plus extrême : le détournement de nos dispositifs et de nos identités par un monde criminel clandestin. Bien sûr, ces services VPN malveillants ne sont que quelques-uns des centaines de VPN “gratuits” disponibles pour les utilisateurs à télécharger, et ils sont probablement parmi les pires acteurs du marché. Mais le risque potentiel mis en évidence dans ce cas, avec des pertes financières de plusieurs milliards de dollars pour les utilisateurs et les institutions, doit être pris au sérieux.

Rien n’est gratuit

Presque tous les VPN se commercialisent comme un outil pour protéger la confidentialité des utilisateurs en masquant nos vraies adresses IP. De nombreux utilisateurs peuvent penser que cela suffit pour leurs besoins. Mais ils peuvent également ne pas être conscients de l’étendue à laquelle les métadonnées de leurs activités personnelles en ligne sont collectées, achetées et vendues en masse. À quoi sert de masquer son adresse IP si l’historique complet de notre navigation peut être reconstitué par des algorithmes alimentés par l’intelligence artificielle ?

Combattre ces pratiques de collecte et d’exploitation des données n’est pas simple, et il est raisonnable que la technologie VPN avancée conçue spécifiquement pour protéger votre confidentialité nécessite un certain degré d’investissement de la part des utilisateurs. Après tout, si quelqu’un proposait d’installer un système de sécurité avec caméra gratuit chez vous, accepteriez-vous les techniciens sans réfléchir à deux fois ?

Lorsque tout logiciel est proposé gratuitement, il y a probablement des coûts cachés. Ces coûts pourraient être aussi simples qu’un service VPN plus lent ou plus limité. Mais généralement, les coûts ne sont pas aussi acceptables, comme la publicité injectée dans votre expérience de navigation et personnalisée grâce à une analyse algorithmique de toutes vos habitudes en ligne. Pire encore est le fait que ces mêmes enregistrements de métadonnées sont régulièrement vendus à un vaste marché clandestin avide d’adresses IP et de courriels, de journaux de trafic et de schémas de comportement individuels. Et maintenant, il y a la réelle possibilité qu’un VPN gratuit ait transformé depuis longtemps votre ordinateur en proxy zombie pour des pornographes infantiles ou des fraudeurs.

La véritable confidentialité en ligne devrait être un droit fondamental, mais la réalité est que c’est une bataille continue. La gagner pour tout le monde dans le monde signifie d’abord être vigilant contre les menaces réelles comme 911 S5, et aussi choisir les bons outils pour nous défendre. Les VPN gratuits ne sont pas ces outils.

En savoir plus sur les menaces actuelles pour la confidentialité en suivant les dispatches de Nym !

Nym Dispatch

Ceci est le premier article de la série Nym Dispatch qui plonge en profondeur dans l’écosystème de la confidentialité en ligne et sociale. Restez à l’écoute pour en savoir plus sur les risques et les tactiques lucratives de l’économie de la surveillance en ligne, en commençant par le marché des VPN gratuits. La série couvrira les pratiques de journalisation des VPN gratuits ; leurs contrats de consentement délibérément vagues ; comment, pourquoi et à qui ils vendent nos données ; et leurs pratiques publicitaires invasives.