Votre ordinateur héberge-t-il un VPN malveillant?

VPB
Les tentatives de pirater des ordinateurs pour effectuer des opérations anonymement ou sous une fausse identité sont en pleine expansion. Photo: iStock.com/gorodenkoff
Partagez
Tweetez
Envoyez

Publié 23/08/2022 par Isabelle Burgun

Télécharger des réseaux privés virtuels (VPN) gratuits, ça peut être alléchant pour les mordus de téléséries étrangères et d’événements sportifs comme le Tour de France. Cependant, des chercheurs québécois ont dévoilé un réseau de 120 000 proxys résidentiels malveillants cachés sous ce service.

L’ordinateur infecté peut alors devenir «un point de relais pour faire de la fraude et d’autres actions malveillantes… sans que le propriétaire de l’ordinateur le sache». C’est ce qu’explique le professeur au Département d’informatique de la Faculté des sciences de l’Université de Sherbrooke, Marc Frappier.

VPN
Marc Frappier.

Il se pourrait même qu’il soit impossible de retrouver la source du méfait, puisque celui-ci semblerait avoir été commis à partir de l’adresse IP résidentielle du propriétaire de l’ordinateur.

120 000 ordinateurs piratés

Les chercheurs du Centre de formation en technologies de l’information (CeFTI) ont ainsi mis à jour ce service illégitime de proxys résidentiels, au sein de 120 000 ordinateurs.

À leur insu, les propriétaires de ces ordinateurs font partie d’un réseau.

Publicité

Les chercheurs ont en effet découvert qu’en téléchargeant l’un des deux VPN gratuits disponibles sur Internet (MaskVPN et DewVPN), les utilisateurs étaient inscrits, malgré eux, à un réseau de service de proxys, 911.re. Leur adresse IP était alors disponible pour utilisation par d’autres membres de ce réseau.

Réseau potentiellement malveillant

C’est en analysant le trafic d’ordinateurs virtuels de différents systèmes d’exploitation ayant téléchargé ces VPN qu’ils ont pu se rendre compte de la vulnérabilité de ceux qui y souscrivaient.

«L’ordinateur infecté a généré un trafic (entrant et sortant) qui nous montrait que le lien logiciel du VPN était un leurre. Ce stratagème renvoyait à un service d’abonnés à ce réseau, tous susceptibles d’utiliser l’ordinateur résidentiel», explique Philippe-Antoine Plante, étudiant à la maîtrise en informatique et coauteur de l’étude.

Il aura suffi aux chercheurs de se connecter pendant 15 minutes pour rendre disponible l’ordinateur infecté aux membres de 911.re. Et à partir de ce moment, il leur a été possible d’identifier des nœuds (nodes) ou relais informatiques infectés.

blogue
Grâce à une application gratuite que vous avez téléchargée, votre ordinateur peut être utilisé par des inconnus.

Malversations sur PC avec Windows

«Cela nous a permis de comprendre l’infrastructure mise en place», résume Guillaume Joly, étudiant au baccalauréat en informatique et troisième coauteur de l’étude. Ces malversations se sont produites sur des ordinateurs PC munis du logiciel d’exploitation Windows.

Publicité

Impossible toutefois de remonter à la source des requêtes, puisque le proxy résidentiel sert de paravent pour les demandes malveillantes de tous ceux qui sont abonnés au réseau.

«Par ce 911.re, les usagers anonymes pourraient aller visiter des sites pornographiques, par exemple, et ce trafic semblerait provenir du propriétaire de l’ordinateur sur lequel a été installé le VPN», poursuit M Joly.

Fausse identité ou anonymat

Les relais s’enchaînent souvent entre différents pays et serveurs d’hébergement, ce qui empêche de savoir d’où provient la requête originale.

Ce que confirme M. Frappier. «Se cacher derrière une adresse IP d’autrui ou sous un anonymat (comme celui offert par la plateforme Telegram) est un phénomène en pleine expansion. Cela peut servir à émettre des requêtes non recommandables, ou simplement à acheter des cryptomonnaies, que l’on veut dissimuler aux gouvernements ou aux institutions.»

Les chercheurs ont présenté leur découverte à des services policiers d’ici et d’ailleurs — la Sûreté du Québec, la GRC, Homeland Security (États-Unis) et la police fédérale australienne — qui s’inquiètent de ce type de réseau parce qu’il complique leurs enquêtes pour retracer la source d’un crime.

Publicité

Sans compter que cela rend l’ordinateur, et les autres appareils connectés au même réseau, également susceptibles d’être piratés. «C’est un vrai accès à un réseau d’ordinateurs zombies, qui sont utilisés à leur insu pour naviguer. Mais les abonnés peuvent aussi faire ce qu’ils veulent avec l’ordinateur infecté, car il n’y a pas de filtre», relève Philippe-Antoine Plante.

Se méfier des applications gratuites

Nous utilisons souvent des VPN dans le cadre de notre travail et de nos loisirs, relève Frédéric Cuppens, professeur au Département de génie informatique et génie logiciel de Polytechnique Montréal. La pandémie, avec la hausse du télétravail, l’a rendu encore plus répandu.

VPN
Frédéric Cuppens.

«Cela facilite le travail à distance de manière sécurisée. Cela permet aussi de déjouer la géolocalisation. Il y a différents usages, mais le plus souvent, cela permet de regarder des émissions de télévisions nationales alors qu’on est hors du pays.»

Toutefois, le spécialiste en cybersécurité des infrastructures critiques, qui n’a pas participé à cette étude, souligne lui aussi qu’il importe de se méfier des applications gratuites.

«Si vous ne le payez pas au départ, vous allez le payer d’une autre façon — publicités, performance, etc. — et dans ce cas, c’est par la connexion à ce service qui sera installée à votre insu et créera une porte dérobée pour les autres membres du réseau.»

Publicité

Rien n’est jamais gratuit

«Rien n’est jamais gratuit sur Internet», commente aussi Jean-Yves Ouattara, l’associé de recherche de M. Cuppens. Il rapporte que des cas similaires ont été observés à la suite des protestations à Hong Kong contre le projet de loi facilitant les extraditions vers la République populaire de Chine.

Beaucoup de gens se procuraient des VPN gratuits pour naviguer librement et de manière anonyme. Cela a mené à des fuites de données personnelles chez sept compagnies. Et les utilisateurs moins aguerris ont vu leurs données exposées à tous sur Internet.

Les applications gratuites pour le téléphone ou les objets connectés pourraient aussi montrer de telles failles de sécurité. «L’accès à la caméra est souvent peu protégé, muni d’un mot de passe faible, et il est ainsi facile de corrompre les objets connectés et d’installer une porte arrière, ce qui peut être tout aussi dangereux», rappelle M. Cuppens.

Sécuriser ses appareils

La solution est de mieux sécuriser ses appareils et de privilégier les applications payantes et reconnues. «Il y a des listes d’évaluation de ce type de service»… Quoique «la sécurité absolue n’existe pas», convient M. Ouattara.

Publicité

Il importe aussi de désinstaller les applications que l’on pense malicieuses et de mettre à jour ses antivirus et pare-feu. L’Autorité canadienne pour les enregistrements Internet (ACEI) a lancé en 2020 un service de pare-feu DNS gratuit, appelé Bouclier canadien.

«Il faudra mettre à jour la liste noire des adresses IP pour inclure 911.re», commente Frédéric Cuppens. «C’est ce qui rend ce genre d’étude intéressante: faire progresser notre connaissance sur les possibles malversations et aussi, pouvoir faire de la sensibilisation auprès du public sur la nécessité de faire attention aux services gratuits.»

Auteur

  • Isabelle Burgun

    Journaliste à l'Agence Science-Presse, média indépendant, à but non lucratif, basé à Montréal. La seule agence de presse scientifique au Canada et la seule de toute la francophonie qui s'adresse aux grands médias plutôt qu'aux entreprises.

Partagez
Tweetez
Envoyez
Publicité

Pour la meilleur expérience sur ce site, veuillez activer Javascript dans votre navigateur