Télécharger des réseaux privés virtuels (VPN) gratuits, ça peut être alléchant pour les mordus de téléséries étrangères et d’événements sportifs comme le récent Tour de France. Pourtant, des chercheurs québécois ont dévoilé un réseau de 120 000 proxys résidentiels malveillants cachés sous ce service.
L’ordinateur infecté peut alors devenir « un point de relais pour faire de la fraude et d’autres actions malveillantes, et sans que le propriétaire de l’ordinateur le sache », explique le professeur au Département d’informatique de la Faculté des sciences de l’Université de Sherbrooke, Marc Frappier. Il se pourrait même qu’il soit impossible de retrouver la source du méfait, puisque celui-ci semblerait avoir été commis à partir de l’adresse IP résidentielle du propriétaire de l’ordinateur.
Les chercheurs du Centre de formation en technologies de l’information (CeFTI) ont ainsi mis à jour ce service illégitime de proxys résidentiel, au sein de 120 000 ordinateurs.
À leur insu, les propriétaires de ces ordinateurs deviennent partie d’un réseau. Les chercheurs ont en effet découvert qu’en téléchargeant l’un des deux VPN gratuits disponibles sur Internet (MaskVPN et DewVPN), les utilisateurs étaient inscrits, malgré eux, à un réseau de service de proxys, 911.re : leur adresse IP était alors disponible pour utilisation par d’autres membres de ce réseau.
Réseau potentiellement malveillant
C’est en analysant le trafic d’ordinateurs virtuels de différents systèmes d’exploitation ayant téléchargé ces VPN qu’ils ont pu se rendre compte de la vulnérabilité de ceux qui y souscrivaient. « L’ordinateur infecté a généré un trafic (entrant et sortant) qui nous montrait que le lien logiciel du VPN était un leurre. Cela renvoyait vers un service d’abonnés à ce réseau, tous susceptibles d’utiliser l’ordinateur résidentiel », explique Philippe-Antoine Plante, étudiant à la maîtrise en informatique et co-auteur de l’étude.
Il a suffi de 15 minutes de connexion pour rendre disponible l’ordinateur infecté aux membres de 911.re. Et à partir de ce moment, il a été possible pour les chercheurs d’identifier des nœuds (nodes) ou relais informatiques infectés. « Cela nous a permis de comprendre l’infrastructure mise en place », résume Guillaume Joly, étudiant au baccalauréat en informatique et troisième co-auteur de l’étude. Ces malversations se sont produites sur des ordinateurs PC munis du logiciel d’exploitation Windows.
Impossible toutefois de remonter à la source des requêtes, puisque le proxy résidentiel sert de paravent pour les demandes malveillantes de tous ceux qui sont abonnés au réseau. « Par ce 911.re, les usagers sont anonymes et pourraient aller visiter des sites pornographiques, par exemple, et ce trafic semblerait provenir de chez la personne qui a installé le VPN », poursuit M Joly.
Les relais s’enchainent souvent entre différents pays et serveurs d’hébergement, ce qui empêche de savoir d’où provient la requête originale.
Ce que confirme le Pr Frappier. « Se cacher derrière une adresse IP d’autrui ou sous un anonymat (comme celui offert par la plateforme Telegram) est un phénomène en pleine expansion. Cela peut servir à émettre des requêtes pas recommandables, ou simplement à acheter des crypto-monnaies, qu’on veut dissimuler des gouvernements ou des institutions. »
Les chercheurs ont présenté leur découverte à des services policiers d’ici et d’ailleurs – la Sûreté du Québec, la GRC, Homeland Security (États-Unis) et la police fédérale australienne – qui s’inquiètent de ce type de réseau, parce qu’il complique leurs enquêtes pour retracer la source d’un crime.
Sans compter que cela rend l’ordinateur, et les autres appareils connectés au même réseau, également susceptibles d’être piratés. « C’est un vrai accès à un réseau d’ordinateurs zombies, qui sont utilisés alors à leur insu pour naviguer. Mais les abonnés peuvent aussi faire ce qu’ils veulent avec l’ordinateur infecté, car il n’y a pas de filtre », relève Philippe-Antoine Plante.
Se méfier des applications gratuites
Nous utilisons souvent des VPN dans le cadre de notre travail et de nos loisirs, relève Frédéric Cuppens, professeur au Département de génie informatique et génie logiciel de Polytechnique Montréal. La pandémie, avec la hausse du télétravail, l’a rendu encore plus répandu. « Cela facilite le travail à distance de manière sécurisée. Cela permet aussi de déjouer la géolocalisation. Il y a différents usages mais le plus souvent, cela permet de regarder des émissions de télévisions nationales alors qu’on est hors du pays. »
Toutefois, le spécialiste en cybersécurité des infrastructures critiques, qui n’a pas participé à cette étude, souligne lui aussi qu’il importe de se méfier des applications gratuites. « Si vous ne le payez pas au départ, vous allez le payer d’une autre façon – publicités, performance, etc. – et dans ce cas, c’est par la connexion à ce service qui sera installée à votre insu et créera une porte dérobée pour les autres membres du réseau.»
« Rien n’est jamais gratuit sur Internet », commente aussi Jean-Yves Ouattara, l’associé de recherche du Pr Cuppens. Il rapporte que des cas similaires ont été observés à la suite des protestations à Hong Kong contre le projet de loi facilitant les extraditions vers la République populaire de Chine.
Beaucoup de gens se procuraient des VPN gratuits pour naviguer librement et de manière anonyme, cela a mené à des fuites de données personnelles chez sept compagnies. Et les utilisateurs moins aguerris ont vu leurs données exposées à tous sur Internet.
Les applications gratuites pour le téléphone ou les objets connectés pourraient aussi montrer de telles failles de sécurité. « L’accès à la caméra est souvent peu protégé, muni d’un mot de passe faible, et il est ainsi facile de corrompre les objets connectés et d’installer une porte arrière, ce qui peut être tout aussi dangereux », rappelle le Pr Cuppens.
La solution est de mieux sécuriser ses appareils et de privilégier les applications payantes et reconnues. « Il y a des listes d’évaluation de ce type de service », encore que « la sécurité absolue n’existe pas», convient M Ouattara.
Il importe aussi de désinstaller les applications que l’on pense malicieuses et de mettre à jour ses antivirus et pare-feu. L’Autorité canadienne pour les enregistrements Internet (ACEI) a lancé en 2020 un service de pare-feu DNS gratuit, appelé Bouclier canadien.
« Il faudra mettre la liste noire des adresses IP à jour pour inclure 911.re, commente Frédéric Cuppens. C’est ce qui rend ce genre d’étude intéressant : faire progresser notre connaissance sur les possibles malversations et aussi, pouvoir faire de la sensibilisation auprès du public sur la nécessité de faire attention aux services gratuits. »
