SuperVPN : des millions de données personnelles sans protection

SuperVPN : des millions de données personnelles sans protection

Attention aux VPN que vous choisissez pour vous protéger, car tous ne sont pas fiables ! C'est le cas du très populaire SuperVNP qui expose les données de millions d'utilisateurs sur Internet, à la merci des cybercriminels.

De plus en plus en la mode, les VPN sont des outils pratiques pour "privatiser" une connexion Internet en permettant notamment de chiffrer les données qui circulent – et donc de protéger des informations sensibles comme des identifiants, des mots de passe, des numéros de comptes bancaires, etc. – et en changeant d'adresse IP, une fonction utile pour contourner les limitations géographiques des  plateformes de streaming par exemple. Mais s'ils sont faciles à installer et à utiliser, tous ne se valent pas, loin de là ! Et contrairement à ce qu'ils promettent, certains ne sont absolument pas dignes de confiance.

C'est le cas d'un grand nombre de VPN gratuits, souvent peu efficaces, qui créent parfois eux-mêmes des vulnérabilités sur les appareils. Pire encore, on en trouve sur le Play Store qui, sous couvert d'une application légitime, contiennent des malwares chargés de dérober un grand nombre de données personnelles. Cette fois-ci, c'est SuperVPN, pourtant téléchargé plus de 100 millions de fois, qui se trouve – de nouveau – sous le feu des critiques. C'est bien simple, une base non chiffrée de plus de 360 millions de données appartenant à ses utilisateurs est en accès libre sur le Web, et peut donc à tout moment tomber entre les mains de personnes malveillantes, si ce n'est déjà fait !

SuperVPN : des données sensibles à la vue de tous

Comme le rapporte VPNOverview, Jeremiah Fowler, le cofondateur du collectif de recherche en cybersécurité Security Discovery, a découvert sur Internet une base de données non protégée de 133 Go liée à SuperVPN. Une base facilement consultable, donc, contenant de nombreuses informations sensibles : adresses IP, adresses mail, données de géolocalisation, historiques de sites Web visités, clés cryptographiques privées, modèles d'appareils utilisateurs, systèmes d'exploitation, détails des activités en ligne, demandes de remboursement… En même temps, lorsque l'on regarde leur politique de confidentialité, on se rend compte que, pour un service censé protéger les données de ses utilisateurs, l'entreprise en collecte beaucoup… Ces informations peuvent être particulièrement utiles aux cybercriminels pour monter des opérations malveillantes, comme des usurpations d'identité ou des campagnes de phishing convaincantes.

Attention, il existe deux versions de SuperVPN : la première, disponible sur leGoogle  Play Store, est baptisée "SuperVPN Fast VPN Client" et est éditée par SuperSoftTech, tandis que la seconde, sur l'App Store d'Apple, se nomme "Super VPN - Better VPN Master" et est éditée par Qingdao Leyou Hudong Network Technology.  Les deux entreprises auxquelles est rattaché SuperVPN n'ont pour le moment pas communiqué au sujet de cette nouvelle fuite – il est déjà difficile de savoir s'il s'agit de la même entité.

SuperVPN : un service populaire gratuit au lourd passif

Pourtant, ce n'est pas la première fois que SuperVPN est épinglé pour ses problèmes de sécurité et de confidentialité. En 2020, ce populaire VPN avait été retiré du Play Store en raison d'une faille qui avait permis de nombreux piratages et qui n'avait pas été corrigée par les développeurs. Ensuite, en mars 2021, plus de 21 millions de données personnelles (10 Go) des utilisateurs de SuperVPN, GeckoVPN et ChatVPN avaient été mis en vente sur un forum, avant de ressortir sur la messagerie instantanée Telegram en mai 2022.

Aussi, il est vivement conseillé de supprimer immédiatement SuperVPN si vous l'avez installé sur un appareil. Faites bien attention, car les VPN gratuits ont tendance à revendre certaines données personnelles à des tiers – c'est même la base de leur modèle économique –, sans être forcément transparents à ce sujet – ils dissimulent par exemple leur origine, leurs activités et l'emplacement de leur siège social, et possèdent des politiques de confidentialité opaque (voir notre article). Aussi, avant d'en utiliser un, veillez à bien vérifier certains éléments, comme un discours peu clair sur les données collectées par le fournisseur du service ou l'absence de mentions claires sur le propriétaire et son siège social. Vous pouvez également consulter notre sélection de services de VPN gratuits.