Home Technologie et scienceDes centaines de VPN gratuits n’offrent «aucune véritable confidentialité», prévient les chercheurs – le vôtre?

Des centaines de VPN gratuits n’offrent «aucune véritable confidentialité», prévient les chercheurs – le vôtre?

by Thomas Caron

Publié le 6 octobre 2025 à 16h42. Une étude récente révèle des failles de sécurité préoccupantes dans de nombreux réseaux privés virtuels (VPN) gratuits, mettant en péril la confidentialité et la sécurité des données des utilisateurs.

  • Une analyse de 800 VPN gratuits a mis en évidence des problèmes de sécurité graves, allant de la collecte de données suspecte à des vulnérabilités exploitables.
  • Plus de 65 % des applications VPN gratuites présentent des comportements risqués, notamment la capture d’écrans et l’accès à des autorisations excessives.
  • Les chercheurs soulignent l’importance de choisir un fournisseur VPN réputé pour protéger efficacement sa vie privée en ligne.

Les VPN sont devenus des outils essentiels pour de nombreux internautes soucieux de protéger leurs données personnelles et de naviguer en toute confidentialité. Pourtant, une nouvelle étude menée par Zimperium ZLABS met en lumière un risque insoupçonné : la sécurité de nombreux VPN gratuits est loin d’être garantie. L’analyse de près de 800 applications disponibles sur Android et iOS révèle des failles préoccupantes qui pourraient compromettre la sécurité des utilisateurs.

Selon les chercheurs, un grand nombre de ces applications ne fournissent pas la confidentialité promise et peuvent même exposer les utilisateurs à des menaces en ligne. L’étude souligne que les utilisateurs accordent une confiance importante à ces services, et qu’un manque de sécurité de la part du fournisseur annule l’intérêt même de l’utilisation d’un VPN.

Les résultats de cette recherche confirment les inquiétudes déjà exprimées quant aux pratiques de certains fournisseurs de VPN gratuits, qui peuvent être tentés de monétiser les données de leurs utilisateurs ou de mener des activités malveillantes. Seuls quelques VPN gratuits semblent réellement accorder la priorité à la sécurité de leurs utilisateurs, évitant ainsi les pratiques de collecte de données douteuses.

L’équipe de Zimperium ZLABS a publié les résultats de son étude, qui a examiné en détail la sécurité de ces services VPN. Les conclusions sont alarmantes : de nombreuses applications présentent des vulnérabilités qui pourraient permettre à des acteurs malveillants d’accéder aux données personnelles des utilisateurs.

Des comportements à risque

Les chercheurs ont identifié cinq catégories de problèmes de sécurité. 65,13 % des applications analysées présentent des comportements risqués et des failles au niveau des API. Ces failles incluent la possibilité de capturer des captures d’écran secrètes, des lancements d’activités non sécurisés qui pourraient forcer l’application dans un état vulnérable, des injections d’entrée utilisateur et une exposition potentielle des données.

De plus, des faiblesses ont été détectées dans les systèmes de fournisseurs de contenu exportés, ce qui pourrait entraîner un vol de données et une escalade des privilèges.

Des autorisations problématiques

La deuxième catégorie de problèmes concerne les autorisations demandées par les applications. Près de 41 % des applications examinées sollicitent des autorisations qui dépassent largement leur fonctionnalité principale. Parmi ces autorisations, on trouve la possibilité d’agir en tant qu’authentificateur de compte Android, ainsi que l’accès permanent à la localisation de l’appareil, même lorsque le VPN n’est pas actif.

Certaines applications demandent également l’autorisation “Read-log”, qui pourrait exposer une grande quantité de données sur l’utilisateur, notamment ses actions, les événements système et les activités des applications.

« Une application normale et légitime n’a pas besoin de lire les journaux à l’échelle du système. Sa présence doit être considérée comme un indicateur fort d’intention malveillante. »

Étude Zimperium ZLABS

Sur iOS, 30 applications VPN ont également demandé des droits privés, qui dépassent largement le champ d’action d’un service VPN. Ces droits pourraient permettre à l’application d’accéder à des API privées, de voler des données et potentiellement d’exécuter du code malveillant sur l’appareil.

Des bibliothèques obsolètes

Un petit nombre d’applications ont été identifiées comme utilisant des bibliothèques tierces obsolètes, qui n’ont pas été corrigées contre des vulnérabilités connues. Ce manque de maintenance des correctifs pourrait fournir une voie d’accès directe aux appareils des utilisateurs pour les acteurs malveillants.

Par exemple, trois applications utilisent une bibliothèque OpenSSL obsolète, les rendant vulnérables à la faille Heartbleed (2014), une vulnérabilité open source qui a affecté des millions de sites web.

Autres problèmes

Des défauts de sécurité au niveau des canaux de communication ont également été détectés. 1 % des applications étudiées présentent une faiblesse face aux attaques de type “man-in-the-middle” (MITM), ce qui annule l’intérêt du cryptage et de la création d’un tunnel de communication sécurisé.

ZLABS a également constaté sur iOS que les étiquettes étaient souvent trompeuses ou manquantes dans les services VPN gratuits. Bien qu’Apple exige que les développeurs justifient les demandes d’accès aux API, l’analyse de l’équipe a révélé des “écarts généralisés et des non-conformités”. Dans 25 % des cas où un étiquetage incorrect a été constaté, les applications “n’incluaient pas du tout de manifeste de confidentialité valide”.

Cette étude de Zimperium ZLABS fait écho à une étude académique récente qui suggérait des liens cachés entre les services VPN gratuits, avec diverses tactiques utilisées pour dissimuler les connexions entre les services apparemment indépendants. Cette recherche a également identifié des problèmes de sécurité tels que des identifiants codés en dur et des protocoles de cryptage faibles.

Quels VPN gratuits sont sûrs ?

ZDNET teste rigoureusement les VPN pour aider les lecteurs à faire des choix éclairés. Pour une liste des VPN gratuits recommandés par ZDNET, consultez notre sélection des meilleurs VPN gratuits.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.