Cybersécurité : un quart des applications VPN mobiles menacent la vie privée

Longtemps perçues comme un bouclier indispensable pour protéger la vie privée et sécuriser les échanges en ligne, les applications VPN mobiles révèlent aujourd’hui leur revers inquiétant. Selon une étude menée par zLabs, le laboratoire de recherche de Zimperium, spécialiste mondial de la cybersécurité mobile, près d’une application VPN gratuite sur quatre ne respecte pas les standards de confidentialité. Un constat alarmant, qui expose aussi bien les particuliers que les entreprises à des risques considérables.

Des chiffres qui inquiètent

Sur les 800 applications VPN gratuites analysées sur Android et iOS, les chercheurs ont dressé un constat préoccupant :

25 % des VPN iOS n’ont pas de politique de confidentialité valide, en violation des règles imposées par Apple. Les utilisateurs ignorent donc ce que deviennent leurs données.

6 % réclament des autorisations dites "privées", donnant accès à des informations système sensibles auxquelles une application tierce ne devrait jamais accéder.

Plusieurs applications embarquent encore une version obsolète d’OpenSSL vulnérable à Heartbleed, une faille critique découverte… en 2014.

De nombreuses applications exigent des autorisations excessives, comme l’accès au micro, à la géolocalisation ou aux journaux système, sans justification apparente.

Certaines vont jusqu’à autoriser la capture d’écran de l’interface, ouvrant la porte à une surveillance intrusive par des éditeurs malveillants ou des cybercriminels.

En clair, des applications censées renforcer la confidentialité créent en réalité de nouvelles portes d’entrée pour la surveillance et l’exploitation des données.

Une menace directe pour les entreprises

Si le risque est déjà significatif pour un utilisateur individuel, il prend une dimension critique dans un cadre professionnel. L’adoption massive du BYOD (Bring Your Own Device) qui permet aux salariés d’utiliser leurs appareils personnels à des fins professionnelles, fait peser une menace directe sur la sécurité des entreprises.

« Ces applications promettent une protection, mais créent au contraire de nouveaux accès à la surveillance, au vol de données et à l'exploitation. Dans un contexte BYOD, un VPN non sécurisé n'est pas seulement un problème pour les consommateurs mais une menace majeure qui peut compromettre la sécurité de l’ensemble de l'entreprise », alerte Ignacio Montamat, VP of Security Research chez Zimperium.

Politiques de confidentialité trompeuses

Au-delà des vulnérabilités techniques, Zimperium met en lumière un décalage inquiétant entre les promesses faites aux utilisateurs et la réalité. De nombreuses applications affichent des politiques de confidentialité rassurantes, mais collectent en pratique bien plus de données qu’annoncé, ou minimisent leur usage des API sensibles. Une stratégie qui trompe à la fois les consommateurs et les responsables IT, persuadés de choisir une solution fiable.

L’appel à la vigilance

Pour Zimperium, le message est clair : les entreprises doivent cesser de considérer les VPN mobiles comme des outils « fiables par défaut ». Les responsables de la sécurité sont invités à contrôler rigoureusement les applications autorisées dans les environnements professionnels, à surveiller en continu les risques liés aux bibliothèques obsolètes, au chiffrement faible ou aux autorisations abusives, et à exiger une transparence totale sur les politiques de confidentialité.

