Des chercheurs du Centre de formation aux technologies de l’information (CeFTI) ont ainsi informé ce service proxy illégal à l’intérieur de 120 000 ordinateurs. Sans le savoir, les propriétaires de ces ordinateurs font partie d’un réseau. Les chercheurs ont découvert qu’en téléchargeant l’un des deux VPN gratuits disponibles sur Internet (MaskVPN et DewVPN), les utilisateurs s’inscrivaient malgré eux à un réseau de services proxy, le 911.re : leur adresse IP était alors disponible à l’usage. par d’autres membres de ce réseau.
Réseau potentiellement malveillant
En analysant le trafic des machines virtuelles de différents systèmes d’exploitation qui téléchargeaient ces VPN, ils ont pu se rendre compte de la vulnérabilité de ceux qui y souscrivaient. « L’ordinateur infecté a généré du trafic (entrant et sortant) qui nous a indiqué que la connexion du logiciel VPN était un leurre. Il s’agissait d’un service d’abonnés à ce réseau, qui utilisent probablement tous l’ordinateur de la maison », explique Philippe-Antoine Plante, étudiant à la maîtrise en informatique et coauteur de l’étude. Il n’a fallu que 15 minutes de temps de connexion pour rendre l’ordinateur infecté accessible aux membres du 911.re. Et à partir de ce moment, il était possible pour les chercheurs d’identifier des nœuds (nœuds) ou des relais informatiques infectés. “Cela nous a permis de comprendre l’infrastructure qui a été créée”, résume Guillaume Joly, étudiant de premier cycle en informatique et troisième co-auteur de l’étude. Ces détournements de fonds ont eu lieu sur des ordinateurs exécutant des logiciels Windows. Cependant, il est impossible de retracer les requêtes jusqu’à la source, car le proxy domestique sert d’écran pour les requêtes malveillantes de toute personne rejoignant le réseau. “Grâce à ce 911.re, les utilisateurs sont anonymes et pourraient visiter des sites pornographiques, par exemple, et ce trafic semble provenir de la personne qui a installé le VPN”, poursuit M Joly. Les relais sont souvent enchaînés entre différents pays et serveurs d’hébergement, ce qui rend impossible de savoir d’où provient la demande d’origine. Ceci est confirmé par le professeur Frappier. « Se cacher derrière l’adresse IP de quelqu’un d’autre ou sous anonymat (comme celui offert par la plate-forme Telegram) est un phénomène croissant. Cela peut être utilisé pour émettre des demandes de spam ou simplement pour acheter des crypto-monnaies, que l’on souhaite cacher aux gouvernements ou aux institutions. » Les chercheurs ont présenté leur découverte à des corps policiers d’ici et d’ailleurs – la Sûreté du Québec, la GRC, la Homeland Security (États-Unis) et la police fédérale australienne – qui s’inquiètent de ce type de réseau parce qu’il complique leurs enquêtes pour retrouver la source de un crime. Sans oublier que cela rend l’ordinateur et les autres appareils connectés au même réseau également susceptibles d’être piratés. « C’est un véritable accès à un réseau d’ordinateurs zombies, qui sont ensuite utilisés sans le savoir pour naviguer. Mais les abonnés peuvent aussi faire ce qu’ils veulent avec l’ordinateur infecté car il n’y a pas de filtre », note Philippe-Antoine Plante.
Méfiez-vous des applications gratuites
Nous utilisons souvent des VPN pour notre travail et nos loisirs, note Frédéric Cuppens, professeur au Département de génie informatique et logiciel de Polytechnique Montréal. La pandémie, avec l’essor du télétravail, l’a rendu encore plus répandu. « Cela facilite le travail à distance de manière sécurisée. Cela permet également de bloquer la géolocalisation. Il existe différentes utilisations, mais la plupart du temps, cela vous permet de regarder des programmes de télévision nationaux lorsque vous êtes à l’extérieur du pays. » Cependant, l’expert en cybersécurité des infrastructures critiques, qui n’a pas participé à cette étude, souligne également qu’il est important d’être prudent avec les applications gratuites. “Si vous ne payez pas d’avance, vous allez le payer d’une autre manière – publicité, performance, etc. – et dans ce cas, la connexion à ce service sera installée à votre insu et créera une porte dérobée pour les autres membres du réseau. “Rien n’est jamais gratuit sur Internet”, commente aussi Jean-Yves Ouattara, partenaire scientifique du professeur Cuppens. Il rapporte que des cas similaires ont été observés à la suite de manifestations à Hong Kong contre un projet de loi visant à faciliter la publication en République populaire de Chine. De nombreuses personnes obtenaient des VPN gratuits pour naviguer librement et de manière anonyme, ce qui a entraîné des fuites de données personnelles dans sept entreprises. Et les utilisateurs moins expérimentés voient leurs données exposées à tout le monde sur Internet. Des applications gratuites pour votre téléphone ou vos objets connectés pourraient également présenter de telles failles de sécurité. “L’accès aux caméras est souvent mal protégé, pourvu d’un mot de passe faible, et il est donc facile de trafiquer les objets connectés et d’installer une porte dérobée, ce qui peut être tout aussi dangereux”, rappelle le professeur Cuppens. La solution est de mieux sécuriser ses appareils et de privilégier les applications payantes et reconnues. “Il existe des check-lists pour ce genre de service”, même si “il n’y a pas de sécurité absolue”, acquiesce M. Ouattara. Il est également important de désinstaller les applications que vous pensez être malveillantes et de mettre à jour votre antivirus et votre pare-feu. L’Autorité canadienne pour les enregistrements Internet (ACEI) a lancé un service de pare-feu DNS gratuit en 2020, appelé Canadian Shield. “Nous devrions mettre à jour la liste noire des IP pour y inclure le 911.re”, commente Frédéric Cuppens. C’est ce qui rend ce genre d’étude intéressant : faire avancer nos connaissances sur les détournements éventuels et aussi pouvoir sensibiliser le public à la nécessité de prêter attention aux services gratuits. »
