⚠️ Tous les VPN ne se valent pas...

Message de service : Comme certains l’ont peut-être remarqué, cette newsletter n’est pas parue depuis trois semaines. Ce n’était pas trois semaines de vacances, mais plutôt de travail. J’ai été couvrir deux conférences de cybersécurité, Black Hat USA et DEFCON, toutes deux à Las Vegas, du 2 au 10 août. Depuis cette ville infernale, j’ai assisté à plusieurs présentations sur des recherches qui seront certainement relayées ici. Puis il y a eu USENIX Security, une conférence qui s’est déroulée à Seattle du 13 au 15 août - je n’y ai pas assisté IRL mais j’ai suivi la conférence de chez moi et lu quelques articles intéressants.

Courts-circuits

🆕 Les dernières perturbations de l’internet

Les derniers blocages en date :

Irak 🇮🇶 Cloudflare a confirmé le 26 août que des coupures internet avaient commencé pendant les périodes d’examen dans les régions non kurdes d’Irak. Ces coupures devraient être appliquées tous les jours de la semaine, sauf le vendredi, de 6 heures à 8 heures du matin jusqu’au 13 septembre.

Russie 🇷🇺 L’épisode “resserrage de vis” sur le contrôle de l’internet russe se poursuit et l’on en sait plus sur la stratégie du Kremlin. Alors que l’on rapportait il y a trois semaines que le pays aurait imposé plus de 650 coupures au mois de juin, selon Na Svyazi, une organisation qui documente les violations des droits numériques dans le pays, ce chiffres serait monté à 1,470 coupures en juillet, toujours d’après la même organisation - 2,099 si l’on en croît certains sites ukrainiens comme Dev.u ou Odessa Journal.

Ces coupures ont également été ressenties en Crimée occupée, avec notamment des distributeurs de billets et des terminaux de paiements indisponibles dans certains magasins, a rapporté sur Telegram le Centre national de résistance, organisme créé en mars 2022 par les forces d'opérations spéciales, l'une des cinq branches des forces armées ukrainiennes.

Le gouverneur de Sébastopol pour la Russie, Mikhaïl Razvojaïev, a déclaré que les périodes temporaires de restrictions de l’internet mobile pourraient s'allonger, et qu'une coupure internet totale pourrait durer pour une période indéterminée.

Dans les colonnes d’Associated Press, la chercheuse de Human Rights Watch, Anastasiia Kruope, décrit l’approche de Moscou pour contrôler internet comme une “mort par mille coupures”.

Quant aux blocages potentiels de WhatsApp et Telegram, ils se confirment - en tout cas en partie. Le 13 août, Roskomnadzor, le régulateur russe des télécoms, a confirmé qu'il allait restreindre les appels vocaux et vidéos des deux applications, une mesure qualifiée d' “anti-fraude” permettant de “protéger les citoyens”, évidemment.

Les autorités visent notamment les fraudeurs ciblant les Russes et les recrutements pour des actes de “sabotage et terrorisme”, rapportent l’agence gouvernmentale russe TASS et le média anglophone et russophone d’opposition russe The Insider. Roskomnadzor accuse les deux plateformes d’avoir ignoré ses demandes pour mettre en place des mesures de contrôle. Parallèlement, le député Anton Nemkin les critique pour leur non-respect prolongé des lois russes, notamment en ne supprimant pas les contenus interdits. Il souligne aussi une hausse de 250% des fraudes sur WhatsApp en 2024, selon The Moscow Times.

Mais ce n’est pas tout : le 21 août, le gouvernement russe a expliqué sur Telegram qu'une loi votée en juillet dernier oblige les distributeurs de smartphone à préinstaller le magasin d'applications RuStore, développé par l'entreprise russe VK. Les téléphones Android et HarmonyOS (le système d’exploitation de Huawei) en Russie ont déjà le store pré-installé.Apple et Xiaomi devront faire de même pour les iPhones et les smartphones sous HyperOS, respectivement, dès le 1er septembre.

Max, application concurrente à WhatsApp et Telegram également développée par VK, pourrait aussi être rendue obligatoire pour les Russes dès le 1er septembre.

Haryana 🇮🇳 Les autorités des districts de Bhiwani et Charkhi Dadri ont imposé une coupure internet de 11 heures du matin le 19 août à 11 heures du matin le 21 août en raison de manifestations à la suite de la mort d’une enseignante de 19 ans. Les autorités affirment que la jeune femme a commis un suicide. Ses parents et ses proches rejettent cette version et réclament une enquête du Central Bureau of Investigation (CBI).

Chine 🇨🇳 Tout le monde fait des erreurs… même ceux qui sont censés gérer le Grand Firewall de Chine. Le 20 août, entre 00:34 et 1:48 du matin, très précisément, l’internet chinois a été tout bonnement coupé du reste de l’internet mondial. Nous vous épargnons les détails techniques (pour cette fois, en tout cas, car une ‘Eclairage’ sur la censure chinoise est prévu pour une prochaine édition) mais voici le rapport en anglais de Mingshi Wu, du groupe de chercheurs Great Firewall Report. Ses conclusions ? L’incident pourrait être causé soit par un nouveau dispositif du Grand Firewall, soit un appareil existant fonctionnant de manière inhabituelle ou mal configuré.

Balouchistan 🇵🇰 Le 15 août, la Haute Cour du Baloutchistan (BHC) a ordonné au gouvernement provincial de réévaluer la suspension généralisée des services mobiles et internet, prévue pour durer jusqu’au 31 août au moins, et de rétablir immédiatement les transports publics, suspendus pour des raisons de sécurité.

Un panel de deux juges, présidé par le juge en chef Rozi Khan Barrech, a rendu cette décision lors de l’examen d’un recours déposé par Khair Muhammad Shaheen, président de la Balochistan Consumer Civil Society. Bien que les autorités aient justifié la suspension des transports par des impératifs sécuritaires, la cour l’a jugée injustifiée et a exigé sa levée immédiate. La cour a enjoint au gouvernement de limiter les restrictions des réseaux mobiles aux seules zones présentant un risque avéré, plutôt que d’appliquer une mesure affectant toute la province.

“Le Baloutchistan est déjà soumis à un black-out médiatique”, a déclaré Amir Naeem, étudiant en journalisme à Panjgur, dans un très bon article de Global Voices sur la manière dont les habitants vivent les coupures internet. “Les réseaux sociaux étaient la seule source d’information pour les populations marginalisées, mais même cette voix a été réduite au silence.” Sans compter la vie économique de la région, qui est largement affectée par ces pratiques.

Qatar 🇶🇦 La plateforme de jeu vidéo Roblox n’est plus accessible au Qatar depuis la mi-août, d’après des internautes du pays. Par ailleurs, OONI a confirmé des anomalies dans l’accès à Roblox le 13 août. Le gouvernement qatarien n’a pas confirmé cette interdiction à l’heure d’écrire ces lignes.

Le reste de l’actu de la censure numérique en bref :

🇮🇳 Un bras de fer entre le gouvernement indien et X, ex-Twitter, parti d’un simple tweet datant de 2023 qualifiant le Premier ministre indien Narendra Modi de “bon à rien” (ou “inutile”, selon la traduction qu’on choisit). L’inspecteur Jitendra Shahane, de la police de Satara, envoie un avis de suppression confidentiel à X, estimant que ce contenu pourrait “provoquer de graves tensions communautaires”, a rapporté Reuters. Malgré cette demande, le post reste en ligne. Ce cas n’est pas isolé : des centaines de demandes similaires ont été adressées à la plateforme, poussant X à porter l’affaire devant la justice en mars 2025.

Depuis 2023, le gouvernement indien a étendu le pouvoir de censure à des milliers de fonctionnaires, via un portail officiel (Sahyog) où les autorités envoient directement leurs demandes de suppression. X refuse d’y participer et attaque ces mesures en justice, les jugeant illégales et liberticides. Les demandes de retrait ciblent aussi bien des fausses informations que des critiques politiques, comme des caricatures de Modi ou des articles sur des accidents meurtriers. Le gouvernement défend ces censures au nom de la "lutte contre la haine en ligne", mais X dénonce une volonté de museler l’opposition. Le conflit est d’autant plus paradoxal qu’Elon Musk, propriétaire de X, cherche par ailleurs à développer ses affaires en Inde (Tesla, Starlink), tout en résistant aux pressions de New Delhi.

Si X perd, d’autres plateformes pourraient être forcées de se soumettre. Si la plateforme l’emporte, cela affaiblirait le système de censure mis en place par Modi.

🇮🇷 Un rapport de l’Association du e-commerce de Téhéran révèle un chiffre édifiant : 93,8 % des Iraniens de moins de 30 ans utilisent des VPN et autres outils de contournement pour accéder à internet sans restrictions. À l’échelle de toute la population, ce taux atteint 86 %. Les VPN vous intéressent ? Scrollez un peu, vous allez voir.

🇹🇿 Super intéressant : OONI a publié un rapport sur le blocage de la plateforme X en Tanzanie depuis mai 2025. Dans l'ensemble, l'accès à X semble être bloqué par le biais de diverses techniques, variables selon les fournisseurs d'accès à internet (FAI). Ces techniques, parfois combinées, comprennent le détournement DNS, les interférences avec le protocole TLS et les blocages au niveau IP.

📶🇨🇳 Tiens, tiens : un rapport de chercheurs de la Northeastern University a montré que le trafic internet lorsque l’on utilisait certains fournisseurs populaires d’eSIM, comme l’Irlandias Holafly, passait par la Chine.

🤖🇨🇳 Des chercheurs du Citizen Lab de l’Université de Toronto ont découvert que les grands modèles de langage (LLM) développent un biais de censure en reproduisant les lacunes des données filtrées par des régimes autoritaires, et ont créé CensorshipDetector (91 % de précision), un outil capable d’identifier ces distorsions dans les textes en chinois pour mesurer l’ampleur du problème.

Fusibles ou disjoncteurs ?

🔎 Enquête sur le rôle du secteur privé

Et si votre VPN était lié à la Chine ou à la Russie ?

Imaginez : vous êtes en France et vous souhaitez accéder à un site pour adulte (uniquement pour vérifier quelque chose, évidemment). Clic, ‘Accès suspendu’. Pendant ce temps-là, votre ami.e, vivant au Royaume-Uni pour un échange universitaire, veut enregistrer son dernier pari sur Winamax. Clic, ‘The page isn’t redirecting properly’. Au même moment, votre cousin, l’un des rares de votre famille à être resté vivre à Téhéran, s’excuse de n’avoir pas donné de nouvelles depuis des jours, l’internet était coupé.

Dans ces trois cas, une même solution : utiliser un VPN.

De solutions de niches pour les services informatiques il y a quelques années, ces virtual private networks (‘réseaux virtuels privé’, en VF) sont devenus des produits grand public - et l’un d’eux, NordVPN, s’est infiltré dans les trois-quarts des vidéos de nos YouTubeurs favoris.

Malheureusement, malgré les briefs parfois récités scolairement par certains vidéastes, VPN ne rime pas toujours avec protection. Par ailleurs, certains fournisseurs de solutions VPN profitent de ce miroir de fumée qui amène à penser “J’ai un VPN donc je suis protégé.e de toute attaque ou problème de sécurité” pour vous pomper toutes vos informations personnelles et de navigation - et potentiellement les revendre.

D’autres, comme Kape Technologies, ont créé un écosystème mêlant solutions de publicité numérique, solutions VPN (comme ExpressVPN et CyberGhost) et sites d’avis sur les VPN (comme vpnMentor et Safety Directives) - qui ne manquent pas de placer les solutions VPN du même groupe en haut de leurs classements. Des pratiques certainement légales, certes, mais pour le moins questionables.

Pour en savoir plus sur ces pratiques, allez voir la superbe vidéo (en anglais) de la YouTubeuse Addie LaMarr.

D’autres VPN encore semblent tout à fait légitimes pendant des années, jusqu’à ce qu’une mise à jour les transforme en véritables spywares. C’est le cas de l’extension pour Google Chrome FreeVPN.One. J’ai couvert le rapport de Koi Security sur cette affaire dans les colonnes d’Infosecurity Magazine (en anglais également).

Mais aujourd’hui, on vous parle de VPN gratuits qui entretiennent des liens - cachés, bien évidemment - avec la Russie et/ou la Chine.

TLDR; Il y a entre 12 et 31 applications VPN gratuites sur Android (Google Play Store) et iOS (Apple App Store) qui possèdent des caractéristiques cachées, notamment d’importantes failles de sécurité, pendant que d’autres communiquent avec des serveurs en Russie et en Chine. Certaines d’entre elles appartiendraient même très probablement à une entreprise chinoise.

En réalité, deux publications, issues de recherches similaires, ont été publiées à peu près au même moment :

• La première, publiée le 14 août, émane de trois chercheurs de l’Université d'État de l'Arizona et du Citizen Lab, un laboratoire interdisciplinaire de la Munk School à l'Université de Toronto: ils ont détecté qu’une vingtaine d’applications VPN sur Android, qui totalisent plus de 700 millions de téléchargements sur le Google Play Store, sont non seulement liées entre elles mais affichent un grand nombre de failles de sécurité, volontaires ou non. Certaines seraient même opérées par une entreprise chinoise connue pour sa proximité avec le gouvernement chinois et l’armée chinoise.
• La seconde vient de l’entreprise Comparitech, dans un article daté du 21 août et signé par son rédacteur-en-chef Paul Bischoff. Les chercheurs y ont découvert que 12 applications mobiles de VPN gratuites, sur Android et iOS, communiquent les données de leurs utilisateurs à des serveurs en Chine ou en Russie.

Ces deux études citent un rapport d’avril du Tech Transparency Project comme point de départ.

L’ONG y révélait que plus de 20 des 100 VPN gratuits les plus populaires sur les magasins d’applications américains présentaient des indices de propriété chinoise, notamment liée à Qihoo 360, une entreprise de cybersécurité intégrée au complexe militaro-industriel chinois, opérant sa propre unité de cyberdéfense en collaboration avec l’Armée populaire de libération à Pékin, d’après les chercheurs de Margin Research. Elle a été placée sur liste noire par les Etats-Unis en 2020.

Aucune de ces applications identifiées par le Tech Transparency Project ne mentionnait clairement ses liens avec la Chine.

Apple a retiré certaines de ces applications de l’App Store après la publication de ce rapport, mais d’autres y sont encore disponibles aujourd’hui. Nombre d’entre elles restent également disponibles sur le Google Play Store.

Des liens incestueux cachés entre applications VPN sur Android

La première étude menée par Benjamin Mixon-Baca, Jeffrey Knockel et Jedidiah R. Crandall, révèle que trois familles d’applications VPN pour Android, totalisant plus de 700 millions de téléchargements sur le Google Play Store, sont secrètement liées entre elles, bien qu’elles prétendent provenir de fournisseurs distincts.

Au départ, les chercheurs ont sélectionné 21 des 100 applis VPN les plus téléchargées sur Android d’après SensorTower et AppMagic, deux plateformes d’analyse de marché. Ils ont étudié leur code, les infrastructures sur lesquelles ces applis reposent, leurs politiques de confidentialité et leurs comportements.

Ils ont identifié trois groupes d’applications qui partageant des similarités techniques et des vulnérabilités communes, suggérant qu’elles sont gérées par une même entité malgré des marques différentes:

• Groupe A (8 applis) : Ces VPN, proposés par trois fournisseurs, Innovative Connecting, Lemon Clove et Autumn Breeze, utilisent un code Java quasi identique, des bibliothèques communes et des mots de passe Shadowsocks codés en dur (permettant à un attaquant de déchiffrer le trafic des utilisateurs). Ils collectent aussi des données de localisation, contrairement à ce qu’affirment leurs politiques de confidentialité.
• Groupe B (8 applis) : Cinq fournisseurs apparentés, utilisant tous le protocole Shadowsocks avec les mêmes bibliothèques et un mot de passe unique pour se connecter à des serveurs hébergés par une seule entreprise, GlobalTeleHost Corp. Cela rend le trafic vulnérable au déchiffrement.
• Groupe C (2 applis) : Ces VPN emploient un protocole de tunneling personnalisé et des mécanismes d’obscurcissement similaires. Ils sont exposés à des attaques par inférence de connexion, permettant à un attaquant de deviner avec qui l’utilisateur communique.

Par ailleurs, 10 des 13 fournisseurs semblent enregistrés à Singapour, mais semblent aussi implantés en Chine, d'après les données d’OpenCorporates, une ONG basée à Londres.

Les trois autres applications de VPN étudiées n’avaient pas de liens entre elles ni avec les autres applis analysées.

Pour info: Shadowsocks est un protocole de chiffrement open-source conçu pour contourner la censure en ligne, notamment en Chine. Il a été imaginé en 2012 par un individu connu sous le nom de ‘clowwindy’, jusqu’à ce que cette personne annonce sur GitHub, le 22 août 2015, qu’elle avait été contactée par la police et ne pourrait plus gérer le projet, dont la maintenance est aujourd’hui assurée par d’autres personnes.

Contrairement à un VPN classique, Shadowsocks ne crée pas un tunnel complet pour tout le trafic internet, mais agit plutôt comme un client permettant de se connecter à un proxy SOCKS, généralement hébergé sur un serveur distant. Une fois connecté, l’utilisateur peut rediriger son trafic internet à travers ce proxy, masquant ainsi son activité en ligne et contournant les restrictions - comme le Grand Firewall de Chine.

En résumé, ces VPN, loin de protéger leurs utilisateurs, exposent leurs données et trompent sur leur indépendance, tout en étant contrôlés par une même entité. Les chercheurs soulignent l’urgence de mieux réguler ce secteur opaque et d’informer les utilisateurs sur les risques réels de ces outils.

De forts liens avec la Russie et la Chine

Dans la seconde étude, Comparitch a étudié 24 applis VPN, 13 sur Android et 11 sur iOS.

Leurs conclusions:

• Six de ces applications VPN communiquent avec des domaines chinois appartenant aux entreprises Baidu, Com.cn et/ou Libvideo.
• Huit des applications Android communiquent avec des adresses IP russes appartenant aux entreprises Yandex, Rustore, MyTarget, Appmetrica, Alibaba et/ou Mail.ru.
• Toutes les applications iOS communiquent avec des domaines Apple.com hébergés en Russie, mais seulement deux d’entre elles communiquent avec des domaines russes tiers.
• Quelques-unes comprennent des kits de développements (SDK) qui semblent venir de Chine ou de Russie.

“Apple ne référence aucune des applications VPN dont les versions Android communiquent avec des domaines russes tiers. Cela suggère qu’Apple est plus strict dans la suppression des VPN liés à la Russie que dans celle des VPN liés à la Chine. Toutefois, deux appli VPN sur iOS, toutes deux développées par TOPAPPS TECH, communiquent avec un domaine russe hébergé par Mail.ru”, indique Paul Bischoff dans le rapport.

Attention : lorsqu'une application communique avec des IP ou domaines hébergés en Chine ou via des fournisseurs cloud chinois (comme Baidu, Alibaba Cloud ou Tencent Cloud), cela ne prouve pas systématiquement qu’elle est contrôlée par la Chine, mais cela peut indiquer des liens potentiels, surtout si d’autres signes s’y ajoutent comme l’utilisation de SDK chinois, métadonnées du développeur, ou comportements similaires à des applis connues pour être chinoises. Même logique pour la Russie.

Ces indicateurs réseau suggèrent que l’appli pourrait transmettre des données via des serveurs soumis aux lois locales (surveillance, conservation des logs), utiliser des services d’analyse chinois ou russes (rare pour les VPN occidentaux en raison des risques pour la vie privée), ou même être développée ou contrôlée par une entité basée dans ces pays.

Cependant, ces éléments ne constituent pas une preuve absolue : leur absence ne garantit pas non plus l’absence de liens.

Circulez, y’a rien à voir ?

Bien que les trois études semblent indépendantes l’une de l’autre, plusieurs applications, telles que ‘Turbo VPN’, ‘VPN Proxy Master’ et ‘Snap VPN’, apparaissent dans plusieurs d’entre elles.

Par ailleurs, deux entreprises identifiées comme éditrices de plusieurs applications de VPN par les chercheurs du Citizen Lab et de l’Université d'État de l'Arizona, Innovative Connecting et Autumn Breeze, ont très probablement des liens avec Qihoo 360, d’après le Tech Transparency Project.

D’après l’étude de l’ONG, Innovative Connecting, basée à Singapour, est détenue par Lemon Seed Technology, une société basée aux îles Caïmans, elle-même propriété de Qihoo 360.

Toutefois, contactée par Comparitech, le développeur de Turbo VPN a nié ces liens.

"Innovative Connecting Pte. Limited est une entreprise indépendante, légalement enregistrée à Singapour, et nous opérons sous la juridiction singapourienne en conformité avec ses lois”, un porte-parole de l’entreprise a affirmé.

"La protection de la vie privée de nos utilisateurs est notre priorité absolue : nous respectons strictement notre politique de confidentialité ainsi que les règles des développeurs et les directives de contenu de Google Play et de l’App Store. Nous n’enregistrons, ne surveillons ni ne conservons aucune activité en ligne de nos utilisateurs, à aucun moment”, le porte-parole a-t-il poursuivi.

“Nous sommes ouverts à toute forme de supervision ou d’audit et accueillons favorablement les vérifications indépendantes de notre produit. Notre équipe technique est prête à fournir une documentation supplémentaire dans un environnement sécurisé, sur demande.”

Google a également répondu à Comparitech, assurant que le Play Store respecte les sanctions en vigueur ainsi que les lois sur le commerce international, et dès qu’un compte enfreint ces règles, des mesures sont prises. Sa politique officielle interdit par ailleurs les applications trompeuses ou malveillantes, a enfin précisé l’entreprise.

Pour aller plus loin...

Si vous en êtes à ce stade de la lecture - tout d’abord, merci infiniment - vous vous dites peut-être que les VPN sont vraiment dangereux. Eh bien, oui et non. Les VPN sont aussi un outil fabuleux pour contourner la censure numérique.

L’ironie de toute cette histoire ? La Chine et, plus récemment, la Russie, font justement la guerre aux VPN dans leurs pays.

L’ONG GreatFire (vous savez, celle dont Tencent essaie de censurer le projet FreeWeChat) avait couvert une grande vague de blocage d’applis VPN en Russie en avril dernier (l’article en anglais est à retrouver ici). L’ONG gère aussi le projet AppCensorship, une plateforme qui liste les applications bloquées sur iOS et Android dans chaque pays du monde.

A ce stade, j’aimerais beaucoup vous indiquer des ressources qui vous permettent de choisir le meilleur VPN pour votre utilité, mais il en existe tellement, et je ne suis pas en mesure de les fact-checker tous… Il est probable que je dédie une édition de Coupe-circuit sur le sujet prochainement.

En tout cas, sachez que pour ceux (comme moi) qui n’ont pas le bagage technique pour héberger leur propre instance VPN, suivez au moins ces quelques conseils :

✅ Un bon VPN est un VPN payant

✅ Un bon VPN est un VPN qui a “vraiment” une politique de no-log, c’est-à-dire qui ne collecte pas vos données personelles et de navigation (et donc une poltique vérifiable)

✅ Un bon VPN est un VPN qui bénéficie de rapports d’audit indépendants et réguliers

✅ Un bon VPN est un VPN dont le propriétaire est entièrement transparent (origine de l’entreprise, lien avec d’autres marques ou d’autres entreprises, siège social, localisation des infrastructures d’hébergement, politique d’utilisation et de traitement des données claire et lisible, etc.)

✅ Un bon VPN est un VPN qui héberge ses serveurs dans des pays à la juridiction respectueuses de la vie privée

Merci d’avoir lu Coupe-circuit 🔕🔇! Si cette édition vous a plu, partagez-la autur de vous.