Des chercheurs avertissent que les VPN gratuits pourraient divulguer des données américaines vers la Chine
Un rapport récent du Tech Transparency Project (TTP), basé à Washington, DC, révèle que de nombreuses applications gratuites de réseau privé virtuel (VPN) , malgré les avertissements précédents, continuent d'être disponibles sur l'App Store d'Apple et le Play Store de Google, ce qui pose des risques majeurs pour la confidentialité et la sécurité nationale.
Selon l'organisation, ces applications, dont beaucoup entretiennent des liens secrets avec des entreprises chinoises, pourraient exposer les données sensibles des utilisateurs au gouvernement chinois. Pour information, les VPN sont des outils conçus pour créer une connexion internet sécurisée et cryptée, masquant ainsi l'identité et l'activité en ligne de l'utilisateur.
Cependant, certains utilisateurs expriment des inquiétudes concernant les services VPN appartenant à des entreprises chinoises, en raison de considérations liées à la confidentialité et à la sécurité des données. En vertu des lois chinoises sur la sécurité nationale (PDF), les entreprises peuvent être contraintes de communiquer les données des utilisateurs au gouvernement. Cette situation est particulièrement préoccupante, car les VPN ont accès à l'intégralité de l'activité web d'un utilisateur, ce qui rend ces données extrêmement sensibles.
Le rapport initial du TTP, publié le 1er avril 2025, révélait que plus de 20 des 100 meilleurs VPN gratuits de l'App Store américain en 2024 étaient liés à des intérêts chinois. Nombre de ces applications dissimulaient intentionnellement leur origine via des sociétés écrans.
Il convient de noter que plusieurs applications étaient connectées à Qihoo 360, une société chinoise de cybersécurité sanctionnée par les États-Unis en raison de ses liens présumés avec l'Armée populaire de libération de la Chine.
Un exemple notable concerne Autumn Breeze Pte. Ltd., répertoriée comme développeur de Snap VPN sur le Google Play Store. L'entreprise affirme n'avoir aucune affiliation avec Qihoo 360 et met l'accent sur une stricte politique de non-journalisation. Cependant, les recherches de TTP révèlent que Qihoo 360 a acquis Autumn Breeze Pte. Ltd en 2020 et l'a revendue à des tiers non identifiés après les sanctions américaines. Les registres d'Autumn Breeze continuent de mentionner un directeur chinois, dont le nom correspond à celui d'un ressortissant chinois qui avait dirigé l'unité de sécurité mobile de Qihoo 360.
Malgré le retrait de certaines applications, comme Thunder VPN et Snap VPN, de l'App Store d'Apple après les demandes des médias, le contrôle de suivi de TTP début mai 2025 a confirmé que de nombreux VPN appartenant à des Chinois restent disponibles.
Par exemple, Turbo VPN et VPN Proxy Master, tous deux liés à Qihoo 360, continuent d'être proposés sur la plateforme d'Apple. Le Google Play Store héberge également plusieurs applications connectées à Qihoo 360, notamment Snap VPN et Signal Secure VPN, ainsi que d'autres VPN chinois comme X-VPN et VPNify.
Le rapport suggère également qu'Apple et Google pourraient tirer un bénéfice financier de ces applications potentiellement risquées. Nombre d'entre elles sont gratuites. Les VPN proposent des achats intégrés ou affichent des publicités, sur lesquelles les deux géants de la technologie prélèvent un pourcentage des revenus (Apple facture généralement 30 % ou 15 %, tandis que Google facture 15 % jusqu'à 1 million de dollars de ventes et 30 % par la suite).
Cela suggère une incitation financière pour les plateformes à continuer d'héberger ces applications, malgré les implications en matière de confidentialité pour les utilisateurs américains, ont noté les chercheurs dans leur article de blog partagé avec Hackread.com.
Ni Apple ni Google n'ont répondu aux demandes de commentaires de TTP concernant ces conclusions ou leurs politiques relatives au partage de données par les VPN. Il est conseillé aux utilisateurs de faire preuve de prudence et de se renseigner attentivement sur les politiques de propriété et de confidentialité de tout service VPN qu'ils envisagent d'utiliser.
« Pensons à la façon dont l'histoire de TikTok s'est déroulée : une portée massive, une propriété secrète et une vaste collecte de données, qui ont peut-être quitté le sol américain, mais ces applications VPN sont encore plus préoccupantes car elles ne se contentent pas de suivre vos préférences ; elles surveillent tout ce que vous faites en ligne » , a déclaré Chad Cragle , directeur de la sécurité de l'information chez Deepwatch.
« Lorsque ces applications appartiennent à des entreprises chinoises et sont dissimulées derrière plusieurs sociétés écrans, cela devient un problème sérieux. Apple prône la protection de notre vie privée, et pourtant, elles restent accessibles. Google ? Ils autorisent souvent presque toutes les applications sur leur boutique » , a déclaré Chad.
« Il est temps que les plateformes prennent leurs responsabilités et montrent l'exemple. On ne peut pas prétendre privilégier la confidentialité si l'on laisse d'autres acteurs contrôler les règles du jeu. S'ils ne surveillent pas ces applications avec attention, ils ne font pas que les autoriser passivement, ils contribuent à créer le problème. Et soyons honnêtes, il ne s'agit pas seulement de confidentialité ; il s'agit aussi de sécurité nationale » , a-t-il souligné.
HackRead
