Scandale HOLA VPN – Les dessous du VPN gratuit israélien

7
321

Gardez en toujours en tête cette phrase clé : lorsqu’un service est gratuit, c’est vous le produit. Beaucoup font la promotion à tout va des VPN gratuits, soit disant fiables et sécurisés. Mais le récent scandale causé par HOLA VPN est un exemple typique de ce qu’il faut éviter…

Dans le petit monde de la sécurité informatique et des VPN, Hola, un fournisseur de VPN gratuit a fait grand bruit. En effet, il s’est avéré que l’éditeur se rémunère secrètement en commercialisant la bande passante des utilisateurs ! La société qui gère ce service VPN est Hola Ltd., une startup israélienne.

Si vous connaissez votre sujet, vous savez déjà qu’il ne faut pas faire confiance aux fournisseurs de VPN gratuits, mais plutôt se tourner vers les VPN “premium”, le meilleur vpn payant. Pour comprendre ce qui s’est passé avec Hola, il faut d’abord prendre en compte l’architecture de leur système, basée sur la technologie P2P. Le message publicitaire envoyé par Hola est fort : le .org souligne un projet soit disant association et non lucratif (en théorie seulement) et l’éditeur affirme avoir plus de 47 millions d’utilisateurs. Mais où est l’arnaque ?

Ce sont les administrateurs du site 8chan qui ont mis à jour cette affaire afin d’attirer l’attention sur plusieurs pratiques pour le moins douteuses de la société Hola. Alors qu’ils auditaient afin de remonter le fil de la bande passante utilisée lors d’une cyberattaque visant leur site, ils ont constaté qu’un très grand nombre de machines utilisées n’avaient qu’un seul point commun source : une extension Hola installée sur celles-ci. Dans la mesure où il est hautement improbable que les propriétaires desdites machines se soient ligués contre le site par leur bon vouloir, ils se sont donc penchés sur le VPN. Et ils ont découvert, à cette occasion, qu’il n’avait pas de structure propre mais que tout était sous-géré. En d’autres termes, Hola ne fournit aucune adresse IP, il se contente d’échanger celles de ses utilisateurs, engageant ainsi la responsabilité d’un internaute A pour permettre le surf d’un internaute B.

Plutôt grave comme méthode d’anonymat non ? Le réseau Tor a encore de beau jours devant lui en fait… Hola a publié un article de blog sur le sujet, visible ici et la FAQ a été mise à jour discrètement.

Hola est en fait un botnet géant ?

Le point évoqué précédemment n’est pas le seul problème. Si 8chan a été attaqué par une armée d’adeptes du VPN, ce n’est pas un hasard ni le fruit d’un détournement. L’éditeur israélien rentabilise Hola par l’intermédiaire d’un autre service, baptisé Luminati. Il s’agit très clairement d’une offre de mise à disposition de botnet, comme en attestent les illustrations du site. Concrètement, toute la bande passante accessible aux machines équipées de Hola est mise en vente pour quiconque en a l’usage. Or, ce type de service a essentiellement une fonction : l’exécution d’attaques par déni de service, plus couramment nommées attaques DDoS.

hola-vpn-attack

Il faut savoir que ces découvertes plus ou moins inquiétantes ne semblent toutefois pas émouvoir les créateurs du VPN Hola. D’après les dires d’Ofer Vilenski, cofondateur de la société, Hola n’a jamais rien caché de son fonctionnement et il se vante même d’avoir récemment ajouté une mention de Luminati au sein de la FAQ proposée sur le site du VPN. Quant à l’attaque subie par 8chan, ce serait un accident : un client malintentionné serait passé au travers des mailles du contrôle systématique. Ce dernier aurait toutefois été renforcé dans la foulée.

Gardez à l’esprit que rien que par son mode de fonctionnement, Hola est dangereux pour ses utilisateurs. Lorsque votre adresse IP est utilisé par un autre internaute (totalement inconnu dans ce cas), cela reviens à endosser la responsabilité de ses actes sur Internet. Quant à la commercialisation de la bande passante des utilisateurs, peu importe qu’elle se fasse de manière “responsable” ou non. Un simple tour sur Reddit suffit à constater que nombre d’entre eux n’avaient pas connaissance de cette activité. Et sans surprise, ils expriment un certain désaccord.

Bref, à moins d’approuver le modèle économique du VPN, une désinstallation est vivement conseillée ainsi que le passage sur un VPN payant de qualité (voir la sélection UnderNews 2015 ici).

 

Source : TorrentFreak

7 Commentaires

  1. Bah oui, je ne pense pas que gratuit vpn peux securise… J’ai utilise Hola pour 3 annees, mais je vais chercher qqch de nouveau!

  2. “Gardez en toujours en tête cette phrase clé : lorsqu’un service est gratuit, c’est vous le produit.”

    Faut arrêter un peu avec ces citations qui généralise et affole tout les débutant de la sécurité, et fait faire n’importe quoi aux gens, car parfois un service gratuit vaut mieux qu’un payant. Vous faite du journalisme pas de la sécurité ça se voit (et l’open source ce n’est pas un service gratuite ? partager une source libre c’est rendre service, vous faite la promotion de Tor… Tor est aussi un service gratuit… si je trouve une fraise des bois ou des champignon dans la nature, c’est gratuite, la nature est serviable(service) mais je ne dois pas y toucher ??? l’être humain est aussi nature et parfois il rend des services gratuitement sans empoisonner les gens)

    Mais déjà que je viens rarement ici, alors maintenant ça vas être simple: je ne viendrais plus sur undernews, car votre site internet est un service gratuite, et si c’est moi le produit alors non merci….

    Au revoir

    • Vous faites un gros raccourcis et vous mélangez un peu tout là en même temps…
      Mais bon, je ne vais pas me fatiguer à expliquer si vous ne mettez de toute façon plus les pieds ici, c’est plus simple comme ça au final 😉

      Adieu !

      • Marvin à raison. Cette article ne doit pas exister. Si tu es pas capable de lire les conditions d’utilisation avant d’utiliser un programme et après t’étonner de sont comportement, évite de donner des conseils.

Les commentaires sont fermés.