Le FBI résout l’affaire grâce aux mensonges PureVPN

Des nouvelles sont apparues cette semaine qui prouvent que PureVPN ment aux consommateurs sur la façon dont il conserve les journaux. L'histoire nous rappelle d'urgence que un grand soin doit être pris pour sélectionner un service de réseau privé virtuel (VPN) crédible.

L'histoire entoure le cas d'un cyberstalker de Newton, Massachusetts. Ryan Lin, 24 ans, est accusé de cyberintimidation, de harcèlement et de piratage régulier de plusieurs comptes appartenant à une femme de 24 ans dénommée Jennifer Smith (pas le vrai nom de la victime).

Harcèlement dégoûtant

La liste nauséabonde des crimes comprend l'accès à Apple iCloud pour voler les photos personnelles de la victime, puis créer plus tard un collage de Smith à côté de photos explicites aléatoires. Après avoir terminé la vile création, M. Lin a continué à la diffuser par e-mail à un certain nombre d'amis et de contacts de Smith (dont un mineur). Les e-mails ont été usurpés pour leur donner l'impression qu'ils venaient de Smith elle-même.

Comme si cela ne suffisait pas, l'accusée a ensuite envoyé des extraits du journal privé de Smith à plusieurs de ses contacts. Ces entrées de journal très personnelles contenaient des détails sur ses antécédents psychologiques, médicaux et sexuels.

M. Lin a également ouvert des comptes avec des services en ligne pour adultes au nom de Smith. En utilisant ces récits falsifiés, M. Lin a recherché des personnes souhaitant se livrer à des fantasmes sexuels extrêmes tels que le BDSM, le gangbang et le viol. Au moins trois personnes sont venues à la résidence de Mlle Smith à sa recherche en réponse à ces fausses sollicitations.

La liste complète des exploitations abusives menées par M. Lin est horrible, dégradante et sacrément déplorable. Le harcèlement a poussé Smith à quitter sa maison. Selon l'affidavit, la campagne abusive s'est poursuivie longtemps après cette date.

Femme, pleurer

Empreintes digitales

La police locale a tenté de donner suite aux plaintes et allégations de Mlle Smith pendant près d’un an. Malheureusement pour la police, M. Lin utilisait une combinaison de services Protonmail, Tor et VPN pour couvrir ses pas et cacher son identité. Pour cette raison, la police locale a décidé d'appeler le FBI pour aider à résoudre l'affaire.

Après avoir récupéré un ordinateur auprès de l'ancien employeur de Lin, le FBI a pu découvrir un certain nombre d'artefacts numériques qui lui ont permis de former un dossier de poursuite. Il s'agissait notamment de traces de données montrant que Lin utilisait PureVPN. Sachant que Lin avait utilisé PureVPN, le FBI a décidé d'approcher la firme VPN pour obtenir des informations.

Dans sa politique de confidentialité, PureVPN prétend uniquement conserver les journaux de connexion:

Confidentialité Purevpn

Alors, comment PureVPN a-t-il pu révéler que l'adresse IP VPN de M. Lin s'était connectée à son adresse Gmail, ainsi qu'une autre adresse Gmail utilisée pour harceler Smith? Comment PureVPN a-t-il pu confirmer que Lin avait utilisé un compte Rover.com pour découvrir le vrai numéro de téléphone de Smith? Enfin, comment PureVPN a-t-il pu lier une activité criminelle aux adresses IP personnelle et professionnelle de Lin?

La réponse à cette question est en fait assez simple. Il a été réalisé en utilisant un attaque de corrélation temporelle. Ce que la politique de confidentialité ne mentionne pas, c'est que lorsque PureVPN enregistre une heure de connexion à l'un de ses serveurs, il stocke également l'adresse IP personnelle de l'utilisateur VPN. En tant que tel, PureVPN n'était pas réellement en mesure d'informer le FBI de la raison pour laquelle Lin avait utilisé le VPN - le FBI avait préalablement obtenu ces informations.

Voici comment cela s'est déroulé:

Le FBI a obtenu des adresses IP suspectes de Gmail et Rover.com. Ces adresses IP ont été confirmées comme appartenant à PureVPN. Le FBI a alors approché PureVPN pour leur dire quelles adresses IP VPN étaient soupçonnées dans ces crimes - ainsi que la véritable adresse IP de Lin.

À ce stade, PureVPN a pu vérifier si l'adresse personnelle de Lin s'était connectée aux adresses IP VPN présumées juste avant les heures données au FBI par Gmail et Rover.com. Les horodatages de la connexion VPN ont révélé instantanément que la véritable adresse IP de M. Lin avait effectivement utilisé le VPN à ces moments-là..

Équilibrage des échelles

Position maladroite

À cette occasion, les autorités, la victime - et la société dans son ensemble - peuvent être reconnaissantes que non seulement M. Lin ait utilisé un VPN connu pour être particulièrement inutile pour protéger la vie privée des gens, mais aussi pour la volonté de PureVPN d'aider à l'enquête du FBI..

Quiconque ayant même un semblant d'empathie pour la victime sera heureux que M. Lin ait été pris. Personnellement, j'espère que M. Lin sera puni de tout le poids du système de justice pénale.

Outils de confidentialité

Un VPN pour la confidentialité

Malgré mon soulagement que Lin soit poursuivi, je me retrouve dans la position quelque peu maladroite d'avoir à expliquer pourquoi les consommateurs devraient éviter d'utiliser des VPN moche s'ils se soucient vraiment de leur confidentialité numérique.

Les outils de confidentialité tels que les VPN ne sont que cela: des outils. La meilleure analogie à laquelle je peux penser pour comparaison est celle d'une voiture de fuite. Les criminels peuvent utiliser une voiture pour s'évader après avoir volé une banque. Est-ce que cela rend les voitures (et ceux qui les utilisent) intrinsèquement mauvaises? Bien sûr que non. À la fin de la journée, la plupart des outils peuvent être utilisés à des fins bonnes ou mauvaises. Les services VPN ne sont pas différents.

La vie privée est un droit humain fondamental qui doit être défendu à tout prix. Surtout de nos jours, lorsque des gouvernements trop étendus et leurs agences envahissent massivement la vie privée numérique de leur électorat.

La majorité des citoyens ne méritent pas d'être privés de leur droit à la vie privée en raison des actions répugnantes d'une minorité. Les VPN donnent aux gens le pouvoir et la capacité d'empêcher les fournisseurs de services Internet (FAI) et les gouvernements de franchir une frontière importante. Sans VPN (et le cryptage en général), la communication privée est vulnérable aux attaques. Et s'il peut être attaqué par une partie, il peut être attaqué par une autre.

Purevpn Logo 2 1024X393

PureVPN - Ce que ce cas nous dit

PureVPN est déjà sur le radar ProPrivacy.com en tant que fournisseur qui ne fournit pas de service sécurisé. Les fuites du système de noms de domaine (DNS) sont courantes et la politique de confidentialité explique que les journaux de connexion seront conservés par le fournisseur VPN. C'est pour cette raison que PureVPN est spécifiquement signalé dans sa critique comme étant particulièrement mauvais pour la confidentialité.

Ce cas, cependant, est la première fois que des preuves concrètes ont émergé prouvant que PureVPN tient des journaux plus détaillés sur ses abonnés qu'il ne le prétend. En outre, l'affaire sert à renforcer le fait que tout VPN qui conserve les horodatages de connexion - aux côtés des adresses IP des clients - ne peut jamais être considéré comme privé (un point que nous soulignons toujours lors de l'examen des fournisseurs VPN). Si, à cette occasion, nous avons peut-être envie de célébrer le fait que l’auteur sera traduit en justice, il ne fait aucun doute que cet événement grande marque noire à côté du nom déjà peu recommandable de PureVPN.

Ce VPN repose sur la protection contre les fuites DNS et sur la façon dont il conserve les journaux de connexion. Je ne serais pas surpris s'il mentait également sur le niveau de cryptage qu'il fournit. Notre critique n'a pas pu obtenir les détails de mise en œuvre du chiffrement de l'équipe technique du VPN: un signe certain que le chiffrement est faible.

Si vous vous souciez de votre empreinte numérique, le message est fort et clair: PureVPN (et d'autres VPN qui gardent des horodatages avec des adresses IP) doivent être évités à tout prix. Pourquoi? Parce que si PureVPN est prêt à aider le gouvernement américain, il faut se poser la question: qu'est-ce qui l'empêche d'aider des régimes politiques plus peu recommandables à monter des attaques de corrélation temporelle similaires pour relier les utilisateurs VPN à du contenu censuré ou interdit, ce qui pourrait leur causer des ennuis?

Les opinions sont celles de l'auteur.

Crédit image titre: logo PureVPN de la revue.

Crédits image: Photographee.eu/shutterstock.com, zendograph / shutterstock.com, iQoncept / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me