MVPNalyzer, le premier framework d'audit automatisé de VPN mobiles, révèle que 29 des 281 VPN Android gratuits testés laissent fuiter les requêtes DNS hors du tunnel chiffré, et que 61 transmettent des données en clair.
En bref
- Une étude académique portant sur 281 applications VPN Android gratuites révèle que 29 d'entre elles laissent fuiter les requêtes DNS et le trafic de navigation hors du tunnel chiffré.
- 61 applications transmettent des données en clair lisibles par tout observateur réseau, dont 5 exposent leur fichier de configuration permettant à un attaquant de rediriger la connexion.
- Les utilisateurs de VPN mobiles gratuits doivent vérifier si leur application figure parmi les solutions signalées et migrer vers des solutions auditées indépendamment.
Quand le VPN censé vous protéger expose votre navigation
Des chercheurs de l'Université du Michigan, de l'Université du Nouveau-Mexique et de l'IIT Delhi ont présenté en juillet 2026 les résultats de MVPNalyzer, le premier framework automatisé d'audit de sécurité à grande échelle des applications VPN Android. Leur étude, initialement présentée au symposium NDSS 2026, a trouvé un écho médiatique important via Michigan Engineering News : sur 281 applications VPN Android gratuites et populaires analysées, les résultats sont alarmants pour les utilisateurs qui font confiance à ces outils pour protéger leur vie privée en ligne.
Le constat le plus préoccupant concerne les fuites de données hors tunnel : 29 applications laissent fuiter les requêtes DNS et le trafic de navigation de l'utilisateur en dehors du tunnel VPN chiffré, malgré le fait que l'application soit active et que l'utilisateur se croie protégé. En termes concrets, cela signifie que le fournisseur d'accès à Internet, les opérateurs de réseau sur le Wi-Fi utilisé (café, hôtel, aéroport), ou un attaquant réalisant une attaque de type man-in-the-middle sur le même réseau, peuvent observer l'intégralité de la navigation de l'utilisateur. La promesse fondamentale du VPN — masquer l'activité de navigation — est donc rompue pour ces 29 applications.
Au-delà des fuites de données hors tunnel, le framework MVPNalyzer a identifié un second problème majeur : 61 applications transmettent certaines données en texte clair, sans chiffrement. Parmi elles, 5 cas particulièrement graves ont été documentés : ces applications envoient leur fichier de configuration en clair sur le réseau. Ce fichier contient les paramètres de connexion du VPN, notamment l'adresse du serveur de sortie. Un attaquant présent sur le même réseau Wi-Fi peut intercepter ce fichier et modifier les paramètres pour rediriger la connexion de l'utilisateur vers un serveur sous son contrôle — une technique connue sous le nom d'attaque par rerouting qui annule complètement la protection VPN tout en maintenant l'apparence d'une connexion active aux yeux de l'utilisateur.
MVPNalyzer se distingue des audits VPN précédents par sa capacité à inspecter simultanément plusieurs couches réseau et les fichiers de configuration internes des applications, révélant des vulnérabilités que les analyses superficielles ou manuelles manquent systématiquement. Contrairement aux approches existantes qui se limitaient à l'observation du trafic réseau de surface, le framework combine l'analyse statique du code APK, l'analyse dynamique du comportement réseau en conditions réelles, et l'inspection des configurations internes — une approche multicouche qui donne une image beaucoup plus complète de la posture de sécurité réelle de chaque application.
Les chiffres globaux de l'étude sont éloquents : plus de 20 % des 281 applications VPN analysées transfèrent du contenu non chiffré, et plus de 60 % échouent à implémenter les mesures de durcissement de sécurité de base. Ces mesures de durcissement incluent notamment l'épinglage de certificats TLS (certificate pinning) pour résister aux attaques man-in-the-middle, la vérification de l'intégrité du tunnel avant d'autoriser le trafic, et la mise en oeuvre de kill switch fiables qui bloquent tout le trafic si la connexion VPN est interrompue. L'absence de ces mécanismes est d'autant plus problématique que ces applications VPN sont précisément utilisées dans des environnements réseau hostiles où ces attaques sont les plus probables.
L'étude soulève également la question de la transparence marketing. La quasi-totalité des applications testées affichent des promesses de confidentialité absolue sur leur page Google Play Store — protection militaire, chiffrement total, zéro log — sans que ces affirmations aient fait l'objet d'une quelconque vérification indépendante. Cette asymétrie d'information entre le marketing et la réalité technique place les utilisateurs dans une position de confiance non justifiée, d'autant que le segment des VPN gratuits cible souvent des populations moins averties techniquement qui ont le plus besoin d'une protection réelle.
Le contexte d'utilisation des VPN mobiles amplifie ces risques. Ces applications sont typiquement utilisées sur des réseaux Wi-Fi publics (gares, hôtels, cafés, aéroports) précisément parce que ces réseaux sont réputés non sécurisés. Or c'est dans ces environnements que les attaques par interception de trafic sont les plus faciles à mettre en oeuvre. Un utilisateur utilisant un VPN Android vulnérable sur le Wi-Fi d'un aéroport n'est pas moins exposé qu'un utilisateur sans VPN — dans le pire des cas, avec le fichier de configuration exposé, il est davantage exposé car l'attaquant peut rediriger sa connexion vers une infrastructure de surveillance sans que l'utilisateur ne s'en aperçoive.
Les chercheurs n'ont pas publié la liste complète des 29 applications incriminées dans leurs publications académiques — une pratique courante pour éviter d'exposer les utilisateurs avant que les éditeurs n'aient eu l'opportunité de corriger les problèmes. Cependant, les indicateurs comportementaux publiés permettent aux chercheurs en sécurité et aux équipes de sécurité mobile d'évaluer leurs propres solutions. L'étude complète est disponible via le NDSS Symposium 2026, qui a publié les actes complets de la conférence.
La sécurité VPN mobile : un écosystème structurellement défaillant
Les résultats de MVPNalyzer ne sont pas une surprise pour les spécialistes de la sécurité mobile, mais ils constituent la première quantification systématique à grande échelle du phénomène. Des études ponctuelles antérieures avaient déjà signalé des problèmes similaires sur des applications spécifiques. Ce qui frappe dans l'étude 2026, c'est l'ampleur du problème : ce ne sont pas quelques applications marginales qui sont défaillantes, c'est une proportion significative de l'ensemble du segment des VPN gratuits Android.
Ce constat soulève des questions sur les modèles économiques du VPN gratuit. Si un service ne fait pas payer ses utilisateurs, comment finance-t-il l'infrastructure de serveurs VPN qui représente un coût opérationnel significatif ? Des études précédentes ont montré que de nombreuses applications VPN gratuites monétisent en réalité les données de navigation de leurs utilisateurs — données qu'elles prétendent précisément protéger. Dans ce contexte, des fuites DNS pourraient ne pas être des bugs accidentels mais des fonctionnalités délibérées permettant la collecte de données de navigation à des fins publicitaires ou de revente.
Pour les entreprises, la prolifération de VPN mobiles non sécurisés sur les appareils BYOD (Bring Your Own Device) représente un risque de sécurité sous-estimé. Un employé utilisant un VPN défaillant sur son smartphone personnel pour accéder aux ressources de l'entreprise peut exposer ses identifiants d'entreprise à des interceptions réseau. Les politiques de sécurité mobile doivent intégrer une liste des applications VPN approuvées, basée sur des audits indépendants, et interdire explicitement l'utilisation de VPN gratuits non vérifiés sur les appareils accédant aux ressources d'entreprise.
Les autorités de protection des données pourraient tirer des conséquences de cette étude. En Europe, le RGPD et les recommandations de l'ANSSI sur la protection des données personnelles s'appliquent aux éditeurs d'applications distribuant des logiciels de sécurité qui ne tiennent pas leurs promesses. Un VPN qui se commercialise comme protégeant les données personnelles tout en laissant fuiter les requêtes DNS pourrait être qualifié de pratique commerciale trompeuse. La CNIL et les autorités de protection des données homologues en Europe disposent des instruments pour enquêter sur ces pratiques.
Ce qu'il faut retenir
- 29 des 281 VPN Android gratuits testés laissent fuiter les requêtes DNS et la navigation hors du tunnel chiffré, annulant totalement la protection promise.
- 61 applications transmettent des données en clair, dont 5 exposent leur fichier de configuration, permettant à un attaquant de rediriger la connexion vers son propre serveur.
- Évitez les VPN gratuits non audités : privilégiez des solutions ayant fait l'objet d'un audit de sécurité indépendant publié, et vérifiez l'activation du kill switch et de la protection contre les fuites DNS dans les paramètres.
Comment tester si mon VPN Android laisse fuiter mes données DNS ?
Activez votre VPN puis utilisez un outil de test de fuite DNS (recherchez "DNS leak test" sur votre moteur de recherche préféré pour trouver ces outils en ligne). Si les serveurs DNS affichés appartiennent à votre FAI ou à une entité autre que votre fournisseur VPN, vous avez une fuite DNS. Vérifiez également que votre application dispose d'un kill switch activé, qui bloque tout trafic si le VPN se déconnecte, et que l'option de protection contre les fuites DNS est explicitement activée dans les paramètres avancés de l'application.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Claude Science : Anthropic entre dans la R&D pharmaceutique
Anthropic lance Claude Science, une plateforme IA intégrant 60+ outils scientifiques pour la recherche pharmaceutique, et annonce un programme interne de découverte de médicaments pour maladies négligées.
HSIN compromis : le DHS confirme une brèche sur son réseau
Le DHS confirme une intrusion sur HSIN, son réseau sensible de partage d'informations sécuritaires, survenue entre fin mai et début juin 2026, à quelques semaines de la finale de la Coupe du Monde FIFA 2026.
UK finance : Microsoft, AWS, Google et Oracle en tiers critiques
Le Royaume-Uni désigne Microsoft, AWS, Google et Oracle comme tiers critiques du secteur financier, plaçant ces hyperscalers sous la supervision directe de la Banque d'Angleterre et de la FCA à compter du 13 juillet 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires (1)
Laisser un commentaire