{"id":130,"date":"2024-04-28T15:23:28","date_gmt":"2024-04-28T15:23:28","guid":{"rendered":"https:\/\/tolva.fr\/?p=130"},"modified":"2025-03-08T22:14:09","modified_gmt":"2025-03-08T22:14:09","slug":"retroconception-dun-vpn-android","status":"publish","type":"post","link":"https:\/\/tolva.fr\/index.php\/2024\/04\/28\/retroconception-dun-vpn-android\/","title":{"rendered":"R\u00e9troconception d’un VPN Android"},"content":{"rendered":"\n

Un grand nombre de gens utilise un VPN, pour diverses raisons plus ou moins pertinentes.<\/p>\n\n\n\n

Si certains acteurs du march\u00e9 donnent des gages de transparence en divulguant leur code source et\/ou en publiant r\u00e9guli\u00e8rement des rapports d’audits, de nombreux autres fournisseurs font preuve d’une r\u00e9elle opacit\u00e9. <\/p>\n\n\n\n

\u00c9tudier attentivement un client VPN pourrait donc r\u00e9v\u00e9ler quelques surprises\u2026<\/p>\n\n\n\n

L’application Secure VPN<\/strong><\/h4>\n\n\n\n

Souhaitant \u00e9tudier d’un peu plus pr\u00e8s le fonctionnement d’une de ces applications, j’ai choisi – un peu au hasard – de m’int\u00e9resser \u00e0 Secure VPN.<\/p>\n\n\n\n

Cette application est relativement populaire puisqu’elle a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e plus de 100 millions de fois, soit plus que NordVPN et CyberGhost VPN !<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

La page Google Play de l’application pr\u00e9cise qu’elle est d\u00e9velopp\u00e9e par la soci\u00e9t\u00e9 Secure Signal inc :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Contrairement \u00e0 ce que ce nom pourrait sous-entendre, cette soci\u00e9t\u00e9 n’a \u00e0 priori aucun lien avec l’\u00e9diteur de l’application de messagerie instantan\u00e9e, dont le site est signal.org.<\/p>\n\n\n\n

Le site de l’application<\/strong><\/h4>\n\n\n\n

La rubrique \u00ab\u00a0Assistance pour l’application\u00a0\u00bb de Google Play pr\u00e9cise une adresse mail (secure-vpn@free-signal.com), une adresse physique et un site internet pour contacter le d\u00e9veloppeur :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Le site internet en question est securesignal.app.<\/p>\n\n\n\n

On peut notamment y lire les t\u00e9moignages \u00e9logieux de Marsha Singer, Tim Shaw et Lindsay Spice :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Par un hasard extraordinaire, ces trois personnes ont des Doppelg\u00e4ngers ayant donn\u00e9s des t\u00e9moignages tout aussi \u00e9logieux pour une autre application, apptuary.com, \u00e0 laquelle est d\u00e9di\u00e9e un site web d’aspect rappelant celui de securesignal.app :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Une autre adresse mail de contact est mentionn\u00e9e sur le site (contact@securesignal.app) :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Le reste du site donne quelques indications sur les capacit\u00e9s techniques du VPN, avec les promesses habituelles de ce genre d’applications (No Log, Safe Protocol, Privacy, etc), sans entrer dans les d\u00e9tails.<\/p>\n\n\n\n

Les sites free-signal.com ou secure.free-signal.com ne donnent pas plus d’indication.<\/p>\n\n\n\n

Premi\u00e8re analyse sur Exodus privacy<\/h4>\n\n\n\n

Un utilisateur soucieux de savoir dans quelle mesure une application est intrusive mais ne voulant\/sachant pas extraire le manifeste de l’apk peut utiliser le site https:\/\/reports.exodus-privacy.eu.org.<\/p>\n\n\n\n

Il s’av\u00e8re que Secure VPN utilise 2 pisteurs et n\u00e9cessite 16 permissions :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Certaines de ces permissions :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

comme QUERY_ALL_PACKAGES<\/code>, ACCESS_ADSERVICES_TOPICS<\/code>, ACCESS_ADSERVICES_ATTRIBUTION<\/code> ou ACCESS_ADSERVICES_AD_ID<\/code> <\/p>\n\n\n\n

ne sont pas \u00e0 proprement parler indispensables au fonctionnement d’un client VPN et sont uniquement pr\u00e9sentes pour des besoins publicitaires et\/ou de profilage (QUERY_ALL_PACKAGES<\/code> permettant ainsi de lister les applications install\u00e9es sur le t\u00e9l\u00e9phone d’une personne, ce qui peut en dire long sur elle).<\/p>\n\n\n\n

Premi\u00e8re utilisation<\/h4>\n\n\n\n

L’interface de l’application est tr\u00e8s simple.<\/p>\n\n\n\n

Lorsqu’elle est lanc\u00e9e pour la premi\u00e8re fois, l’application demande \u00e0 l’utilisateur s’il consent \u00e0 ce que ses donn\u00e9es personnelles soient utilis\u00e9es \u00e0 diverses fins, publicitaires notamment :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

L’utilisateur a ensuite acc\u00e8s \u00e0 une ic\u00f4ne gris\u00e9e sur laquelle il faut cliquer pour monter le tunnel VPN :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

L’ic\u00f4ne de connexion devient bleue lorsque le tunnel VPN est mont\u00e9 :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Une visite de whatismyip.com confirme que l’adresse IP observ\u00e9e par un site internet visit\u00e9 est diff\u00e9rente de l’adresse IP r\u00e9elle du t\u00e9l\u00e9phone :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Le manifeste<\/h4>\n\n\n\n

Jeter un \u0153il au fichier AndroidManifest.xml d’une application \u00e9tudi\u00e9e est une \u00e9tape incontournable, et nous n’y ferons pas exception.<\/p>\n\n\n\n

Le manifeste mentionne 24 activities. <\/p>\n\n\n\n

Parmi celles-ci, 18 font partie de l’application \u00e0 proprement parler (toutes sont membres du package com.signallab.secure.activity<\/code>).<\/p>\n\n\n\n

Nous ne nous attarderons pas sur les activities de l’application : <\/p>\n\n\n\n

En effet, le travail d’un client VPN est de chiffrer\/d\u00e9chiffrer le trafic entrant.<\/p>\n\n\n\n

Cette t\u00e2che, r\u00e9alis\u00e9e en t\u00e2che de fond, n\u00e9cessite l’ex\u00e9cution d’un service. Le manifeste d\u00e9clare 12 services. <\/p>\n\n\n\n

Deux d’entre eux, com.signallab.secure.service.SecureService<\/code> et com.signallab.lib.SignalService<\/code>, font partie de l’application \u00e0 proprement parler :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ces deux services h\u00e9ritent de la classe android.net.VpnService, classe utilis\u00e9e pour impl\u00e9menter un client VPN. Un tel service va cr\u00e9er une interface r\u00e9seau virtuelle (\/dev\/tun<\/code>, typiquement).<\/p>\n\n\n\n

Lorsque le VPN est lanc\u00e9,<\/p>\n\n\n\n