Depuis quelques jours, des utilisateurs de Plex reçoivent un message clamant que la bibliothèque multimédia inaugure sa propre offre VPN. Il s'agit en fait d'une « arnaque », lancée opportunément après la levée de protections des données de navigation outre-Atlantique.
Aux États-Unis, le retrait de règles sur la vie privée occupe le débat public depuis quelques semaines. Adoptées l'an dernier par le régulateur, la FCC, elles ont été supprimées avant hier par Donald Trump, sur suggestion du parlement. Si elles n'étaient pas encore entrées en vigueur, elles représentaient une avancée significative en termes de protection des données personnelles vis-à-vis des opérateurs, qui auraient dû obtenir le consentement de leurs clients pour commercialiser leurs données... Notamment de navigation.
MySafeVPN usurpe la marque Plex
Cette décision politique a eu un effet d'aubaine pour les fournisseurs de réseaux privés virtuels (VPN), qui promettent d'offrir la protection que les opérateurs ne fourniraient plus. Depuis quelques jours, des utilisateurs de l'outil de gestion multimédia Plex reçoivent un email leur annonçant que le service se lance sur le marché des VPN, via MySafeVPN.
Une inspection rapide permet de comprendre que le message ne provient pas du tout de l'entreprise, dont les forums avaient été piratés en juillet 2015. Les emails des inscrits avaient fuité.
À Vice, Plex affirme ne pas être à l'origine de ce message. « En fait, cela suggère que mysafevpn.com est super douteux et nous recommanderions d'utiliser n'importe quel autre VPN que celui-ci » déclare Scott Olechowski, cofondateur de la société. Le média a également repéré un email similaire, également de MySafeVPN, s'appuyant sur la marque Boxee... Dont les forums avaient été piratés en 2014.
« L'email de MySafeVPN n'est pas affilié à Plex et nous n'approuvons pas ce service. Merci de l'ignorer » redouble Plex sur Twitter, dans une série de messages. L'entreprise qualifie la manœuvre de scam (arnaque). Il n'indique pas vouloir poursuivre l'affaire en justice.
Les VPN, un marché des plus flous
Pour mémoire, les VPN sont des outils qui font passer le trafic par un tunnel chiffré, dont ils ont la seule maîtrise. Ils ont donc la main sur les éventuelles données que vous y faites transiter, sans que vous puissiez réellement contrôler leur conservation ou utilisation.
Autant dire que la confiance est primordiale dans ce cas. Pourtant, il s'agit d'un secteur où les promesses sont nombreuses, la transparence technique souvent limitée et où les équipes marketing rivalisent d'audace pour vendre leur produit... Le sponsoring de comparatifs ou les promotions associées à un média étant monnaie courante.
Les nouveaux acteurs s'y multiplient également, comme ProtonVPN, lancé en bêta par les Suisses derrière ProtonMail. Des solutions plus artisanales existent, comme se monter son propre serveur OpenVPN ou passer par Tor, qui s'appuie sur un réseau ouvert et décentralisé pour anonymiser la navigation des internautes, au prix de la vitesse.
Commentaires (24)
Ils devraient communiquer clairement la dessus à leurs utilisateurs, notamment via un mailing ou un billet de blog, plutot que de laisser planer le doute chez ceux qui ne les suivent pas sur les réseaux sociaux…
de leurs clients pour commercialiser leurs données
Ce ne sont plus « leurs données » une fois qu’elles ont été nécessairement partagées du fait du mode de communication sur lequel est bâti le système.
De plus comme les règles n’étaient même pas encore appliquées, elles ne représentaient qu’elles mêmes et au mieux la volonté d’un ex-résident à la Casablanca US, et sûrement pas une quelconque avancée sur une protection de toute manière élusive si pas prise au niveau individuelle.
Enfin, c’est la mode de remuer du vent outre-atlantique par les fakers de news et de reprendre en chœur et béatement de ce côté-ci du rivage leurs battements de bras.
Le mieux reste encore de construire son vpn en louant un petit vps chez ovh par exemple
Il n’y a pas forcément besoin d’un VPN pour passer sous les radars de la collecte de données de navigation des FAI, avoir du https partout serait déjà pas mal.
le HTTPS va protéger le contenu, mais pas les metadata.
c’est toujours pareil: c’est les metadata qui sont intéressantes à vendre.
Non tout est chiffré. Ils peuvent juste savoir sur quel serveur tu te connecte, mais dans le cas où c’est un cdn bon courage pour deviner à quel site il correspond.
Le domaine a de forte chance d’être envoyé en claire :https://en.wikipedia.org/wiki/Server_Name_Indication
tout est chiffré sauf les metadata: serveur cible, date, heure, poids de la réponse (donc possible de déterminer un type de contenu), etc…
Lorsque l’on partage quelques choses on ne le donne pas non plus, donc oui ce sont “leurs données”. Si mon FAI sniff mes données de navigation et les revends, il commercialise MES données, c’est moi qui les ai produites, sans moi il n’a rien.
" />
Une règle/une loi qui a été promulgué et qui attends d’être appliquée reste une avancée, en tout cas c’est toujours mieux que rien. Pas compris l’idée derrière ton “niveau individuel” Oô bien sur que c’est au niveau individuel également, soit il log tout, soit rien
… bref rien compris …
C’est clair arrêtez de croire que le https règle tous les problèmes.. le domaine est envoyé en clair, plus les metadata cela suffit à avoir une bonne connaissance de ce que l’on fait/cherche à faire.
Le HTTPS n’est absolument pas une solution miracle, ça sert “juste” à ne pas envoyer ses identifiants de connections en claire par exemple, mais pas du tout à se protéger du tracking.
Pour commencer, la requête DNS est en claire.
C’est déjà beaucoup.
+1, c’est moins cher, tu es sur que tes logs ne seront pas filés à quiconque et t’apprend quelque chose de plus .
Que des avantages :)
faut faire comme a fait une boite d’activiste : acheter les données de navigations des politiciens qui promulguent ce genre de lois, et les diffuser publiquement. Comme ca on va savoir à quelle rubrique de pornhub ils reluquent le plus.
Oui, bon après comme ça n’est pas vraiment possible, du coup va falloir trouver autre chose.
mysafevpn.com indisponible pour l’instant.
Le retour de bâton est-il arrivé plus vite que prévu ? Était-ce un coup de com’ ? Ou encore un canular ?
En tout cas, leur très récent compte twitter n’indique rien.
plex c’est bien. kodi c’est beaucoup mieux.
L’objectif du VPN, c’est d’empêcher l’écoute, pas le tracking. Tu peux tout à fait louer un VPN clé en mains avec une IP fixe individuelle.
Ça m’avait paru chelou ce mail. Je me disais qu’il partait vraiment trop loin , trop vite. C’est rassurant.
Kodi c’est bien, mais historiquement quand tu passait 4h a paramétrer xbmc pour qu’il soit propre et marche comme plex alors que plex ça prenait 10 min max.
Plex avait clairement compris le créneau à viser.
Kodi dispo sur les smarts TV ?
+1 ;)
Je ne posais que la question.