Dans le jeu de réalité virtuelle à succès Gorilla Tag, vous grimpez sur des arbres dans des mondes virtuels tout en essayant d'éviter une foule infectieuse d'autres joueurs. Si vous êtes pris, vous rejoignez la horde. Toutefois, certains jeunes joueurs affirment avoir trouvé un moyen de tricher et de « taguer » facilement leurs adversaires.Au cours de l'année écoulée, des adolescents ont produit des tutoriels vidéo montrant comment télécharger un réseau privé virtuel (VPN) sur les casques de réalité virtuelle Meta et utiliser la technologie de changement de localisation pour prendre de l'avance dans le jeu. Selon ces tutoriels, l'utilisation d'un VPN introduit un délai qui permet de se faufiler plus facilement et de marquer d'autres joueurs.
Le problème ?
Bien que cette « solution » semble relativement inoffensive dans le jeu, il y a un hic : l'application VPN gratuite indiquée dans les tutoriels vidéo, Big Mama VPN, vend également l'accès aux connexions Internet domestiques de ses utilisateurs, les acheteurs se servant essentiellement de l'adresse IP du casque VR pour dissimuler leur propre activité en ligne.
Cette technique de réacheminement du trafic, mieux connue sous le nom de residential proxy (littéralement proxy résidentiel) et plus couramment utilisée par téléphone, est devenue de plus en plus populaire auprès des cybercriminels qui utilisent les réseaux de proxy pour mener des cyberattaques et utiliser des réseaux de zombies. Si le VPN de Big Mama fonctionne comme il est censé le faire, les services de proxy associés de l'entreprise ont été fortement vantés sur les forums de cybercriminels et publiquement liés à au moins une cyberattaque.
Armés d'un VPN pour tricher
Une tendance apparemment inoffensive chez les adolescents jouant au jeu VR à succès Gorilla Tag a soulevé de sérieuses inquiétudes en matière de sécurité. Les jeunes se tournent vers une application VPN gratuite appelée Big Mama VPN pour prendre l'avantage, mais il se peut que, ce faisant, ils louent involontairement leurs connexions internet à domicile à des tiers malveillants.
Gorilla Tag est une expérience multijoueur loufoque dans laquelle les joueurs prennent le contrôle de personnages gorilles et tentent d'éviter d'être « tagués » par d'autres joueurs. C'est un jeu simple et amusant, mais certains jeunes joueurs ont découvert un moyen détourné de faciliter le marquage des autres joueurs. De nombreux joueurs utilisent désormais un VPN appelé Big Mama pour rediriger leur connexion internet, ce qui introduit un décalage qui permet de se faufiler plus facilement parmi les adversaires.
Si cette tricherie semble relativement inoffensive, ses implications sont bien plus sinistres. Il s'avère que Big Mama est plus qu'un simple VPN : c'est une passerelle vers un service de proxy résidentiel louche vendu sur les forums de cybercriminalité.
Les chercheurs en sécurité de Trend Micro ont découvert que Big Mama vendait l'accès aux connexions internet de ses utilisateurs sur une énorme place de marché de proxy. Des acteurs malveillants peuvent temporairement utiliser l'adresse IP résidentielle d'un utilisateur de Big Mama pour dissimuler leurs activités en ligne pour seulement 40 centimes de dollars.
« Si vous l'avez téléchargée, l'accès à la connexion internet de votre appareil est probablement en vente »
« Si vous l'avez téléchargée, il est très probable que [l'accès à la connexion internet de] votre appareil soit en vente sur le marché de Big Mama », déclare Stephen Hilt, chercheur principal en menaces chez Trend Micro. Selon Hilt, Big Mama VPN est peut-être utilisé parce qu'il est gratuit, qu'il n'exige pas que les utilisateurs créent un compte et qu'il n'y a apparemment pas de limites de données, mais les chercheurs en sécurité avertissent depuis longtemps que l'utilisation de VPN gratuits peut exposer les utilisateurs à des risques en matière de confidentialité et de sécurité
Ces risques peuvent être amplifiés lorsque cette application est liée à un proxy résidentiel. Les proxys peuvent « permettre à des personnes mal intentionnées d'utiliser votre connexion Internet pour éventuellement l'utiliser pour leurs attaques, ce qui signifie que votre appareil et l'adresse IP de votre domicile peuvent être impliqués dans une cyberattaque contre une entreprise ou un État-nation », explique Hilt.
La société de cybersécurité Kela note que le service de proxy Big Mama a également fait l'objet d'une promotion active dans les cercles de pirates, avec plus de 1 000 mentions dans 40 forums clandestins différents. Les chercheurs en sécurité ont établi un lien entre les adresses IP de proxy et diverses actions malveillantes, notamment des attaques DDoS, des escroqueries par hameçonnage et des réseaux de zombies malveillants.
Au cœur de l'activité de Big Mama
Big Mama se compose de deux parties : L'application VPN gratuite, disponible sur le magasin Google Play pour les appareils Android et qui a été téléchargée plus d'un million de fois. Ensuite, il y a le Big Mama Proxy Network, qui permet (entre autres) d'acheter un accès partagé à de « vraies » adresses IP 4G et Wi-Fi domestiques pour seulement 40 centimes par 24 heures.
Vincent Hinderer, responsable de l'équipe de renseignement sur les cybermenaces qui a étudié le marché plus large des proxy résidentiels chez Orange Cyberdefense, explique qu'il existe différents scénarios dans lesquels les proxys résidentiels sont utilisés, à la fois par les personnes dont le trafic est acheminé par leurs appareils et par celles qui achètent et vendent des services de proxy. « Il s'agit parfois d'une zone grise sur le plan juridique et éthique », explique Hinderer.
En ce qui concerne les réseaux proxy, Hinderer explique qu'à l'une des extrémités du spectre, les réseaux pourraient être utilisés par des entreprises pour récupérer des informations tarifaires sur les sites web de leurs concurrents. D'autres utilisations peuvent inclure la vérification des publicités ou la vente à la sauvette de baskets pendant les soldes. Ces pratiques peuvent être considérées comme éthiquement obscures, mais pas nécessairement illégales.
À l'autre bout du spectre, selon les recherches d'Orange, les réseaux proxy résidentiels ont été largement utilisés pour le cyber-espionnage par des pirates russes, dans le cadre d'efforts d'ingénierie sociale, d'attaques DDoS, de phishing, de réseaux de zombies, etc. « Les cybercriminels les utilisent en toute connaissance de cause », déclare Hinderer à propos des réseaux proxy résidentiels en général, Orange Cyberdefense ayant fréquemment constaté un trafic proxy dans les journaux liés aux cyberattaques sur lesquelles elle a enquêté. Les recherches d'Orange n'ont pas spécifiquement porté sur l'utilisation des services de Big Mama.
Certaines personnes peuvent consentir à ce que leurs appareils soient utilisés dans des réseaux proxy et être payées pour leurs connexions, explique Hinderer, tandis que d'autres peuvent être incluses parce qu'elles l'ont accepté dans les conditions générales d'un service (quelque chose que différentes recherches ont montré depuis longtemps que les gens ne lisent pas ou ne comprennent pas souvent).
Big Mama ne cache pas que les personnes qui utilisent son VPN verront d'autres trafics transiter par leurs réseaux
L'application indique qu'elle « peut transporter le trafic d'autres clients à travers » l'appareil connecté au VPN, ce qui est également mentionné dans les conditions d'utilisation et dans une page FAQ sur la gratuité de l'application.
La page de Big Mama Network présente ses proxys comme pouvant être utilisés pour la vérification des publicités, l'achat de billets en ligne, la comparaison des prix, le scrapping web, le référencement et une foule d'autres cas d'utilisation. Lorsqu'un utilisateur s'inscrit, il reçoit une liste des emplacements où se trouvent les dispositifs proxy, son fournisseur d'accès à Internet et le coût de chaque connexion.
À l'heure de l'écriture de ces lignes, Big Mama Network propose à la vente 17 300 adresses IP aux Émirats arabes unis, 4 000 aux États-Unis, 279 en France et des dizaines, voire des centaines d'autres adresses IP dans un grand nombre d'autres pays. Les paiements ne peuvent être effectués qu'en crypto-monnaie. Ses conditions d'utilisation précisent que le réseau n'est fourni qu'à des « fins légales » et que les personnes qui l'utilisent pour commettre des fraudes ou d'autres activités illicites seront interdites.
Malgré cela, les cybercriminels semblent s'intéresser de près à ce service. Selon l'analyse de Trend Micro, Big Mama a été régulièrement promu sur des forums clandestins où les cybercriminels discutent de l'achat d'outils à des fins malveillantes. Les messages ont commencé en 2020. De même, la société de sécurité israélienne Kela a trouvé plus de 1 000 messages relatifs au réseau proxy Big Mama sur 40 forums et canaux Telegram différents.
La réaction de Gorilla Tag
Alors que Big Mama affirme ne fournir des services qu'à des « fins légales », les conditions de l'application révèlent discrètement qu'elle « peut transporter le trafic d'autres clients » à travers les connexions des utilisateurs.
De leur côté, les créateurs de Gorilla Tag ont dénoncé l'utilisation de VPN et de logiciels de triche, déclarant que « tout ce qui perturbe » l'esprit ludique du jeu est inacceptable. « Gorilla Tag est un endroit où l'on peut s'amuser avec ses amis, être ludique et créatif. Tout ce qui dérange n'est pas acceptable pour nous », a déclaré un porte-parole du créateur de Gorilla Tag, Another Axiom, qui ajoute qu'il utilise des « mécanismes anti-triche » pour détecter les comportements suspects.
Nous avons déjà vu ce type de comportement de la part de VPN gratuits. Au début de l'année, les États-Unis ont sanctionné trois ressortissants chinois pour avoir exploité 911 S5 - un gigantesque botnet de 19 millions d'adresses IP qui exploitait des services VPN gratuits pour détourner des PC Windows.
Comme ces services ne sont pas facturés à leurs utilisateurs, les opérateurs ont besoin de quelque chose pour payer les coûts des serveurs. Malheureusement, les fournisseurs peu scrupuleux ont souvent recours à des méthodes plus louches pour générer des revenus, comme la vente de données d'utilisateurs, l'utilisation d'IP par des tiers ou l'installation de logiciels malveillants.
Sources : Trend Micro, Cisco Talos, FBI (Comment identifier et supprimer les applications VPN qui contiennent des portes dérobées 911 S5), Orange Cyberdéfense, Big Mama Network
Et vous ?
Quelle lecture faites-vous de la situation ? Avez-vous déjà utilisé un service VPN ? Lequel ? En version gratuite ou payante ? Avez-vous déjà entendu parler de Big Mama ou d'outils VPN similaires ? Que pensez-vous de leur modèle économique ? Le fait qu'il y ait un flou juridique autour rend-il cette pratique acceptable selon vous ? Dans quelle mesure ?