FreeVPN.One, une extension Chrome avec plus de 100 000 installations avec un badge vérifié, fait des captures d'écran de tous les sites visités par les utilisateurs et les transfère vers des serveurs distantsFreeVPN.One, une extension Chrome avec plus de 100 000 installations et un badge vérifié sur le Chrome Web Store, a été dénoncée par des chercheurs pour avoir pris des captures d'écran des écrans des utilisateurs et les avoir exfiltrées vers des serveurs distants. L'analyse forensic de Koi Security a montré que le mécanisme de surveillance se déclenche automatiquement, quelques secondes après le chargement d'une page web.
Un réseau privé virtuel (VPN) est une architecture réseau permettant d'étendre virtuellement un réseau privé (c'est-à-dire tout réseau informatique qui n'est pas l'Internet public) à travers un ou plusieurs autres réseaux qui ne sont pas fiables (car ils ne sont pas contrôlés par l'entité qui souhaite mettre en place le VPN) ou qui doivent être isolés (rendant ainsi le réseau inférieur invisible ou non directement utilisable). Le terme VPN est également utilisé pour désigner les services VPN qui vendent l'accès à leurs propres réseaux privés pour l'accès à Internet en connectant leurs clients à l'aide de protocoles de tunneling VPN.
FreeVPN.One, une extension Chrome avec plus de 100 000 installations et un badge vérifié sur le Chrome Web Store, a été dénoncée par des chercheurs pour avoir pris des captures d'écran des écrans des utilisateurs et les avoir exfiltrées vers des serveurs distants. Une enquête menée par Koi Security sur cet outil VPN révèle qu'il capture des captures d'écran pleine page à partir des navigateurs des utilisateurs, enregistre des données visuelles sensibles telles que des messages personnels, des tableaux de bord financiers et des photos privées, puis les télécharge vers aitd[.]one, un domaine enregistré par le développeur de l'extension.
L'analyse forensic de Koi Security a montré que le mécanisme de surveillance se déclenche automatiquement, quelques secondes après le chargement d'une page web. À l'aide de l'API privilégiée chrome.tabs.captureVisibleTab() de Chrome, des captures d'écran sont prises silencieusement en arrière-plan et regroupées avec des métadonnées comprenant les URL des pages, les identifiants des onglets et les identifiants uniques des utilisateurs. Ces données sont ensuite transmises au serveur aitd.one/brange.php contrôlé par l'attaquant, sans interaction de l'utilisateur ni indication visible.
Comment fonctionne la surveillance ?
Voici comment cela fonctionne en pratique : lorsque vous naviguez d'une page à l'autre, l'extension effectue une série d'actions suspectes
Capture d'écran silencieuse
Quelques secondes après le chargement d'une page, un déclencheur en arrière-plan capture une capture d'écran et l'envoie à aitd[.]one/brange.php, accompagnée de l'URL de la page, de l'ID de l'onglet et d'un identifiant utilisateur unique. Aucune action de l'utilisateur, aucun indice dans l'interface utilisateur, les captures d'écran sont prises en arrière-plan à votre insu.
L'extension utilise une architecture sophistiquée en deux étapes pour capturer les captures d'écran. Tout d'abord, le script de contenu est automatiquement injecté dans chaque site web HTTP et HTTPS grâce au modèle matches: ["http://*/*", "https://*/*"] dans le manifeste. Lors du chargement de la page, le script de contenu exécute un déclencheur différé :
Ce code attend exactement 1,1 seconde après l'initialisation de la page, puis envoie un message interne captureViewport au service worker en arrière-plan pour demander la capture d'écran. Le délai garantit que la page est entièrement rendue avant la capture, ce qui maximise la qualité des informations sensibles qui pourraient être collectées. Le service worker en arrière-plan reçoit ce message et exécute la capture d'écran à l'aide de l'API privilégiée de Chrome chrome.tabs.captureVisibleTab()
Le clic « AI Threat Detection »
Appuyez sur « Scan with AI Threat Detection » (Analyser avec la détection des menaces par IA) et l'extension capture une capture d'écran de la page entière, puis la télécharge sur aitd[.]one/analyze.php pour une analyse côté serveur. À son crédit, la politique de confidentialité divulgue que cette fonctionnalité peut télécharger des captures d'écran de pages et des URL vers leurs serveurs sécurisés. Ce qu'elle ne vous dit pas, c'est que l'extension a déjà pris de nombreuses autres captures d'écran en arrière-plan, bien avant que vous ne cliquiez sur ce bouton. L'interface utilisateur présente cela comme un scan local unique, mais la surveillance est déjà bien avancée.
Collecte dans la nature
Lors de l'installation et au démarrage, l'extension interroge les API de géolocalisation IP pour obtenir des détails sur l'emplacement, collecte des informations sur l'appareil, puis transmet ces données sous forme d'analyses encodées en base64 à aitd[.]one/bainit.php.
Plus difficile à détecter dans la dernière version
Dans sa dernière version, le développeur a introduit le chiffrement AES-256-GCM avec encapsulation de clé RSA pour masquer les données en transit. Cela ne change pas le comportement, qui continue de capturer silencieusement des captures d'écran à chaque visite sur un site web, mais rend l'exfiltration beaucoup plus difficile à détecter par la surveillance du réseau.
Autorisations excessives et risques pour la confidentialité
Si les extensions VPN ont légitimement besoin d'autorisations telles que proxy et storage pour leurs fonctionnalités de base, celle-ci demande davantage d'autorisations qui permettent une collecte de données à grande échelle.
FreeVPN.One demande <all_urls>, tabs, et scripting, un trio qui ouvre la porte à une surveillance persistante.
Avec l'autorisation <all_urls>, l'extension obtient la possibilité d'accéder à tous les sites que vous visitez. Cette large portée lui permet d'injecter un script de contenu partout où vous allez. Elle utilise cette autorisation pour envoyer discrètement un message captureViewport qui déclenche des captures d'écran sur chaque page que vous ouvrez, sans que vous vous en rendiez compte.
Pour capturer ces captures d'écran, l'extension a également besoin de l'autorisation tabs pour utiliser l'API captureVisibleTab() et de l'autorisation scripting pour injecter du JavaScript de manière dynamique.
Les captures d'écran n'attendent pas. L'autorisation tabs active chrome.tabs.captureVisibleTab(), qui capture automatiquement des captures d'écran dès réception du message captureViewport. Quant à l'autorisation scripting, elle ne s'active que lorsque vous cliquez sur « Scan with AI Threat Detection » (Analyser avec la détection des menaces par IA), ce qui déclenche chrome.scripting.executeScript() pour exécuter le code qui capture des captures d'écran pleine page.
Pourquoi est-ce important ? Les captures d'écran peuvent récupérer des mots de passe, des informations bancaires, des messages personnels et toutes les données sensibles affichées sur votre écran. Ces images sont ensuite téléchargées sur un serveur tiers distinct du fournisseur VPN, un chemin d'exfiltration totalement contraire à ce que devrait faire un outil de confidentialité.
Ce n'était qu'un VPN. Puis l'espionnage a commencé.
Pendant des années, FreeVPN.One est resté discret dans le Chrome Web Store, faisant ce qu'il prétendait faire. Un outil VPN basique. Rien dans son comportement ne laissait présager ce qui allait arriver. Puis un jour, le développeur a probablement décidé qu'il voulait capturer les écrans des utilisateurs.
v3.0.3 — avril 2025 — Ouverture de la porte
Elle est arrivée comme n'importe quelle autre mise à jour, discrète, banale, mais cachant un changement crucial : l'autorisation <all_urls>. Cela signifiait que l'extension pouvait désormais accéder à tous les sites que vous visitiez, bien plus que ce dont un VPN devrait avoir besoin. À ce stade, bien que l'autorisation permette un accès plus large, les scripts de contenu étaient toujours limités aux domaines du fournisseur VPN. Pas encore d'espionnage, mais la porte était désormais ouverte.
v3.1.1 — Juin 2025 — Tester les limites
Une nouvelle image de marque incluant « AI Threat Detection » (détection des menaces par IA), des scripts de contenu étendus à tous les sites web que vous visitez et l'ajout de l'autorisation scripting. Pour les utilisateurs, cela ressemblait à une mise à niveau de sécurité. En réalité, le développeur faisait des essais pour voir jusqu'où il pouvait aller sans éveiller les soupçons.
v3.1.3 — 17 juillet 2025 — Tout miser
Le 31 mai 2025, le domaine aitd.one a été enregistré. Un mois plus tard, la version v3.1.3 a été lancée et l'espionnage a commencé :
- Captures d'écran silencieuses sur chaque site
- La collecte a commencé, suivant votre emplacement et récoltant les détails de votre appareil
- L'exfiltration des données a commencé, tout étant envoyé vers les nouveaux serveurs aitd.one
v3.1.4 — 25 juillet 2025 — Effacer ses traces
Réalisant que leur vol de données était détectable, les développeurs ont ajouté un cryptage AES-256, un encapsulage de clé RSA et sont passés à un nouveau sous-domaine scan.aitd.one - même comportement, plus difficile à détecter.
Ce qui avait commencé comme un VPN fiable était désormais une fenêtre toujours ouverte sur vos activités en ligne.
Ils ont obtenu le statut « vérifié » et ont même été mis en avant sur le Chrome Web Store. Et bien que Chrome prétende effectuer des contrôles de sécurité sur les nouvelles versions des extensions, à l'aide d'analyses automatisées, d'examens humains et d'une surveillance des codes malveillants ou des changements de comportement, la réalité est que ces mesures de protection ont échoué. Ce cas montre que même avec ces protections en place, des extensions dangereuses peuvent passer entre les mailles du filet, ce qui met en évidence de graves lacunes en matière de sécurité sur les principales plateformes de navigateurs.
Voici un extrait du rapport de Koi Security :
Le point de vue du développeur, confronté à la réalité
Nous avons contacté le développeur afin de comprendre s'il y avait eu un malentendu. Il nous a fourni plusieurs explications, mais malheureusement, nos observations ne correspondent pas à ses affirmations :
FreeVPN.One montre comment une image de marque axée sur la confidentialité peut se transformer en piège. Vous recherchez une protection, mais l'outil vous surveille en retour. Ce qui est vendu comme une sécurité devient un moyen discret de collecter des informations sur vos activités et votre localisation.
Nous avons contacté le développeur afin de comprendre s'il y avait eu un malentendu. Il nous a fourni plusieurs explications, mais malheureusement, nos observations ne correspondent pas à ses affirmations :
- Il a expliqué que la capture automatique de captures d'écran fait partie d'une fonctionnalité d'analyse en arrière-plan, qui ne devrait se déclencher que si un domaine semble suspect. Dans la pratique, nous avons constaté que des captures d'écran étaient prises sur des services de confiance tels que Google Sheets et Google Photos, des domaines qui ne peuvent être considérés comme suspects.
- Il a déclaré que l'analyse en arrière-plan était initialement activée par défaut pour tous les utilisateurs, mais qu'il était prévu de modifier cela afin que les futures mises à jour nécessitent un consentement explicite. Toutefois, jusqu'à ce que cette modification soit mise en œuvre, les captures d'écran sont prises et envoyées à ses serveurs à l'insu et sans l'autorisation des utilisateurs, ce qui constitue une faille qui sape la confiance, quelle que soit l'intention.
- Il a déclaré que les captures d'écran ne sont ni stockées ni utilisées, mais seulement analysées brièvement pour détecter d'éventuelles menaces. La difficulté ici est que cette affirmation ne peut être vérifiée de manière indépendante. Une fois que les captures d'écran quittent l'appareil de l'utilisateur, il n'y a aucun moyen de confirmer qu'elles ne sont pas conservées.
- Lorsqu'on lui a demandé de fournir des preuves de sa légitimité, telles qu'un profil d'entreprise, un compte GitHub ou une page LinkedIn, le développeur a cessé de répondre à nos e-mails. La seule trace visible était un e-mail lié à phoenixsoftsol.com, qui renvoie actuellement vers une page modèle Wix gratuite sans aucun signe d'une véritable entreprise derrière.
- Il a affirmé avoir fidèlement servi ses utilisateurs, en leur fournissant des services VPN gratuits pendant cinq ans sans jamais vendre leurs données. Cette affirmation est difficile à vérifier et nous oblige déjà à faire confiance au développeur. Mais même si nous la prenons pour argent comptant, le fait d'offrir un VPN gratuit ne donne pas le droit de capturer secrètement les écrans des gens à leur insu et sans leur consentement. C'est là le cœur du problème, et sur ce point, le développeur n'a pas fourni de réponse satisfaisante.
FreeVPN.One montre comment une image de marque axée sur la confidentialité peut se transformer en piège. Vous recherchez une protection, mais l'outil vous surveille en retour. Ce qui est vendu comme une sécurité devient un moyen discret de collecter des informations sur vos activités et votre localisation.
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
Sécurité en ligne compromise : une attaque inédite menace la sécurité de presque toutes les applications VPN et remet en question leur utilité fondamentale Votre VPN pourrait transmettre vos données de navigation à la Chine, car 17 applications VPN disponibles sur les magasins d'applications de Google et d'Apple ont des liens non divulgués avec Pékin Un fournisseur de VPN déclare qu'il ne savait pas que ses clients avaient des abonnements à vie et les annule. Une décision controversée qui illustre la guerre de l'industrie contre les licences perpétuelles
Vous avez lu gratuitement 984 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.