🔬 Contexte
Publié au NDSS Symposium 2026 (San Diego, février 2026), cet article de recherche présente MVPNalyzer, un framework extensible développé par des chercheurs des universités du Michigan, du Nouveau-Mexique et de l’IIT Delhi, destiné à auditer systématiquement la sécurité et la vie privée des applications VPN Android.
🛠️ Méthodologie
Le framework MVPNalyzer se compose de trois modules :
- Collecte de données : métadonnées Google Play, captures réseau (dans et hors tunnel), clés TLS via hook
LD_PRELOADsurSSL_new, sockets, stockage local - Traitement : attribution du trafic par UID, déchiffrement TLS, traduction HTTP/2 → HTTP/1.1, extraction de fichiers de configuration OpenVPN
- Analyse : cinq modules couvrant le trafic non chiffré, les fuites, l’obfuscation, le tracking/fingerprinting et les configurations VPN
Le dataset couvre 281 applications VPN gratuites issues du Google Play Store, collectées en novembre 2024 via 40 termes de recherche et la catégorie “VPN & Proxy Tools”, testées sur des appareils OnePlus Nord 5G sous Android 14.
⚠️ Résultats clés
Trafic non chiffré :
- 61 apps transmettent du contenu en clair (HTML, JavaScript, JSON, fichiers de configuration)
- 5 apps envoient des fichiers de configuration OpenVPN en clair, permettant le détournement du tunnel VPN par un attaquant on-path
- 10 552 flux non chiffrés observés, avec
com.kylovpngénérant 2 075 flux - 47 domaines classifiés comme suspects par ForcePoint
Fuites de trafic (29 apps) :
- 24 apps présentent des fuites DNS (360 millions d’installations cumulées)
- 6 apps laissent fuiter le trafic utilisateur hors du tunnel
- 4 apps utilisent des tunnels non chiffrés (protocoles SOCKS/HTTP sans chiffrement)
Obfuscation insuffisante :
- 169 apps sont détectables par des méthodes triviales (ports standards, parseurs DPI nDPI, chaîne “vpn” dans les domaines)
- Parmi elles, 45 revendiquent explicitement résister au blocage et 65 le font implicitement
Tracking et fingerprinting :
- 246 apps (>80%) contactent des URLs de tracking/publicité
- 76 apps exfiltrent l’Advertising ID (identifiant persistant)
- 210 apps transmettent le modèle d’appareil, 184 le niveau d’API Android, 177 la version OS
- 38 apps exfiltrent l’adresse IP, 1 app transmet des coordonnées GPS précises
Configurations OpenVPN (108 apps analysées) :
- 107 apps présentent au moins un problème de sécurité
- 18,5% utilisent une cryptographie faible (Blowfish, 3DES, chiffrement désactivé via
cipher noneoudata-ciphers none) - 89% n’utilisent qu’un seul facteur d’authentification
- 11% utilisent des directives dépréciées (comp-lzo, compress — vulnérables à l’attaque VORACLE)
- 56,4% n’implémentent pas les options de durcissement (tls-auth, tls-crypt, verify-x509-name)
- CVEs référencées : CVE-2016-6329 (Blowfish/birthday attack), CVE-2016-2183 (3DES)
📊 Impact
Les applications présentant des failles ont été installées plus de 2,4 milliards de fois au total. Les apps avec fuites DNS cumulent 360 millions d’installations.
📢 Divulgation responsable
Les chercheurs ont notifié tous les fournisseurs VPN concernés par les vulnérabilités exploitables. 2 des 5 fournisseurs exposant des fichiers de configuration en clair ont accusé réception et promis de corriger le problème.
📄 Nature de l’article
Il s’agit d’une publication de recherche académique présentée à NDSS 2026, dont l’objectif principal est de proposer un framework d’audit systématique et de documenter l’état réel de la sécurité des VPN mobiles Android à grande échelle.
🧠 TTPs et IOCs détectés
TTP
- T1557 — Adversary-in-the-Middle (Collection)
- T1040 — Network Sniffing (Discovery)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1614 — System Location Discovery (Discovery)
IOC
Malware / Outils
- MVPNalyzer (tool)
- mitmproxy (tool)
- Frida (tool)
- nDPI (tool)
🟡 Indice de vérification factuelle : 46/100 (moyenne)
- ⬜ ndss-symposium.org — source non référencée (0pts)
- ✅ 100088 chars — texte complet (fulltext extrait) (15pts)
- ✅ 2 IOC(s) (6pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 5 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ 0/2 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://www.ndss-symposium.org/ndss-paper/mvpnalyzer-an-investigative-framework-for-auditing-the-security-privacy-of-mobile-vpns/