🔬 Contexte

Publié au NDSS Symposium 2026 (San Diego, février 2026), cet article de recherche présente MVPNalyzer, un framework extensible développé par des chercheurs des universités du Michigan, du Nouveau-Mexique et de l’IIT Delhi, destiné à auditer systématiquement la sécurité et la vie privée des applications VPN Android.

🛠️ Méthodologie

Le framework MVPNalyzer se compose de trois modules :

  • Collecte de données : métadonnées Google Play, captures réseau (dans et hors tunnel), clés TLS via hook LD_PRELOAD sur SSL_new, sockets, stockage local
  • Traitement : attribution du trafic par UID, déchiffrement TLS, traduction HTTP/2 → HTTP/1.1, extraction de fichiers de configuration OpenVPN
  • Analyse : cinq modules couvrant le trafic non chiffré, les fuites, l’obfuscation, le tracking/fingerprinting et les configurations VPN

Le dataset couvre 281 applications VPN gratuites issues du Google Play Store, collectées en novembre 2024 via 40 termes de recherche et la catégorie “VPN & Proxy Tools”, testées sur des appareils OnePlus Nord 5G sous Android 14.

⚠️ Résultats clés

Trafic non chiffré :

  • 61 apps transmettent du contenu en clair (HTML, JavaScript, JSON, fichiers de configuration)
  • 5 apps envoient des fichiers de configuration OpenVPN en clair, permettant le détournement du tunnel VPN par un attaquant on-path
  • 10 552 flux non chiffrés observés, avec com.kylovpn générant 2 075 flux
  • 47 domaines classifiés comme suspects par ForcePoint

Fuites de trafic (29 apps) :

  • 24 apps présentent des fuites DNS (360 millions d’installations cumulées)
  • 6 apps laissent fuiter le trafic utilisateur hors du tunnel
  • 4 apps utilisent des tunnels non chiffrés (protocoles SOCKS/HTTP sans chiffrement)

Obfuscation insuffisante :

  • 169 apps sont détectables par des méthodes triviales (ports standards, parseurs DPI nDPI, chaîne “vpn” dans les domaines)
  • Parmi elles, 45 revendiquent explicitement résister au blocage et 65 le font implicitement

Tracking et fingerprinting :

  • 246 apps (>80%) contactent des URLs de tracking/publicité
  • 76 apps exfiltrent l’Advertising ID (identifiant persistant)
  • 210 apps transmettent le modèle d’appareil, 184 le niveau d’API Android, 177 la version OS
  • 38 apps exfiltrent l’adresse IP, 1 app transmet des coordonnées GPS précises

Configurations OpenVPN (108 apps analysées) :

  • 107 apps présentent au moins un problème de sécurité
  • 18,5% utilisent une cryptographie faible (Blowfish, 3DES, chiffrement désactivé via cipher none ou data-ciphers none)
  • 89% n’utilisent qu’un seul facteur d’authentification
  • 11% utilisent des directives dépréciées (comp-lzo, compress — vulnérables à l’attaque VORACLE)
  • 56,4% n’implémentent pas les options de durcissement (tls-auth, tls-crypt, verify-x509-name)
  • CVEs référencées : CVE-2016-6329 (Blowfish/birthday attack), CVE-2016-2183 (3DES)

📊 Impact

Les applications présentant des failles ont été installées plus de 2,4 milliards de fois au total. Les apps avec fuites DNS cumulent 360 millions d’installations.

📢 Divulgation responsable

Les chercheurs ont notifié tous les fournisseurs VPN concernés par les vulnérabilités exploitables. 2 des 5 fournisseurs exposant des fichiers de configuration en clair ont accusé réception et promis de corriger le problème.

📄 Nature de l’article

Il s’agit d’une publication de recherche académique présentée à NDSS 2026, dont l’objectif principal est de proposer un framework d’audit systématique et de documenter l’état réel de la sécurité des VPN mobiles Android à grande échelle.

🧠 TTPs et IOCs détectés

TTP

  • T1557 — Adversary-in-the-Middle (Collection)
  • T1040 — Network Sniffing (Discovery)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1614 — System Location Discovery (Discovery)

IOC

Malware / Outils

  • MVPNalyzer (tool)
  • mitmproxy (tool)
  • Frida (tool)
  • nDPI (tool)

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ ndss-symposium.org — source non référencée (0pts)
  • ✅ 100088 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/2 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.ndss-symposium.org/ndss-paper/mvpnalyzer-an-investigative-framework-for-auditing-the-security-privacy-of-mobile-vpns/