Dans le jeu de ralit virtuelle succs Gorilla Tag, vous grimpez sur des arbres dans des mondes virtuels tout en essayant d’viter une foule infectieuse d’autres joueurs. Si vous tes pris, vous rejoignez la horde. Toutefois, certains jeunes joueurs affirment avoir trouv un moyen de tricher et de taguer facilement leurs adversaires.
Au cours de l’anne coule, des adolescents ont produit des tutoriels vido montrant comment tlcharger un rseau priv virtuel (VPN) sur les casques de ralit virtuelle Meta et utiliser la technologie de changement de localisation pour prendre de l’avance dans le jeu. Selon ces tutoriels, l’utilisation d’un VPN introduit un dlai qui permet de se faufiler plus facilement et de marquer d’autres joueurs.
Le problme ?
Bien que cette solution semble relativement inoffensive dans le jeu, il y a un hic : l’application VPN gratuite indique dans les tutoriels vido, Big Mama VPN, vend galement l’accs aux connexions Internet domestiques de ses utilisateurs, les acheteurs se servant essentiellement de l’adresse IP du casque VR pour dissimuler leur propre activit en ligne.
Cette technique de racheminement du trafic, mieux connue sous le nom de residential proxy (littralement proxy rsidentiel) et plus couramment utilise par tlphone, est devenue de plus en plus populaire auprs des cybercriminels qui utilisent les rseaux de proxy pour mener des cyberattaques et utiliser des rseaux de zombies. Si le VPN de Big Mama fonctionne comme il est cens le faire, les services de proxy associs de l’entreprise ont t fortement vants sur les forums de cybercriminels et publiquement lis au moins une cyberattaque.
Arms d’un VPN pour tricher
Une tendance apparemment inoffensive chez les adolescents jouant au jeu VR succs Gorilla Tag a soulev de srieuses inquitudes en matire de scurit. Les jeunes se tournent vers une application VPN gratuite appele Big Mama VPN pour prendre l’avantage, mais il se peut que, ce faisant, ils louent involontairement leurs connexions internet domicile des tiers malveillants.
Gorilla Tag est une exprience multijoueur loufoque dans laquelle les joueurs prennent le contrle de personnages gorilles et tentent d’viter d’tre tagus par d’autres joueurs. C’est un jeu simple et amusant, mais certains jeunes joueurs ont dcouvert un moyen dtourn de faciliter le marquage des autres joueurs. De nombreux joueurs utilisent dsormais un VPN appel Big Mama pour rediriger leur connexion internet, ce qui introduit un dcalage qui permet de se faufiler plus facilement parmi les adversaires.
Si cette tricherie semble relativement inoffensive, ses implications sont bien plus sinistres. Il s’avre que Big Mama est plus qu’un simple VPN : c’est une passerelle vers un service de proxy rsidentiel louche vendu sur les forums de cybercriminalit.
Les chercheurs en scurit de Trend Micro ont dcouvert que Big Mama vendait l’accs aux connexions internet de ses utilisateurs sur une norme place de march de proxy. Des acteurs malveillants peuvent temporairement utiliser l’adresse IP rsidentielle d’un utilisateur de Big Mama pour dissimuler leurs activits en ligne pour seulement 40 centimes de dollars.
Si vous l’avez tlcharge, l’accs la connexion internet de votre appareil est probablement en vente
Si vous l’avez tlcharge, il est trs probable que [l’accs la connexion internet de] votre appareil soit en vente sur le march de Big Mama , dclare Stephen Hilt, chercheur principal en menaces chez Trend Micro. Selon Hilt, Big Mama VPN est peut-tre utilis parce qu’il est gratuit, qu’il n’exige pas que les utilisateurs crent un compte et qu’il n’y a apparemment pas de limites de donnes, mais les chercheurs en scurit avertissent depuis longtemps que l’utilisation de VPN gratuits peut exposer les utilisateurs des risques en matire de confidentialit et de scurit
Ces risques peuvent tre amplifis lorsque cette application est lie un proxy rsidentiel. Les proxys peuvent permettre des personnes mal intentionnes d’utiliser votre connexion Internet pour ventuellement l’utiliser pour leurs attaques, ce qui signifie que votre appareil et l’adresse IP de votre domicile peuvent tre impliqus dans une cyberattaque contre une entreprise ou un tat-nation , explique Hilt.
La socit de cyberscurit Kela note que le service de proxy Big Mama a galement fait l’objet d’une promotion active dans les cercles de pirates, avec plus de 1 000 mentions dans 40 forums clandestins diffrents. Les chercheurs en scurit ont tabli un lien entre les adresses IP de proxy et diverses actions malveillantes, notamment des attaques DDoS, des escroqueries par hameonnage et des rseaux de zombies malveillants.
Au cur de l’activit de Big Mama
Big Mama se compose de deux parties : L’application VPN gratuite, disponible sur le magasin Google Play pour les appareils Android et qui a t tlcharge plus d’un million de fois. Ensuite, il y a le Big Mama Proxy Network, qui permet (entre autres) d’acheter un accs partag de vraies adresses IP 4G et Wi-Fi domestiques pour seulement 40 centimes par 24 heures.
Vincent Hinderer, responsable de l’quipe de renseignement sur les cybermenaces qui a tudi le march plus large des proxy rsidentiels chez Orange Cyberdefense, explique qu’il existe diffrents scnarios dans lesquels les proxys rsidentiels sont utiliss, la fois par les personnes dont le trafic est achemin par leurs appareils et par celles qui achtent et vendent des services de proxy. Il s’agit parfois d’une zone grise sur le plan juridique et thique , explique Hinderer.
En ce qui concerne les rseaux proxy, Hinderer explique qu’ l’une des extrmits du spectre, les rseaux pourraient tre utiliss par des entreprises pour rcuprer des informations tarifaires sur les sites web de leurs concurrents. D’autres utilisations peuvent inclure la vrification des publicits ou la vente la sauvette de baskets pendant les soldes. Ces pratiques peuvent tre considres comme thiquement obscures, mais pas ncessairement illgales.
l’autre bout du spectre, selon les recherches d’Orange, les rseaux proxy rsidentiels ont t largement utiliss pour le cyber-espionnage par des pirates russes, dans le cadre d’efforts d’ingnierie sociale, d’attaques DDoS, de phishing, de rseaux de zombies, etc. Les cybercriminels les utilisent en toute connaissance de cause , dclare Hinderer propos des rseaux proxy rsidentiels en gnral, Orange Cyberdefense ayant frquemment constat un trafic proxy dans les journaux lis aux cyberattaques sur lesquelles elle a enqut. Les recherches d’Orange n’ont pas spcifiquement port sur l’utilisation des services de Big Mama.
Certaines personnes peuvent consentir ce que leurs appareils soient utiliss dans des rseaux proxy et tre payes pour leurs connexions, explique Hinderer, tandis que d’autres peuvent tre incluses parce qu’elles l’ont accept dans les conditions gnrales d’un service (quelque chose que diffrentes recherches ont montr depuis longtemps que les gens ne lisent pas ou ne comprennent pas souvent).
Big Mama ne cache pas que les personnes qui utilisent son VPN verront d’autres trafics transiter par leurs rseaux
L’application indique qu’elle peut transporter le trafic d’autres clients travers l’appareil connect au VPN, ce qui est galement mentionn dans les conditions d’utilisation et dans une page FAQ sur la gratuit de l’application.
La page de Big Mama Network prsente ses proxys comme pouvant tre utiliss pour la vrification des publicits, l’achat de billets en ligne, la comparaison des prix, le scrapping web, le rfrencement et une foule d’autres cas d’utilisation. Lorsqu’un utilisateur s’inscrit, il reoit une liste des emplacements o se trouvent les dispositifs proxy, son fournisseur d’accs Internet et le cot de chaque connexion.
l’heure de l’criture de ces lignes, Big Mama Network propose la vente 17 300 adresses IP aux mirats arabes unis, 4 000 aux tats-Unis, 279 en France et des dizaines, voire des centaines d’autres adresses IP dans un grand nombre d’autres pays. Les paiements ne peuvent tre effectus qu’en crypto-monnaie. Ses conditions d’utilisation prcisent que le rseau n’est fourni qu’ des fins lgales et que les personnes qui l’utilisent pour commettre des fraudes ou d’autres activits illicites seront interdites.
Malgr cela, les cybercriminels semblent s’intresser de prs ce service. Selon l’analyse de Trend Micro, Big Mama a t rgulirement promu sur des forums clandestins o les cybercriminels discutent de l’achat d’outils des fins malveillantes. Les messages ont commenc en 2020. De mme, la socit de scurit isralienne Kela a trouv plus de 1 000 messages relatifs au rseau proxy Big Mama sur 40 forums et canaux Telegram diffrents.
La raction de Gorilla Tag
Alors que Big Mama affirme ne fournir des services qu’ des fins lgales , les conditions de l’application rvlent discrtement qu’elle peut transporter le trafic d’autres clients travers les connexions des utilisateurs.
De leur ct, les crateurs de Gorilla Tag ont dnonc l’utilisation de VPN et de logiciels de triche, dclarant que tout ce qui perturbe l’esprit ludique du jeu est inacceptable. Gorilla Tag est un endroit o l’on peut s’amuser avec ses amis, tre ludique et cratif. Tout ce qui drange n’est pas acceptable pour nous , a dclar un porte-parole du crateur de Gorilla Tag, Another Axiom, qui ajoute qu’il utilise des mcanismes anti-triche pour dtecter les comportements suspects.
Nous avons dj vu ce type de comportement de la part de VPN gratuits. Au dbut de l’anne, les tats-Unis ont sanctionn trois ressortissants chinois pour avoir exploit 911 S5 – un gigantesque botnet de 19 millions d’adresses IP qui exploitait des services VPN gratuits pour dtourner des PC Windows.
Comme ces services ne sont pas facturs leurs utilisateurs, les oprateurs ont besoin de quelque chose pour payer les cots des serveurs. Malheureusement, les fournisseurs peu scrupuleux ont souvent recours des mthodes plus louches pour gnrer des revenus, comme la vente de donnes d’utilisateurs, l’utilisation d’IP par des tiers ou l’installation de logiciels malveillants.
Sources : Trend Micro, Cisco Talos, FBI (Comment identifier et supprimer les applications VPN qui contiennent des portes drobes 911 S5), Orange Cyberdfense, Big Mama Network
Et vous ?
Quelle lecture faites-vous de la situation ?
Avez-vous dj utilis un service VPN ? Lequel ? En version gratuite ou payante ?
Avez-vous dj entendu parler de Big Mama ou d’outils VPN similaires ? Que pensez-vous de leur modle conomique ?
Le fait qu’il y ait un flou juridique autour rend-il cette pratique acceptable selon vous ? Dans quelle mesure ?