Une application VPN mobile sur quatre échoue aux contrôles de confidentialité, Zimperium alerte sur les risques cachés pour les entreprises
L'analyse, par zLabs, de 800 applications VPN gratuites révèle que 25 % d'entre elles n’ont pas de politique de confidentialité, abusent dangereusement des autorisations et manquent de transparence.
Paris, le 2 octobre 2025 – Zimperium, leader mondial de la sécurité mobile, a publié une nouvelle découverte de son équipe de recherche zLabs mettant en lumière des failles alarmantes dans les applications VPN (Virtual Private Network) mobiles. Présentés comme des outils indispensables à la confidentialité, l'analyse de 800 applications VPN Android et iOS gratuites révèle que nombre d'entre elles exposent en réalité les utilisateurs et les entreprises à des risques accrus.
Des chiffres préoccupants :
- 25 % des applications VPN iOS n’ont pas de politique de confidentialité valide, contrevenant aux exigences d'Apple et laissant les utilisateurs dans l'incertitude quant à l'usage de leurs données.
- 6 % des applications demandent des droits privés, c’est-à-dire des autorisations système sensibles qui ne devraient jamais être accessibles à des applications tierces.
- Plusieurs VPN intègrent encore un code OpenSSL obsolète, restant exposés à la célèbre vulnérabilité Heartbleed, faille connue depuis plus de dix ans.
- De nombreuses applications abusent des autorisations, en demandant sans justification l'accès au micro, aux journaux système ou à la géolocalisation.
- Certaines applications vont jusqu’à permettre la capture d’écran de l'interface utilisateur, offrant ainsi aux éditeurs ou aux hackers une surveillance bien au-delà de leur usage légitime.
« Ces applications promettent une protection, mais créent au contraire de nouveaux accès à la surveillance, au vol de données et à l'exploitation. Dans un contexte BYOD, un VPN non sécurisé n'est pas seulement un problème pour les consommateurs mais une menace majeure qui peut compromettre la sécurité de l’ensemble de l'entreprise. » a déclaré Ignacio Montamat, VP of Security Research de Zimperium.
L’étude de Zimperium révèlent également d’importantes divergences entre les politiques de confidentialité affichées par les éditeurs et leurs pratiques réelles. Nombre d’applications collectent des données sensibles sans le préciser ou présentent de manière trompeuse leur usage des API système. Ce manque de transparence berne les utilisateurs finaux et les équipes IT lorsqu’il s’agit de choisir des applications auxquelles ils peuvent réellement faire confiance.
Zimperium recommande aux entreprises et aux responsables de la sécurité d'examiner attentivement les applications mobiles autorisées dans les environnements BYOD. Les VPN étant souvent considérés comme « fiables » par défaut, cette analyse souligne la nécessité d'un contrôle plus rigoureux et d'une surveillance continue. Il est essentiel d’avoir une visibilité sur les risques cachés (bibliothèques obsolètes, chiffrement faible, politiques de confidentialité trompeuses, autorisations excessives) afin de protéger les données sensibles des entreprises et de restaurer la confiance dans les dispositifs de sécurité mobiles.
Pour plus de détails, cliquez ICI
À propos de Zimperium
Zimperium est le leader mondial de la sécurité mobile. Conçu pour les environnements mobiles, Zimperium offre une protection inégalée pour les applications mobiles et les appareils mobiles, en s'appuyant sur une sécurité mobile autonome pilotée par l'IA pour contrer les menaces en constante évolution, notamment le phishing (hameçonnage) ciblant les mobiles, les malwares mobiles, les vulnérabilités des applications et leur compromission, ainsi que les menaces de type « zero-day ». Alors que les cybercriminels adoptent une stratégie d'attaque axée sur le mobile, Zimperium permet aux entreprises de garder une longueur d'avance grâce à une protection proactive et optimale de leurs applications et des appareils mobiles de leurs employés essentiels à leur activité. Basé à Dallas, au Texas, Zimperium est soutenu par Liberty Strategic Capital et SoftBank.
Contact Presse
Caroline Pain/Sandra Laberenne
[email protected] / [email protected]
06.50.42.07.67/ 06.43.19.13.88