L’extension Chrome populaire Hola a vendu aux utilisateurs de la bande passante pour des botnets

Hola, l’un des services en ligne les plus populaires pour visionner des vidéos et des émissions de télévision bloquées d’autres pays, a transformé ses utilisateurs en botnet à leur insu. Le logiciel, qui est disponible sous forme de plugin pour le navigateur Chrome sur les ordinateurs de bureau et les appareils mobiles, avait auparavant été loué pour offrir un service facile à utiliser et gratuit. Cependant, il semble que la société ait discrètement vendu les « ressources inutilisées » des utilisateurs (c’est-à-dire leur bande passante) via une marque distincte, Luminati, permettant à quiconque d’acheter du trafic en masse et de le rediriger vers un site cible sous forme d’attaque par déni de service. Essentiellement, les utilisateurs de Hola ont été des mercenaires involontaires dans un botnet-for-hire.

Le problème a été mis en lumière après que le modérateur du forum controversé 8chan – une ramification de 4chan qui a été critiquée pour agir comme un « réseau pédophile actif » – a signalé que le site avait été la cible de multiples attaques DoS provenant du réseau de Hola. « Le site a récemment réalisé qu’il disposait d’un botnet de 9 millions d’adresses IP et a commencé à vendre l’accès à ce botnet », indique une note sur le site.  » Un attaquant a utilisé le réseau Luminati pour envoyer des milliers de regards légitimes en 30 secondes, ce qui représente un pic de 100x par rapport au trafic de pointe. « 

Hola est capable d’agir comme un botnet pour la même raison que son service est gratuit : il ne fournit pas sa propre bande passante ou ses serveurs, mais redirige simplement celle de ses utilisateurs. La plupart des réseaux privés virtuels (VPN) disposent de leurs propres serveurs répartis dans le monde entier. Ils acheminent la connexion Internet d’un utilisateur par le biais de ceux-ci, de sorte qu’elle semble provenir d’un autre pays. Cela permet à un utilisateur en France, par exemple, de regarder des émissions de télévision géobloquées depuis les États-Unis. Hola, en revanche, fonctionne comme un VPN peer-to-peer, acheminant les connexions des utilisateurs à travers les appareils des autres, comme un central téléphonique géant. Hola gagne de l’argent en vendant la bande passante inutilisée de ses utilisateurs gratuits sous la marque Luminati. Les utilisateurs qui ne veulent pas contribuer à leur bande passante doivent payer 5 dollars par mois explique la FAQ du site.

Le fondateur de Hola, Ofer Vilenski, a déclaré que le site a « toujours été clair » sur le fonctionnement de ce modèle économique, mais les utilisateurs de Hola semblent avoir été presque universellement inconscients que leur bande passante était vendue. Un fil sur Reddit discutant de la nouvelle est rempli de commentateurs exprimant leur indignation et leur surprise. « Je l’ai depuis des années », écrit un commentateur, « putain, on ne sait pas qui a utilisé ma connexion internet ! !! Et pour quoi ? ! » Même les utilisateurs qui auraient pris le temps de lire la FAQ de Hola pourraient avoir été induits en erreur – TorrentFreak allègue que le site n’a ajouté « que récemment » des détails expliquant le rôle du service Luminati sur son site.

L’inquiétude de certains utilisateurs n’est pas seulement que Hola ait fait main basse sur leur bande passante, mais que leur connexion ait pu être utilisée à des fins illégales – accéder à n’importe quoi, du contenu protégé par le droit d’auteur aux images d’abus d’enfants. Dans le cas du DoS contre 8chan, Vilenski de Hola a déclaré que l’attaquant « aurait pu utiliser n’importe quel réseau VPN commercial, mais a choisi de le faire avec le nôtre » et que son compte a maintenant été « résilié ». Les millions d’utilisateurs de Hola, cependant, pourraient ne pas être réconfortés par cette nouvelle. Au moment de la rédaction de cet article, l’entreprise n’a pas répondu à la demande de commentaire de The Verge.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *