Les boutiques d'applications Apple et Google hébergent des VPN liés à une entité chinoise sous sanctions

Plusieurs applications de navigation par réseau privé virtuel (VPN) disponibles sur les boutiques d'applications d'Apple et de Google auraient des liens avec une entreprise chinoise de cybersécurité figurant sur la liste noire du gouvernement américain. 

Un rapport du Tech Transparency Project (TTP), cité par le Financial Times , révèle qu'au moins cinq réseaux privés virtuels (VPN) gratuits fonctionnant sur les boutiques d'applications américaines sont liés à Qihoo 360, une société de cybersécurité cotée à Shanghai. 

Qihoo a été sanctionnée par les États-Unis en 2020 pour ses liens présumés avec l'armée chinoise, et le département de la Défense l'a par la suite désignée comme entreprise affiliée à l'armée. TTP a averti que «des millions d'Américains envoient involontairement leur trafic internet vers des entreprises chinoises», suite à ses constatations selon lesquelles 20 des 100 applications les plus téléchargées sur l'App Store d'Apple appartiennent à des entreprises chinoises. 

Applications liées à Qihoo,

Depuis vendredi dernier, les cinq applications VPN, Turbo VPN, VPN Proxy Master, Thunder VPN, Snap VPN et Signal Secure VPN, sont disponibles sur les boutiques américaines d'Apple et de Google. 

Les VPN offrent aux utilisateurs des connexions Internet chiffrées, leur permettant de contourner les restrictions géographiques et les pare-feu. Comme toute l'activité en ligne transite par le service VPN, ces applications ont un accès important aux données des utilisateurs.

Les lois chinoises sur la sécurité nationale obligent les entreprises et les particuliers à coopérer avec les services de renseignement et à fournir des données sur demande. Cette situation inquiète le gouvernement américain, qui pourrait avoir des raisons de croire que les autorités chinoises ont accédé aux données de ces applications.

Selon les estimations de la société d'analyse Sensor Tower, trois des cinq applications ont été téléchargées plus d'un million de fois sur l'App Store d'Apple et le Play Store de Google en 2025.

Pourquoi Qihoo a-t-il été sanctionné ?

Les applications VPN seraient exploitées par Innovative Connecting Pte, une société basée à Singapour et détenue par Lemon Seed Technology, une entité basée aux îles Caïmans. En janvier 2020, Qihoo a racheté Lemon Seed ainsi que deux autres sociétés pour 69,9 millions de dollars. 

Quatre mois plus tard, en mai 2020, les États-Unis ont placé Qihoo sur leur liste noire commerciale, restreignant ainsi son accès à la technologie américaine. En septembre, Qihoo a informé ses investisseurs qu'elle réévaluait sa stratégie à l'international et avait vendu « Projet L », une référence à Lemon Seed, pour 70,1 millions de dollars. L'entreprise n'a pas divulgué l'identité de l'acquéreur.

À Guangzhou, en Chine, une filiale de Qihoo a continué à recruter des développeurs pour travailler sur les applications VPN. Créée en 2019 sous le nom de Qihoo, elle a changé de nom en 2021 pour devenir Guangzhou Lianchuang Technology.

Le Financial Times a examiné les documents commerciaux et a constaté que l'entreprise avait finalement été vendue pour un yuan chinois à une nouvelle société basée à Pékin en 2023.

actionnaire majoritaire de cette pékinoise , était lié à Qihoo. Une personne portant le même nom dirigeait auparavant le département de sécurité téléphonique de Qihoo et figure comme unique directeur de Lemon Seed.

Les offres d'emploi récentes de Guangzhou Lianchuang indiquent que ses applications sont présentes dans plus de 220 pays et comptent 10 millions d'utilisateurs quotidiens. Un poste à pourvoir mentionnait des responsabilités telles que « la surveillance et l'analyse des données de la plateforme », avec une préférence pour les candidats « bien familiarisés avec la culture américaine »

Apple et Google ont des politiques visant à prévenir les violations

Apple et Google ont tous deux des politiques interdisant aux applications VPN d'obtenir des informations sur les utilisateurs sans leur autorisation, ni de les transmettre à des tiers. Suite aux nouvelles allégations de fuite de données, Apple a déclaré respecter toutes les lois applicables et sanctionner les applications qui enfreignent ses règles strictes concernant les VPN. 

L'entreprise a également indiqué que les règles de son App Store ne limitent pas les personnes pouvant posséder une application en fonction de leur nationalité.

Selon Matthew Green, spécialiste en cryptographie à l'université Johns Hopkins, les VPN ont tendance à ignorer certaines lois de conformité car ils ont un accès approfondi aux données des utilisateurs. 

«Les VPN constituent une exception notable aux efforts d'Apple en matière de confidentialité des téléphones, car ils se connectent au réseau principal de votre appareil», a expliqué Green. «Il ne s'agit pas d'une promesse très contraignante et difficile à faire respecter. »

Google a par ailleurs déclaré rester attaché au respect des lois commerciales et des sanctions. «Lorsque nous identifions des comptes susceptibles d'enfreindre ces lois, nos politiques connexes ou nos conditions d'utilisation, nous prenons les mesures appropriées. »