Sommaire
A propos de l'auteur
Sebastian est le fondateur de hide.me VPN et travaille dans le secteur de la sécurité Internet depuis plus de 10 ans. Il a commencé à cacher.me VPN, il y a 6 ans, pour rendre la sécurité et la confidentialité sur Internet accessible à tous.
Reconnus par des millions de personnes en quête de liberté à travers le monde, les services VPN s'efforcent d'offrir à leurs utilisateurs le maximum en matière de confidentialité mais également une sécurité maximale. Sur cette base, vous devriez à juste titre espérer que le fournisseur de réseau privé virtuel que vous avez choisi sera en mesure de passer au test via une sorte d’audit des systèmes d’information. En effet, il semble que de plus en plus de fournisseurs de réseaux VPN annoncent les résultats de ces audits pour prouver au monde entier qu’ils n’ont rien à cacher et que tout est au-dessus de la normale.
Au sein du secteur des réseaux VPN, les audits sont certainement en train de devenir une tendance alors que les fournisseurs cherchent à légitimer leurs revendications et à promouvoir une existence plus holistique que celle-ci. Au cours des deux dernières années, l’audit indépendant s’est révélé un moyen efficace pour les fournisseurs de services VPN de tester leurs fonctionnalités de sécurité et d’offrir à leurs clients plus que des promesses. Avec des organisations comme ISACA, ainsi que des sociétés mondiales de services professionnels telles que PricewaterhouseCoopers qui offrent leur expertise, ce type d'audit prend de plus en plus de vitesse et gagne du terrain dans le monde.
Ce que votre fournisseur de VPN ne devrait pas enregistrer
Quel type d’informations un fournisseur de réseau privé virtuel peut-il potentiellement avoir sur vous si vous décidez de vous abonner à un tel service? Il serait peut-être plus facile ici de souligner ce qu’ils ne devraient pas faire; en particulier, les VPN ne doivent PAS conserver d’enregistrement des activités suivantes;
- Vos activités de navigation
- Vos journaux de connexion
- Enregistrements des adresses IP VPN qui vous sont attribuées
- Vos IP d'origine
- Votre temps de connexion
- L'histoire de votre navigation
- Les sites que vous avez visités
- Votre trafic sortant
- Le contenu ou les données auxquelles vous avez accédé
- Les requêtes DNS générées par vous
Tout VPN doit s’engager en faveur de la confidentialité et de la sécurité en ligne de ses utilisateurs et, dans le cadre de cet engagement, il doit être raisonnable pour les utilisateurs de s’attendre à ce que tout VPN effectue un audit de sécurité de ses systèmes et de sa politique de non-journalisation. Les VPN ont annoncé quelques modifications à leurs politiques de confidentialité afin de les porter fièrement. «Nous sommes désormais une entreprise de VPN sans logarithme». Les fournisseurs de VPN, notamment Tunnelbear, NordVPN et ExpressVPN, ont tous annoncé les résultats de ces audits et revendiquent désormais des règles de journalisation zéro et aucun enregistrement de l'activité en ligne de leurs utilisateurs. Notre vérification a été effectuée il y a près de 4 ans, ce qui soulève la question suivante: pourquoi a-t-il fallu tant de temps aux autres entreprises pour rattraper leur retard?
L'utilisation d'un service VPN sans journal devrait signifier que votre fournisseur ne collecte ni ne enregistre aucune de vos activités en ligne. Autrement dit, il ne collecte ni ne conserve aucune information transmise via le VPN. Cela signifie naviguer 100% de manière anonyme, comme vous devriez le faire si vous utilisez un VPN. Cependant, de nombreux VPN bien connus gardent les journaux de vos sessions de navigation, ce qui signifie que vous n’êtes pas entièrement sécurisé ou privé. Pour une tranquillité d'esprit (et une confidentialité maximale), il est judicieux de choisir un fournisseur de VPN sans journal.
Audits indépendants en tant que fonctionnalité
Pour pouvoir pointer du doigt les résultats d’un audit, il convient à juste titre de garder la même fourchette que des éléments tels que la vitesse, le prix, le nombre de serveurs, etc. lorsque les utilisateurs choisissent un service VPN. En fait, c'est sans doute le facteur le plus important à prendre en compte. Après tout, si un VPN ne peut pas vous prouver qu’il n’enregistre pas vos activités de navigation, votre historique de navigation ou même votre trafic sortant, pourquoi diable voudrait-il s’inscrire à un tel service?
Nous devrions également tenir compte des compétences de toute entreprise de ce type qui effectue ces audits et de la solidité de leurs rapports. Toute certification solide doit évaluer les fournisseurs de réseau privé virtuel sur la sécurité des utilisateurs et la confidentialité des données de ces derniers. Chaque catégorie devrait alors avoir un ensemble de critères sur lesquels ces fournisseurs peuvent être notés. Idéalement, seuls les fournisseurs qui pourraient remplir tous les critères devraient être certifiés. Les tests de sécurité doivent déterminer que les niveaux de sécurité des applications Web sont élevés et qu’aucune vulnérabilité à risque élevé ou moyen n’est détectée. L'analyse de la sécurité du code source est également importante ici pour déterminer que les meilleures pratiques de sécurité sont utilisées dans le développement d'applications, ainsi que les mesures de sécurité correctement mises en œuvre.
Cela devrait faire partie de la déclaration de mission de tout VPN – protéger la vie privée des utilisateurs. Sur cette base, demandez à voir un rapport de transparence détaillant le nombre de demandes de divulgation des données personnelles d’utilisateurs individuels. Si le VPN ne peut pas répondre à toutes ces demandes en déclarant: «Nous ne pouvons ni ne conservons aucun journal et nous ne pourrons donc pas vous fournir d'informations supplémentaires sur cette question», alors peut-être devriez-vous vous demander pourquoi…
Toutefois, il convient également de rappeler un avertissement – un audit indépendant n'est pas une solution miracle, et certaines annonces concernant les audits VPN doivent être interprétées avec une pincée de sel. Après tout, les PureVPN ont été pris en flagrant délit de donner des informations sur les utilisateurs au FBI, au point de ne pas tenir de journaux. Quelques semaines seulement après ce scandale, PureVPN a mis à jour sa politique de confidentialité afin de révéler (de manière transparente) à quel point ils s’occupaient de la vie privée de leurs utilisateurs. Caveat emptor! De plus, rien n'empêche un VPN de commencer à enregistrer l'activité de l'utilisateur APRÈS que l'audit soit terminé. Tout audit est une image de moment capturant le moment même de l'audit – vous devez toujours faire confiance au fournisseur. Il convient également de noter que de nombreux fournisseurs de VPN divulguent comment ils traitent les informations d'identification personnelle (PII) et que quelques-uns traitent plus de données que nécessaire pour fournir le compte et la connexion VPN.
Alors que beaucoup des principaux fournisseurs de VPN recherchent des vulnérabilités potentielles dans leurs services, les audits indépendants apparaissent comme un moyen efficace de sauvegarder les revendications de sécurité et de confidentialité de ces fournisseurs. Et avec certains cas de journalisation très médiatisés qui ont un impact négatif sur la confiance des utilisateurs (par exemple, PureVPN et IPVanish), il est plus important que jamais de vérifier que les revendications de votre VPN sont réellement vraies. Avec le nombre croissant de fournisseurs de VPN, jour après jour, ces audits pourraient bien devenir la norme de consommation de facto pour choisir le meilleur fournisseur.
Sebastian Schaub, PDG de Cachez-moi
- Nous avons également mis en avant les meilleurs services VPN de 2019