VPN : un audit de sécurité est-il gage de fiabilité ?

No-log policy, anonymat et confidentialité inviolables font invariablement partie du discours commercial des fournisseurs de VPN. Mais comment s’assurer de la véracité de leurs promesses et de la sûreté d'un VPN ?

À en croire l’ensemble des services de VPN existants, aucun ne collecte ni ne conserve les informations personnelles de ses utilisateurs. Pourtant, dès l’inscription, l’internaute est contraint de dévoiler une partie de son identité sagement stockée dans un fichier client. Par la suite, le besoin de contrôler l’usage de la bande passante, de vérifier le nombre d’appareils connectés au service et d’assurer une maintenance réactive laisse sous-entendre que ces mêmes fournisseurs historisent plus de données privées qu’ils veulent bien l’admettre. Et cette pratique est le plus souvent mise en oeuvre pour les VPN gratuits.

Comment fonctionne un VPN ?

Un VPN agit comme un intermédiaire entre une machine et le reste du Web en créant un tunnel de connexion sécurisé par lequel circulent les données chiffrées. En passant par ce tunnel, le trafic de l'usager est isolé du reste du trafic Internet circulant sur le réseau public : invisibilisé de la sorte, il est difficile de l’intercepter et impossible de le déchiffrer – à condition d’avoir opté pour un algorithme de chiffrement solide comme l’AES et un protocole fiable comme OpenVPN.

En empruntant ce chemin virtuel, les données de connexion transitent par les serveurs du VPN avant d’interroger les serveurs des sites Web et plateformes sollicités. Afin de rediriger correctement la requête, les serveurs du VPN déchiffrent le trafic initialement chiffré sur le terminal de l’utilisateur. En tant que relais de connexion, ils occupent donc une place stratégique dans le circuit mis en place pour dissimuler et protéger les informations personnelles. De fait, contrairement aux entités tierces qui ne peuvent théoriquement plus établir de lien entre l’identité de l’utilisateur et ses activités en ligne, le VPN a connaissance de l’ensemble de ces données : nom et coordonnées communiquées au moment du contrat de souscription, adresse IP, contenu des requêtes, heures et dates de connexion.

Il n’est alors pas compliqué de saisir les enjeux soulevés par cette omniscience accordée aux fournisseurs de VPN : comment garantir la confidentialité de ses données personnelles quand un maillon de la chaîne de sécurité en a lui-même connaissance ? Il n’existe pas de réponse réellement satisfaisante mis à part la confiance accordée au service souscrit.

No-log policy : promesse vs réalité

Difficile, cependant, d’octroyer sa confiance à un service privé sans contrepartie certifiée et vérifiable. Certains éléments peuvent néanmoins aiguiller le choix de l’utilisateur, à commencer par la garantie de non-journalisation des données, également appelée politique de no-log.

Argument numéro un mis en avant par la très grande majorité des VPN, la politique de no-log implique que le service n’enregistre ni ne conserve aucune information personnelle ayant trait aux activités en ligne des internautes. On parle ici de la véritable adresse IP de l’utilisateur, des heures et dates de connexion au VPN, des sites Web visités, des quantités de données échangées.

Attention toutefois : lorsque l’on s’abonne à un service VPN, on consent nécessairement à fournir ses nom, prénom, pseudonyme, coordonnées (postales, mail, bancaires, éventuellement téléphoniques) que le fournisseur conserve dans une base de données client. Il s’agit d’une étape non négociable dans le cadre de l’élaboration du contrat, qui doit bien être dissociée des activités en ligne passant par les serveurs du VPN.

En d’autres termes, un fournisseur consciencieux s’engage à ne pas utiliser ces informations pour identifier et pister l’utilisateur. D’où l’importance d’une politique de no-log intransigeante sur l’historisation et le stockage des données de connexions aux serveurs du VPN.

Mais entre la promesse d’un anonymat total, formulé en page d’accueil du service, et le contenu de sa politique de confidentialité et/ou de ses conditions d’utilisation, il existe parfois – souvent – un monde. À titre d’exemples, ProtonVPN (« […] We store nothing but just your last login attempt timestamp […] ») conserve temporairement l’horodatage de la dernière connexion. Idem pour ExpressVPN qui n’hésite pas à contextualiser davantage ces informations (« […] We may know, for example, that our customer John had connected to our New York VPN location on Tuesday and had transferred an aggregate of 823 MB of data across a 24-hour period […] »).

Sur un modèle similaire, CyberGhost enregistre des données dites anonymisées (non associées à un utilisateur, en théorie), mais dont la précision laisse songeur (« Tentative de connexion : nous recueillons ces informations pour connaître la demande d’utilisation adressée à notre Service sur un intervalle horaire/quotidien/hebdomadaire/mensuel particulier, le pays d’origine, votre version Cyberghost VPN, etc. […] »).

Plus inquiétants, les services HideMyAss (VPN et extensions VPN Proxy) collectent et historisent adresse IP source, horodatage des connexions et utilisation de la bande passante.

Il est aussi arrivé par le passé que certains scandales mettent en lumière la collecte et la journalisation de données alors même que les services en cause assuraient le contraire. C’est notamment le cas en 2016, alors qu’IPVanish transmettait au FBI identités des utilisateurs, adresses IP sources, adresses mail, horodatages des connexions dans le cadre d’une enquête sur un réseau de pédo-criminalité. Le service clamait pourtant ne conserver aucune de ces informations.

L’audit : une preuve d’honnêteté ?

L’étiquette no-logs n’est donc en rien une garantie de confidentialité, certains services VPN se permettant quand même d’enregistrer et de conserver des informations relatives à la connexion aux serveurs disponibles.

Pour montrer patte blanche, les fournisseurs les plus populaires mettent également en avant l’argument de l’audit de sécurité. En soumettant leurs infrastructures à une évaluation menée par une entreprise tierce, ils entendent prouver leur honnêteté quant à la politique de non-journalisation stricte qu’ils promettent d’appliquer. À noter que ces audits n’ont évidemment de valeur que s’ils sont menés régulièrement par des cabinets indépendants et qu’ils sont par la suite rendus publics.

Bon élève, NordVPN peut se vanter d’avoir fait auditer son service par deux fois, en 2018 et en 2020. PricewaterhouseCoopers (PwC), le cabinet en charge des vérifications, jouit d’une réputation solide dans son domaine d’expertise. Les méthodes d’examen et conclusions sont accessibles au public sur le site du fournisseur VPN… Mais aucune trace du rapport original.

Même constat pour ExpressVPN qui fait auditer ses nouvelles infrastructures par PwC et ses extensions de navigateur par Cure53. Les conclusions sont rendues publiques en 2019 sur le site du fournisseur, mais pas sur celui des cabinets ayant mené les audits. Il est pourtant possible d’accéder à certains rapports d’expertise sur le site de Cure53, parmi lesquels on trouve les résultats d’audits récents pour Mullvad, TunnelBear ou Surfshark.

En conclusion, un audit, oui, dévoilé publiquement dans sa version originale, encore mieux.

Le cas Private Internet Access

Et il y a toutefois des contre-exemples, avec des services qui, malgré l’absence d’audit ou de toute autre preuve académique de leur bonne foi, ont pu démontrer leur honnêteté sans qu’il soit aujourd’hui possible de la contester.

C’est le cas de Private Internet Access, par deux fois sommé de transmettre à la justice américaine tous les logs dont il disposait, la première fois en 2016, la seconde en 2018. Dans les deux cas, le service n’a jamais pu s’exécuter. Cohérent avec sa politique de stricte non-journalisation, PIA (basé aux États-Unis) n’avait en effet rien enregistré ni conservé aucune données de connexion de ses utilisateurs. Une politique de confidentialité que le service VPN a pu prouver devant le tribunal à deux reprises, attestant par là même de son sérieux en termes d’anonymat, de sécurité et de confidentialité.