Un audit de sécurité prouve t'il la fiabilité d’un VPN ?

23 juin 2021 à 15h16
7
VPN

No-log policy, anonymat et confidentialité inviolables font invariablement partie du discours commercial des fournisseurs de VPN . Mais comment s’assurer de la véracité de leurs promesses et de la sûreté d'un VPN ?

À en croire l’ensemble des services de VPN existants, aucun ne collecte ni ne conserve les informations personnelles de ses utilisateurs. Pourtant, dès l’inscription, l’internaute est contraint de dévoiler une partie de son identité sagement stockée dans un fichier client. Par la suite, le besoin de contrôler l’usage de la bande passante, de vérifier le nombre d’appareils connectés au service et d’assurer une maintenance réactive laisse sous-entendre que ces mêmes fournisseurs historisent plus de données privées qu’ils veulent bien l’admettre.

Comment fonctionne un VPN ?

Un VPN agit comme un intermédiaire entre une machine et le reste du Web en créant un tunnel de connexion sécurisé par lequel circulent les données chiffrées. En passant par ce tunnel, le trafic de l'usager est isolé du reste du trafic Internet circulant sur le réseau public : invisibilisé de la sorte, il est difficile de l’intercepter et impossible de le déchiffrer – à condition d’avoir opté pour un algorithme de chiffrement solide comme l’AES et un protocole fiable comme OpenVPN.

VPN

En empruntant ce chemin virtuel, les données de connexion transitent par les serveurs du VPN avant d’interroger les serveurs des sites Web et plateformes sollicités. Afin de rediriger correctement la requête, les serveurs du VPN déchiffrent le trafic initialement chiffré sur le terminal de l’utilisateur. En tant que relais de connexion, ils occupent donc une place stratégique dans le circuit mis en place pour dissimuler et protéger les informations personnelles. De fait, contrairement aux entités tierces qui ne peuvent théoriquement plus établir de lien entre l’identité de l’utilisateur et ses activités en ligne, le VPN a connaissance de l’ensemble de ces données : nom et coordonnées communiquées au moment du contrat de souscription, adresse IP, contenu des requêtes, heures et dates de connexion.

Il n’est alors pas compliqué de saisir les enjeux soulevés par cette omniscience accordée aux fournisseurs de VPN : comment garantir la confidentialité de ses données personnelles quand un maillon de la chaîne de sécurité en a lui-même connaissance ? Il n’existe pas de réponse réellement satisfaisante mis à part la confiance accordée au service souscrit.

No-log policy : promesse vs réalité

Difficile, cependant, d’octroyer sa confiance à un service privé sans contrepartie certifiée et vérifiable. Certains éléments peuvent néanmoins aiguiller le choix de l’utilisateur, à commencer par la garantie de non-journalisation des données, également appelée politique de no-log.

Argument numéro un mis en avant par la très grande majorité des VPN, la politique de no-log implique que le service n’enregistre ni ne conserve aucune information personnelle ayant trait aux activités en ligne des internautes. On parle ici de la véritable adresse IP de l’utilisateur, des heures et dates de connexion au VPN, des sites Web visités, des quantités de données échangées.

VPN

Attention toutefois : lorsque l’on s’abonne à un service VPN, on consent nécessairement à fournir ses nom, prénom, pseudonyme, coordonnées (postales, mail, bancaires, éventuellement téléphoniques) que le fournisseur conserve dans une base de données client. Il s’agit d’une étape non négociable dans le cadre de l’élaboration du contrat, qui doit bien être dissociée des activités en ligne passant par les serveurs du VPN.

En d’autres termes, un fournisseur consciencieux s’engage à ne pas utiliser ces informations pour identifier et pister l’utilisateur. D’où l’importance d’une politique de no-log intransigeante sur l’historisation et le stockage des données de connexions aux serveurs du VPN.

Mais entre la promesse d’un anonymat total, formulé en page d’accueil du service, et le contenu de sa politique de confidentialité et/ou de ses conditions d’utilisation, il existe parfois – souvent – un monde. À titre d’exemples, ProtonVPN (« […] We store nothing but just your last login attempt timestamp […] ») conserve temporairement l’horodatage de la dernière connexion. Idem pour ExpressVPN qui n’hésite pas à contextualiser davantage ces informations (« […] We may know, for example, that our customer John had connected to our New York VPN location on Tuesday and had transferred an aggregate of 823 MB of data across a 24-hour period […] »).

Sur un modèle similaire, CyberGhost enregistre des données dites anonymisées (non associées à un utilisateur, en théorie), mais dont la précision laisse songeur (« Tentative de connexion : nous recueillons ces informations pour connaître la demande d’utilisation adressée à notre Service sur un intervalle horaire/quotidien/hebdomadaire/mensuel particulier, le pays d’origine, votre version Cyberghost VPN, etc. […] »).

Plus inquiétants, les services HideMyAss (VPN et extensions VPN Proxy) collectent et historisent adresse IP source, horodatage des connexions et utilisation de la bande passante.

Il est aussi arrivé par le passé que certains scandales mettent en lumière la collecte et la journalisation de données alors même que les services en cause assuraient le contraire. C’est notamment le cas en 2016, alors qu’IPVanish transmettait au FBI identités des utilisateurs, adresses IP sources, adresses mail, horodatages des connexions dans le cadre d’une enquête sur un réseau de pédo-criminalité. Le service clamait pourtant ne conserver aucune de ces informations.

L’audit : une preuve d’honnêteté ?

L’étiquette no-logs n’est donc en rien une garantie de confidentialité, certains services VPN se permettant quand même d’enregistrer et de conserver des informations relatives à la connexion aux serveurs disponibles.

Pour montrer patte blanche, les fournisseurs les plus populaires mettent également en avant l’argument de l’audit de sécurité. En soumettant leurs infrastructures à une évaluation menée par une entreprise tierce, ils entendent prouver leur honnêteté quant à la politique de non-journalisation stricte qu’ils promettent d’appliquer. À noter que ces audits n’ont évidemment de valeur que s’ils sont menés régulièrement par des cabinets indépendants et qu’ils sont par la suite rendus publics.

VPN

Bon élève, NordVPN peut se vanter d’avoir fait auditer son service par deux fois, en 2018 et en 2020. PricewaterhouseCoopers (PwC), le cabinet en charge des vérifications, jouit d’une réputation solide dans son domaine d’expertise. Les méthodes d’examen et conclusions sont accessibles au public sur le site du fournisseur VPN… Mais aucune trace du rapport original.

Même constat pour ExpressVPN qui fait auditer ses nouvelles infrastructures par PwC et ses extensions de navigateur par Cure53. Les conclusions sont rendues publiques en 2019 sur le site du fournisseur, mais pas sur celui des cabinets ayant mené les audits. Il est pourtant possible d’accéder à certains rapports d’expertise sur le site de Cure53, parmi lesquels on trouve les résultats d’audits récents pour Mullvad, TunnelBear ou Surfshark.

En conclusion, un audit, oui, dévoilé publiquement dans sa version originale, encore mieux.

Le cas Private Internet Access

Et il y a toutefois des contre-exemples, avec des services qui, malgré l’absence d’audit ou de toute autre preuve académique de leur bonne foi, ont pu démontrer leur honnêteté sans qu’il soit aujourd’hui possible de la contester.

C’est le cas de Private Internet Access, par deux fois sommé de transmettre à la justice américaine tous les logs dont il disposait, la première fois en 2016, la seconde en 2018. Dans les deux cas, le service n’a jamais pu s’exécuter. Cohérent avec sa politique de stricte non-journalisation, PIA (basé aux États-Unis) n’avait en effet rien enregistré ni conservé aucune données de connexion de ses utilisateurs. Une politique de confidentialité que le service VPN a pu prouver devant le tribunal à deux reprises, attestant par là même de son sérieux en termes d’anonymat, de sécurité et de confidentialité.

Pour en savoir plus sur la sûreté des VPN, consultez aussi notre dossier sur la domiciliation des VPN et comment cela peut affecter son utilisation

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
7
jcc137
Une fois de plus tout est démontré dans cet article sur l’objet chimérique de l’invisibilité du web. Sur le plan criminalistique, Apple avait fait sa forte tête et tenu bon contre le FBI dans son refus de décrypter la clé de verrouillage d’un iphone appartenant à un tueur de masse radicalisé (rien que ça !).<br /> Pourtant il suffirait d’une loi pour obliger les constructeurs, sous peine de complicité, à tuer (terme pertinemment choisi) cette confidentialité, prouvant un peu plus que dans le domaine de l’informatique, les secrets sont gardés par des Polichinelle.
buitonio
Merci beaucoup pour cet article ! J’ai bien aimé le contenu, le ton mesuré, ni sensationnaliste ni catastrophiste.
Jean05
En tout les cas avec un VPN la navigation sur le net est beaucoup plus sûr point de vu sécurité qu’avec un anti-virus.
BZValoche
Jean05 c’est faux.
Jean05
Pourtant des informaticiens l’affirment.
kyosho62
Source ? parce que c’est deux choses différentes.
Kaikusan
Concernant Mullvad, ce vpn chez qui je suis abonné offre une réelle transparente au sujet des audits subis. Je serais curieux de voir ce que cela donnerait sur un fournisseur tel que Cyberghost, qui appartient à des anciens du renseignement israélien, vpn propriété de Kape, nouveau nom de Crossrider. Eh oui, c’est bien le Crossrider qui donnait des sueurs froides aux antivirus !
BZValoche
J’en suis un justement. Utiliser un VPN n’empêche absolument pas de visiter des sites vérolés, ni l’utilisateur de cliquer sur des liens malveillants, ni visiter des sites dangereux.
Voir tous les messages sur le forum
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page