Votre FAI peut-il surveiller votre navigation ?

Contrairement aux idées reçues, surfer sur des sites web chiffrés HTTPS ou utiliser le mode privé d’un navigateur (fournisseur d’accès à Internet) de surveiller et d’enregistrer certaines activités en ligne de ses abonnés. Sans la mise en place d’une solide protection telle qu'un VPN, il est très difficile de préserver la confidentialité de ses données et son anonymat en ligne.

Des sites web visités aux horaires de connexion en passant par le type d’appareil et système d’exploitation utilisés, la quantité de données téléchargées, la durée des sessions et des visites, ou encore les informations liées à l’abonnement Internet (nom, adresse, moyen de paiement…), les FAI qui acheminent la connexion à Internet peuvent accéder et collecter un très grand nombre d’informations sur leurs clients. Dès lors que vous vous connectez à Internet par le biais d’une adresse IP et d’un réseau administré par un opérateur de télécommunication, ce dernier peut suivre pratiquement tous vos faits et gestes en ligne.

Quelles données sont surveillées par les FAI ?

En 2018, sous l’impulsion de Donald Trump, la Chambre des représentants aux États-Unis adopte une loi permettant aux opérateurs de télécommunication de collecter et vendre les données personnelles de leurs clients sans avoir à obtenir leur consentement au préalable. Cela comprend notamment l’historique de navigation, la géolocalisation, ou encore les informations financières et de santé. Grâce à ces informations, les annonceurs peuvent créer des profils d'utilisateurs très précis à des fins de publicité ciblées.

Même si le cadre légal en France et en Europe n'est pas aussi permissif, empêchant les opérateurs de faire tout et n’importe quoi avec les données des internautes, les FAI sont contraints par la loi de conserver les données de facturation (nom, adresse, moyen de paiement…) ainsi que les données de connexion de leurs abonnés durant une période d’un an. Par données de connexion, on entend les identifiants, localisations, dates, heures, durées de sessions, appareils utilisés pour se connecter à Internet, sites (HTTPS) et pages web (HTTP) visités même en navigation privée, navigateur et moteur de recherche utilisés, quantité de données transférées et téléchargées, volume de trafic vers un hôte.

On rappelle également que les FAI portent plusieurs casquettes. En plus d’offrir un accès au réseau Internet à leurs abonnés, ils administrent le réseau mobile, fournissent des box TV et développent de nombreux services numériques annexes grâce auxquels ils confirment leur position stratégique dans le quotidien de leurs clients et la surveillance de leurs données personnelles. On pense par exemple aux messageries électroniques (obligation légale pour les FAI d’offrir un accès au courrier électronique), aux plateformes de VOD, aux applications et produits de sécurité (contrôle parental, alarme et télésurveillance), à la surcouche opérateur d’un smartphone acheté auprès d’un FAI (applis préinstallées, navigateur préconfiguré), etc.

Toutes ces activités permettent aux opérateurs de cumuler des données personnelles variées qui, recoupées avec les informations issues de leur statut de FAI, esquissent des profils utilisateur très détaillés.

Que dit la loi en France ?

Selon l’article L34-1 du Code des postes et des communications électroniques (modifié par les décrets 2021-1361, 2021-1362, 2021-1363), les opérateurs de communication électroniques doivent effacer ou rendre anonymes les données relatives aux communications électroniques. En parallèle, il leur est demandé d’établir des procédures internes – dont le cadre et l’exécution ne sont pas précisés par la loi – destinées à faciliter la transmission d’informations aux autorités compétentes dans le cadre d’une enquête.

Par conséquent, en vertu de l’exception qui confirme la règle, les FAI sont contraints de collecter et conserver les informations relatives à l’identité civile de l’utilisateur (nom, prénom, adresse postale, date et lieu de naissance, numéro de téléphone, adresse mail ou de compte associé) pendant 5 ans, à compter de la fin du contrat ou de la clôture du compte.

Doivent également être conservées pendant 1 an, à compter de la fin du contrat ou de la clôture du compte, toutes les informations recueillies dans le cadre de la souscription (identifiant de la connexion, pseudonymes, données permettant à l’utilisateur de vérifier son mot de passe, informations de paiement), ainsi que les données permettant d’identifier la source de la connexion et les appareils utilisés techniques (adresse IP et port associé, identifiant de l’abonné, numéro d’identification de l’appareil utilisé, numéro de téléphone à l’origine de la communication, horodatage, durée de la communication, localisation).

Enfin, sur décret du Premier ministre, les opérateurs peuvent être sommés de conserver pendant 1 an d’autres données de trafic et de localisation relatives aux communications électroniques comme les dates/heures de début/fin de communication et les caractéristiques de la ligne du client.

En dehors de ces dispositions légales, les opérateurs n’ont pas le droit de collecter activement ni de commercialiser des données personnelles. Il leur est également interdit d’accéder au contenu des communications transitant sur le réseau Internet et/ou mobile (emails ou SMS, par exemple).

Selon la loi, ils n’ont en principe pas non plus le droit de collecter les URL consultées par leurs clients, informations jugées trop sensibles. En revanche, il ne faut pas perdre de vue que lorsque l’internaute se sert des DNS de son FAI pour naviguer sur le web, l’opérateur prend nécessairement connaissance des sites web visités par son abonné, que les domaines soient sécurisés HTTPS ou non.

Comment empêcher la surveillance de votre FAI ?

Bien que certaines données personnelles ne puissent échapper aux opérateurs de télécommunication (informations relatives au contrat, horodatage des connexions à Internet, volume de données transférées), il est toujours possible de passer sous silence d’autres éléments liés au détail des activités en ligne à l’aide d’un VPN comme ExpressVPN.

Pour rappel, un VPN, ou réseau privé virtuel, consiste en un intermédiaire entre un appareil connecté et un serveur de destination. Afin de protéger la confidentialité, la sécurité et l’anonymat de ses utilisateurs et de ses utilisatrices, un tel service isole le trafic du reste du trafic Internet public dans un tunnel généré à l’aide d’un protocole VPN (OpenVPN ou Lightway chez ExpressVPN). Les données qui y circulent sont chiffrées (AES-256), rebondissent sur un serveur VPN distant où elles sont déchiffrées, puis transitent à nouveau vers le site web interrogé. En passant par le réseau ExpressVPN, la connexion emprunte l’adresse IP du serveur par lequel elle dévie. Conséquence directe d’un tel processus : les sites et plateformes web visités communiquent non plus directement avec l’IP de l’internaute, désormais masquée, mais avec celle du serveur VPN auquel l’internaute s’est connecté.

Si l’impact du VPN est clairement démontré côté sites web, il est aussi important côté FAI. On rappelle que l’opérateur fournissant un accès au réseau, il a nécessairement connaissance des connexions Internet de ses abonnés, avec ou sans VPN. En revanche, le VPN chiffrant le trafic sur l’appareil de l’internaute, le FAI n’est plus en mesure de savoir quels sites sont interrogés, ni combien de temps l’utilisateur ou l’utilisatrice passe sur chaque domaine. En clair, d’une utilisation d'ExpressVPN, le FAI ne peut qu’horodater les connexions au service VPN et mesurer le volume de données transférées/téléchargées, sans distinction.

Protégez votre confidentialité en ligne avec ExpressVPN

Avant de choisir un VPN, il convient de prendre quelques précautions et s’assurer qu’il soit connu, reconnu et qu’il assure une politique de non-conservation des données (no-log). Car, on le rappelle, si le FAI n’est plus en mesure de surveiller les activités en ligne de ses abonnées, il sait qu’ils se connectent à un serveur VPN et peut transmettre cette information sur demande des autorités.

Un fournisseur VPN conservant des données d’identification et d’activités en ligne pourrait lui aussi transmettre ces informations confidentielles aux autorités, et donc compromettre l’anonymat et la sécurité de militants, journalistes, activistes, lanceurs d’alerte, en particulier dans les pays pratiquant la une censure d’État très stricte. Ce même fournisseur pourrait également commercialiser ces données très lucratives auprès d’annonceurs. Dans un cas comme dans l’autre, la protection VPN ne servirait plus à rien.

Sur ce point, ExpressVPN fait partie des meilleurs VPN et applique une politique zero-log très stricte confortée par une infrastructure intégralement bâtie sur des serveurs RAM (suppression automatique des données éventuellement stockées à chaque redémarrage des équipements).

Dépendant de la juridiction VPN des Îles Vierges britanniques (data haven), le fournisseur jouit par ailleurs de lois extrêmement favorables au respect de la vie privée en ligne. Il ne rend aucun compte aux alliances de renseignement internationales comme les 5/9/14 Eyes, de même qu’il ne se soumet à aucune législation dite abusive telle que le Freedom Act (remplaçant du Patriot Act depuis 2015) ou d’autres lois nationales jugées intrusives au regard de la liberté et de la protection de la vie privée en ligne. En témoigne son retrait récent du sol indien, alors que le gouvernement a récemment promulgué une loi obligeant les fournisseurs VPN opérant sur place à conserver les données de trafic et d’identification de leurs abonnés pendant 5 ans. En réponse, ExpressVPN a annoncé fermer ses équipements physiques en Inde et les remplacer par des serveurs virtuels (basés à Singapour et au Royaume-Uni).

ExpressVPN garantit également des conditions de sécurité optimales grâce à la prise en charge du très solide protocole OpenVPN et au déploiement de son protocole maison Lightway. Tous deux compatibles avec l’algorithme de chiffrement militaire AES-256, ils certifient la sécurité et l’intégrité des données de trafic qui circulent via le réseau ExpressVPN (3 000 serveurs répartis dans 94 pays).

Afin de prévenir les fuites de trafic, le service VPN intègre un kill switch automatique (NetworkLock). Les tests menés dans le cadre de la rédaction de notre avis sur ExpressVPN ont aussi permis de constater le sérieux du service, alors que nous n’avons constaté aucune fuite DNS, WebRTC ou IPv6.

ExpressVPN n’hésite pas à jouer la transparence, commandant très régulièrement des audits de sécurité auprès de cabinets indépendants réputés. En 2022, Cure53 a été amené à tester la sécurité des clients desktop (Windows, macOS, Linux) et mobiles (Android, iOS) du VPN, ainsi que la fiabilité de la technologie TrustedServer (stockage RAM) déployée par le fournisseur. La même année, KPMG a confirmé le respect de la politique no-log d’ExpressVPN.

Enfin, pour parfaire les mesures mises en place afin de préserver la sécurité et la confidentialité des données de ses abonnés, ExpressVPN dispose d’un mode d’inscription 100% anonyme avec la prise en charge des paiements en cryptomonnaie (Bitcoin via BitPay), est compatible avec l’ensemble des plateformes et systèmes existants (desktop, mobiles, routeurs, consoles de jeux, navigateurs web, TV connectées, box Internet), et protège jusqu’à 5 appareils simultanément.