Les fournisseurs de VPN profitent-ils de l'ignorance des consommateurs ?

24 juillet 2022 à 12h00
20
VPN banner logo #disc

Des parlementaires américains appellent la FTC (Federal Trade Commission) à mieux réguler les pratiques commerciales des VPN pour limiter la publicité mensongère.

L'industrie VPN se trouve encore une fois dans la tourmente. Cette fois-ci, on l'accuse de prétendre pouvoir protéger des femmes qui cherchent à avorter.

VPN et droit à l'avortement : quel rapport ?

La députée Anna Eshoo et le sénateur Ron Wyden demandent à la Commission fédérale du commerce (FTC) d'aborder le problème de la commercialisation des VPN. Ceux-ci permettent à leurs utilisateurs d'établir une connexion cryptée entre les appareils et des serveurs. Les utilisateurs peuvent s'en servir pour gagner accès à des contenus inaccessibles depuis leur localisation. En général, les VPN aident à mieux protéger l'activité connectée des internautes. Cependant, ils n'offrent pas une protection complète.

Alors que l'avortement va devenir illégal dans au moins 13 États américains, chercher à obtenir des informations sur cette procédure pourrait mener à des poursuites. L'historique numérique de recherche en ligne pourrait notamment être utilisé contre les accusées au tribunal. Ainsi, de nombreuses personnes se sont ruées sur les VPN, pensant qu'ils pourraient protéger leur navigation internet de la surveillance policière.

Protéger les personnes en quête d'avortement

Les membres du Parlement américain préviennent cependant que la protection des VPN est loin d'être systématique, ou même complète. Ces derniers devront donc être plus clairs quant aux capacités de leurs services et ne pas prétendre pouvoir protéger les personnes qui cherchent à obtenir un avortement. Le FTC devra aussi créer une brochure d'informations sur les risques des recherches sur Internet à propos de l'avortement et de l'efficacité réelle des VPN.

Aux États-Unis, les actions visant à protéger les données confidentielles des patients se multiplient alors que l'avortement est de plus en plus restreint. Google a notamment promis de supprimer automatiquement de leur historique la localisation des patients qui se rendent dans des cliniques d'avortement.

Les VPN ont déjà été épinglés pour leur publicité encourageant leurs clients à utiliser des sites de streaming et de téléchargement illégal.

Source : The Verge

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
20
17
Bretwa
J’ai l’impression que celui-là il n’est pas sponsorisé
MattS32
Oui, complétement. Certains de leurs arguments, c’est du bullshit total. Tiens un exemple « Chiffrez vos activités sur Internet afin que personne ne puisse suivre ou voler vos données. ». Le chiffrement n’est qu’entre l’utilisateur et le serveur VPN. Au-delà, ça sort sans plus de chiffrement que quand on n’utilise pas de VPN (et donc, le chiffrement dépend des protocoles et applications utilisées). Donc le seul que ça empêche de voler les données, c’est le FAI. Mais à la place, c’est le fournisseur de VPN qui peut les voler…<br /> Sachant que le premier est une entreprise ayant pignon sur rue en France et soumise à la législation française et européenne, relativement stricte en matière de respect de la vie privée, alors que les sociétés de VPN sont bien souvent des sociétés obscures basées dans des paradis fiscaux (tiens par exemple un VPN au nom faisant penser qu’il serait basé dans les pays nordiques, où la législation sur la vie privée est très stricte, a en fait son siège social au Panama) et dont on ne sait pas trop qui les détient…<br /> Ajoutons à ça une communication qui met régulièrement des usages illégaux en avant pour vendre le produit, et on se rend compte du peu de morale dont font preuve ses fournisseurs… S’ils en ont aussi peu vis à vis des données qui transitent sur leurs serveurs, ça laisse la porte ouverte à pas mal de choses…<br /> Et même simplement le fait de vendre leur produit comme étant des « VPN » est à la limite du mensonger : à l’usage, c’est plutôt un proxy intégral plus qu’un VPN, puisqu’on ne peut pas les utiliser pour faire un vrai VPN (sauf quelques uns, j’ai vu passer une news sur l’ajout de cette possibilité chez je ne sais plus quel fournisseur récemment), c’est-à-dire pour mettre en réseau « local » plusieurs machines situées sur des réseaux différents.
gnouman
Mon préféré c’est quand même quand ils expliquent que tu peux avoir accès au catalogue d’un autre pays pour avoir les films en avance. Ils oublient juste de dire que tu as rarement une traduction qui va avec…<br /> J’ai eu un vpn pendant 3 ans et je ne m’en suis pratiquement jamais servie et j’ai envie du mal à voir sa réel utilité dans un usage quotidien.
Oldtimer
J’ai discuté avec une personne de chez CyberGhost concernant l’efficacité de la protection contre la géolocalisation etc…<br /> Elle m’avait alors répondu qu’il existait différents moyens pour passer outre la protection des vpn…<br /> Elle n’a pas voulut m’en dire plus.
Sodium
Ils oublient surtout que promouvoir des activités illégales est… ben totalement illégal, assez logiquement…
_Troll
Il y a environ six mois une publicite Clubic me proposait de recevoir les chaines de television francaise, et en fin de compte il ne s’agissait que d’un vpn sans aucun service de retransmission de la television francaise.
Furax
En effet, ça change d’une bonne partie des « articles » sur Clubic…
Ketpo
Je me trompe peut etre, mais comme la norme de navigation étant HTTPS (=chiffré de bout en bout), ni le FAI, ni le VPN, n’ont accès aux données (il n’y a que le site final qui peut décrypter les données grâce à sa clef privé).<br /> Le VPN permet donc de cacher l’IP du client vers le site destination, mais ce qu’il renseigne et éventuellement les cookies de traçage type google, facebook, … ne sont pas + protégé, VPN ou pas.
MattS32
Ketpo:<br /> Je me trompe peut etre, mais comme la norme de navigation étant HTTPS (=chiffré de bout en bout), ni le FAI, ni le VPN, n’ont accès aux données (il n’y a que le site final qui peut décrypter les données grâce à sa clef privé).<br /> C’est ce que j’entendais par « et donc, le chiffrement dépend des protocoles et applications utilisées ». Si on est en HTTPS, aucun n’a accès aux données. Si on est en HTTP, le FAI ou le fournisseur VPN y a accès.<br /> Et même en HTTPS le FAI ou le fournisseur VPN, peut quand même avoir quelques infos : d’après les requêtes DNS et les requêtes SNI en HTTPS il peut connaître les sites visités (limité au nom de domaine/sous-domaine).
NumLOCK
« d’après les requêtes DNS et les requêtes SNI en HTTPS il peut connaître les sites visités (limité au nom de domaine/sous-domaine) »<br /> Non… la partie SNI est dans un header HTTPS, donc elle est chiffrée avec le reste
MattS32
Non, le SNI est une extension du protocole TLS, envoyé dans le paquet TLS Client Hello, il n’est pas dans les headers HTTP, c’est au niveau d’au-dessus (mais le domaine est aussi dans les headers HTTP, le header Host, et lui est effectivement chiffré en HTTPS… mais il faut d’abord envoyer le domaine via SNI avant de faire les échanges HTTPS, pour que le serveur envoie le bon certificat quand il gère plusieurs domaines).<br /> Un petit exemple avec un accès à Clubic avec la dernière version de Edge :<br /> 2022-07-24 17_41_22-_Ethernet 3 (host 5.135.119.243 or host 5.135.119.242 or host 5.135.119.241)994×760 52.6 KB<br /> On voit bien le www.clubic.com passer en clair dans le paquet Client Hello (paquets 11 et 13 de la capture). La réponse, Server Hello (paquet 15) est le premier paquet chiffré, partiellement : une partie TLS non chiffrée, qui indique le protocole de chiffrement et les clés à utiliser pour les requêtes suivantes, puis une partie http-over-tls chiffrée, qui correspond à priori à l’envoi du certificat de Clubic, mais sans certitude).<br /> Il y a des extensions de TLS 1.3 qui permettent de faire du SNI chiffré (Encrypted SNI qui ne chiffre que le SNI, remplacé désormais par Encrypted Client Hello qui chiffre tout le Client Hello).<br /> Mais c’est encore loin d’être déployée partout, aussi bien côté serveurs que côté clients. Cloudflare l’a déployé sur ses serveurs et a une page pour tester si son navigateur le supporte : https://www.cloudflare.com/ssl/encrypted-sni/<br /> Firefox supporte le ESNI, mais pas activé par défaut (il faut ajouter network.security.esni.enabled à true dans about:config). C’est à priori le seul navigateur à le supporter.<br /> Pour l’ECH, il n’y a aucun navigateur majeur qui le supporte à ce jour (et il y a des chances que ça reste comme ça, au moins en configuration par défaut, tant que ça ne sera qu’un draft).<br /> Je viens de tester avec tous mes navigateurs, tous échouent sur le « Secure SNI » (qui teste uniquement le support du ECH, pas celui du ESNI, qui est mort né) : Firefox Developer 103, Firefox 102, Edge 103, Chrome 103, Opera 89.
Peggy10Huitres
En même temps pour beaucoup, VPN ça veut dire Vie Privée Numérique voir, Vladimir Poutine Network …
KangalDog_Belaya_Smert
MattS32
Alors que c’est juste un Véritable Piège à Noobs
slvlbn
Sauf que certains fournisseurs de VPN installent leur propre certificat racine auto-signé sous windows. Parfait pour un petit mitm discret.
jeanlucesi
Si les VPN ne servent à rien pourquoi sont-ils interdits dans les dictatures ?
darkneo2976
Rien qu’une recherche sur l’avortement ca devient illégal?
MattS32
Le fait qu’ils soient interdits dans les dictatures n’infirme pas le fait qu’ils ne servent pas à grand chose dans un pays qui n’est pas une dictature…<br /> Dans une dictature, il y a une quantité massive de sites auxquels l’accès est bloqué par les autorités. Le VPN permet de contourner cette censure.<br /> En France, les cas de blocage de par les autorités sites sont extrêmement rares (et principalement des sites illégaux liés au piratage) et je n’ai pas encore connaissance d’un cas de blocage par les autorités nécessitant d’utiliser un VPN pour le contourner.
curulman
Fingerprinting le voilà le moyen de te repérer pour ensuite mieux te géoloc …
adnstep
Tiens, il y a encore des informaticiens sur Clubic ?
Voir tous les messages sur le forum

Derniers actualités

La mémoire Micron GDDR6X à 24 Gbps entre en production de masse
La DDR5-6000
Stadia permet à ses joueurs de streamer un jeu en petit comité
Cet ancien employé de Twitter espionnait les utilisateurs pour le compte de l'Arabie saoudite
Cyberharcèlement : en Europe, les parents protègent moins leurs enfants que dans le reste du monde
Apple déploie la 3e bêta publique d'iOS 16, d'iPadOS 16 et de macOS Ventura
Google veut faire de votre TV votre coach sportif
Taïwan a subi un pic de cybermenaces en marge de la visite de l'Américaine Nancy Pelosi
Ce vidéoprojecteur sera parfait pour vos soirées d'été !
Samsung annonce les Galaxy Watch 5 et ses Gala Buds 2 Pro
Haut de page