L’essor des services VPN ces dernières années a moins à voir avec la confidentialité que vous ne le pensez. La plupart des gens les utilisent pour débloquer des services de streaming vidéo, des sites Web et d’autres services en ligne, mais c’est vraiment un avantage secondaire : ils sont conçus pour offrir des couches supplémentaires de confidentialité lorsque vous utilisez Internet.

Pour ce faire, ils cryptent les données envoyées vers et depuis votre ordinateur, téléphone ou tablette afin que votre fournisseur de services Internet ne puisse pas voir ce que vous faites (comme c’est le cas si vous n’utilisez pas de VPN).

Mais en utilisant un VPN, vous acheminez toutes ces données via un serveur appartenant au service VPN. Le fait même que les données doivent être déchiffrées lorsqu’elles atteignent le serveur VPN avant d’être envoyées à leur destination finale signifie que le service VPN boîte voyez ce que vous faites. Sauf que ce n’est généralement pas possible, car la plupart de ces données sont déjà crypté (à cause de https et d’autres technologies Web), le VPN crypte donc les données déjà cryptées.

De plus, tout service VPN réputé sera configuré pour fonctionner de manière à ce qu’aucune de ces données ne soit jamais stockée ou enregistrée. C’est à cela qu’une politique de non-journalisation fait référence. Cela signifie qu’aucune information sur les sites Web que vous visitez, lorsque vous vous connectez et vous déconnectez ou sur les fichiers que vous téléchargez, et certainement pas votre adresse IP (qui peut lier cette activité à tu) est enregistré ou conservé.

Certains services VPN – y compris NordVPN – sont allés jusqu’à supprimer les disques durs de leurs serveurs ou à les rendre en lecture seule pour s’assurer que les données ne sont pas accidentellement enregistrées. Les serveurs fonctionnent en utilisant la RAM comme stockage temporaire pour les fichiers nécessaires au fonctionnement du service et, si jamais ce serveur était saisi par les autorités, toutes les données de la RAM disparaîtraient lorsqu’il serait débranché.

Mais si vous passez au peigne fin la politique de confidentialité d’un service VPN – qui inclut des détails sur toute politique de non-journalisation – vous constaterez souvent que quelques les données sont enregistrées.

Pour la plupart, il s’agit d’une pratique courante dans l’industrie, et tout est anonyme, donc ne peut être retracé à un utilisateur spécifique. Presque toujours, cela est fait pour surveiller les performances du service et l’améliorer.

Les types de choses qui sont enregistrées sont les types d’appareils que les gens utilisent, comme un iPhone, un ordinateur portable Windows ou un Amazon Fire TV Stick ; les serveurs auxquels ils se connectent (pour voir lesquels sont les plus populaires, afin d’en ajouter d’autres dans les emplacements qui en ont le plus besoin) et pour imposer le nombre de connexions simultanées.

NordVPN, par exemple, autorise jusqu’à six connexions au service à la fois. S’il n’enregistrait littéralement rien, il n’aurait aucun moyen de savoir combien d’appareils vous aviez connectés à son service, et donc aucun moyen de vous empêcher de connecter plus de six appareils.

Dans de nombreux cas, vous devez avoir confiance qu’un service VPN respecte ce qu’il déclare dans sa politique de confidentialité, mais NordVPN et certains autres emploient des sociétés extérieures – des auditeurs – pour fouiller et vérifier qu’ils fonctionnent effectivement conformément à ces politiques. C’est l’une des choses que nous recherchons lorsque nous examinons un service VPN.

L’application iPhone de NordVPN Dominik Tomaszewski / Fonderie

Un audit, c’est bien beau, mais si vous creusez encore plus loin dans les petits caractères, vous pourriez trouver une formulation comme celle-ci, sur la page Warrant Canary de NordVPN : confidentialité et sécurité, nous n’enregistrons jamais leur activité sauf ordonnance d’un tribunal d’une manière appropriée et légale.”

Cela vous inquiéterait à juste titre. Il semble dire “Nous avons une très bonne politique de zéro journal mais nous enregistrerons vos données si un tribunal nous le demande”.

Mais NordVPN n’est-il pas basé au Panama précisément pour empêcher de telles ordonnances judiciaires en premier lieu ? À l’origine, le libellé de cette page Web indiquait que NordVPN ne se conformerait pas à la demande des gouvernements étrangers et des forces de l’ordre, mais il a été modifié en janvier 2022, même si la page elle-même est toujours datée du 20 juin 2017.

Le changement a été assez largement rapporté par la presse technique – y compris PCMag – à l’époque et, même maintenant, le même libellé est envoyé par l’équipe d’assistance de NordVPN lorsqu’on lui demande s’il enregistrera des données. Ce qui n’est pas particulièrement clair, et qui n’aide pas vraiment NordVPN, c’est que c’est le cas avec tous les autres services VPN légaux et légitimes et, plus important encore, il est très rare qu’un tribunal fasse une telle demande.

Vous vous demandez peut-être quel genre de situation obligerait un tribunal à émettre une ordonnance d’enregistrement de données. Serait-ce pour surveiller les activités criminelles présumées? Très probablement. Cette activité criminelle serait-elle quelque chose comme le téléchargement illégal de films ? Presque certainement pas.

Alternativement, une ordonnance peut ne pas faire référence à une personne, mais tout utilisateurs d’un service VPN. Un pays peut modifier ses lois et rendre obligatoire la conservation des données. Et avec bien d’autres, NordVPN a supprimé ses serveurs indiens et a refusé de se conformer.

Nous avons parlé à la responsable des relations publiques de NordVPN, Laura Tyrylyte, pour obtenir des éclaircissements sur le libellé. Elle a dit Conseiller technique, “NordVPN est une entreprise légitime, opérant conformément à toutes les lois et réglementations. Nous n’enregistrons pas les données de nos clients et toute notre infrastructure est construite autour de la notion de confidentialité en raison de nos valeurs et parce que nous pouvons légalement fonctionner de cette façon. Cependant, comme [with] toute autre société légitime, nous devons nous conformer aux demandes légitimes si ces demandes sont émises en suivant toutes les procédures légales appropriées.

« Cela signifie qu’en théorie, un tribunal pourrait émettre une ordonnance contraignante, obligeant une entreprise à modifier l’infrastructure afin d’enregistrer les données des clients. Les tribunaux peuvent ordonner à peu près n’importe quoi, encore une fois, en théorie et dans des circonstances très précises. Tel [an] l’ordre serait sans précédent, extrêmement improbable et très difficile à émettre. Nous le défierions jusqu’à l’épuisement de toutes les options disponibles pour nous défendre, mais (et encore une fois) en théorie, c’est possible.

« Il en va de même pour n’importe quelle autre entreprise dans le monde. Au cours de 10 années d’exploitation, étant le plus grand fournisseur de services VPN au monde, nous ne nous sommes jamais approchés d’une telle situation, mais nous ne voulons pas induire nos clients en erreur, en donnant l’impression que nous pouvons opérer au-dessus de la loi. Aucune entreprise légitime ne le peut.

Théoriquement, NordVPN et tout autre service VPN réputé pourraient être contraints d’enregistrer les données des clients et de modifier leur matériel et leurs logiciels si nécessaire pour le faire.

Mais en réalité, la probabilité qu’on lui demande de le faire est faible et même si cela se produisait, ce service VPN devrait lutter contre la demande aussi fort que possible.

Vous pouvez également consulter des pages telles que Warrant Canary de NordVPN pour voir si une demande a été faite, et pouvez ensuite décider de continuer ou non à utiliser le service.

Au 14 juillet 2022, NordVPN déclare avoir :

PAS reçu de lettres de sécurité nationale ;

PAS reçu d’ordres bâillon ;

PAS reçu de mandats d’aucune organisation gouvernementale.

Pour la plupart des gens – et nous parlons ici de consommateurs – un VPN devrait être considéré comme une couche supplémentaire de confidentialité et de sécurité lors de l’utilisation d’Internet. Il est important de comprendre leurs limites et ce qu’ils peuvent et ne peuvent pas faire.

Il est dommage que beaucoup prétendent encore vous rendre anonyme en ligne, ce qui n’est pas vrai. Ils n’empêcheront pas non plus votre FAI de voir combien de données vous téléchargez ou quand vous utilisez Internet.

Ce qu’ils sont, c’est un outil utile, que vous débloquiez simplement Netflix américain ou que vous cachiez votre activité à un gouvernement qui souhaite surveiller tout ce que font leurs citoyens.