Aujourd'hui, les réseaux privés virtuels sont un attribut indispensable de la vie privée. Mais essayez de déterminer lesquels rendent vraiment votre vie plus sûre.
Tout le monde peut donner de tels conseils: de
Consumer Reports au
New York Times et au
Federal Trade Committee : si vous voulez que vos activités Web restent privées et sécurisées, envisagez d'utiliser un réseau privé virtuel ou VPN.
Le VPN crypte le trafic Internet et le redirige via des services à distance, protégeant vos données (historique de navigation, téléchargements, messages de chat) et masquant votre position. Les services VPN sont depuis longtemps populaires auprès des pirates et des pirates, et auraient inévitablement dû devenir un phénomène de masse - comme les bloqueurs de publicités avant eux - car l'internaute moyen prend la confidentialité plus au sérieux. Il est difficile de trouver des données fiables sur leur utilisation, cependant, deux services VPN ont récemment atteint les 30 applications les plus populaires dans l'App Store d'Apple, devant des acteurs sérieux tels que Lyft, PayPal et Yelp. Une analyse de cette industrie a estimé que les VPN étaient
quatre fois plus susceptibles d' être utilisés de 2016 à 2018, et les prévisions de Global Market Insights suggèrent que le marché des VPN aux États-Unis
atteindra 54 milliards de dollars d'ici 2024.
Alors peut-être que j'obtiens aussi un VPN? Après tout, j'écris des articles sur des sujets techniques et je connais parfaitement le caractère infondé de nos hypothèses sur la confidentialité en ligne. Je me connecte occasionnellement à des réseaux WiFi dangereux dans les aéroports ou les cafés, et même si je n'ai jamais téléchargé de films piratés, il m'arrive de contourner les restrictions géographiques sur le contenu Web. Je n'aime vraiment pas l'idée de faire confiance à mon FAI Verizon avec tous les détails de la navigation sur la page. Et pourtant, pendant de nombreuses années, j'ai résisté à l'envie de souscrire, voire de trier la technologie en détail, que de nombreux experts en confidentialité et sécurité jugent nécessaire pour une navigation sécurisée.
Cependant, lorsque je suis allé à la recherche d'un VPN approprié, j'ai rencontré un problème inconfortable: comment déterminer lequel des nombreux fournisseurs de VPN faire confiance.
La recherche d'un VPN digne de confiance m'a poussé sur un chemin sinueux menant à travers des accusations et des demandes reconventionnelles, d'anciennes entreprises avec un leadership inintelligible et des conflits d'intérêts, des sites avec des évaluations VPN qui semblent encore plus suspectes que les entreprises qu'elles examinent. De nombreux VPN ressemblent à une
fraude pure et simple. D'autres ralentissent l'accès à Internet. Les versions gratuites vous submergent de publicité. C'est un monde tellement déroutant que même des entreprises et des experts de premier plan ne peuvent même pas s'entendre sur ce qui constitue une bonne réputation pour le service, sans parler des entreprises qui correspondent à cette description.
Le directeur de l'une des plus grandes sociétés de VPN, AnchorFree, basée dans la Silicon Valley, m'a dit dans une interview téléphonique qu'il soupçonnait que l'un de ses principaux rivaux se trouve secrètement en Chine - et cela causerait immédiatement des objections aux défenseurs de la vie privée en raison d'une surveillance agressive, mis en œuvre par le régime de la Chine. Un des directeurs de ce concurrent, ExpressVPN, a insisté sur le fait que ce n'était pas le cas, bien qu'il ait refusé de divulguer l'emplacement des propriétaires de l'entreprise et leur identité. La société est enregistrée aux îles Vierges. Il fait valoir qu'un tel secret est même bon, car les gouvernements ne peuvent pas faire pression sur les administrateurs d'ExpressVPN et exiger qu'ils donnent des données sur les utilisateurs s'ils ne savent pas qui ils sont et où ils se trouvent. Et de nombreux utilisateurs aux États-Unis préfèrent vraiment les fournisseurs de VPN étrangers aux américains.
AnchorFree lui-même est accusé d'être un VPN gratuit, qui existe grâce à la publicité, c'est pourquoi certains experts expriment leur inquiétude concernant un conflit d'intérêts sur cette base (la société fournit également un service payant). Les deux sociétés signalent des critiques concurrentes concernant la confiance dans ces entreprises, dont chacune, en raison de méthodologies différentes, est favorable à la société qui en fait la publicité.
"La quantité de publicité rivale pour ces entreprises est incroyable", a déclaré Joseph Jerome, qui a étudié en détail le VPN en raison de son rôle de consultant en politique dans le cadre
du projet de
confidentialité et de données , organisé par le Center for Democracy and Technology (CDT). "Ils passent instantanément aux couteaux."
Il est possible qu'AnchorFree, affirmant qu'ExpressVPN soit d'origine chinoise, trompe simplement l'entreprise, mais ce risque ne peut pas être qualifié de fictif. Le 7 février, alors que je travaillais sur cette histoire, les sénateurs Ron Weiden et Marco Rubio ont appelé le département américain de la Sécurité intérieure à commencer à enquêter sur les risques que des gouvernements étrangers
espionnent les Américains via VPN.
Je voulais juste la vie privée sur Internet et je ne me suis pas inscrit à un combat au couteau.
* * *
Les VPN fonctionnent en redirigeant votre connexion Internet via des serveurs distants qui masquent votre emplacement et rendent plus difficile l'identification des sites Web. Ils cachent également votre activité Internet à votre propre fournisseur d'accès Internet, qui autrement a accès à presque tout ce que vous faites sur le réseau - comme, par exemple, tout service de police qui a reçu un mandat pour étudier vos actions (ou, pour être complètement paranoïaque, au bureau du renseignement).
Bien que les services VPN n'annoncent pas cela directement, ils peuvent être utilisés pour contourner les lois de votre propre pays ou restreindre les commerçants légaux en se connectant via des serveurs situés dans un autre pays. L'accès au contenu de divertissement est la raison la plus populaire pour utiliser un VPN dans le monde, selon
un rapport GlobalWebIndex 2018. Parmi les autres raisons populaires figurent l'accès aux réseaux sociaux et aux actualités dans les pays où ils sont bloqués (les VPN sont particulièrement populaires en Chine, malgré leur interdiction officielle) et le maintien de la confidentialité lors de la navigation sur les sites.
Si vous avez besoin d'une raison plus forte d'utiliser un VPN, le Congrès américain a rejeté en 2017 un
projet de loi censé interdire aux fournisseurs de services Internet de surveiller et de vendre des informations sur votre activité en ligne sans votre consentement. En fait, votre FAI peut désormais exploiter légalement vos habitudes Internet à des fins lucratives.
Dans le même temps, la fin de la neutralité du réseau aux États-Unis ouvre la possibilité aux fournisseurs d'interdire ou de restreindre l'accès à certains contenus ou de vous facturer plus d'argent pour y accéder. Un VPN peut offrir un
moyen de contourner les restrictions - bien que si elles deviennent trop populaires, les fournisseurs peuvent essayer de refuser le VPN lui-même.
Le VPN n'est pas un phénomène nouveau. Leur apparition remonte à 1995, lorsque les programmeurs Microsoft ont développé un moyen de permettre aux clients professionnels de rendre les communications Internet plus sûres. Dans les années 2000, ils ont commencé à gagner en popularité auprès des personnes connaissant bien la technologie, les logiciels open source ont aidé à réduire leurs coûts et les hacks sensationnels ont attiré l'attention du public sur les problèmes de sécurité Internet. AnchorFree a été fondée en 2005, ExpressVPN - en 2009.
Mais ce n'est que récemment que les fournisseurs de VPN sont devenus très populaires dans le monde de la technologie. Ils ont tourné grâce au développement de réseaux WiFi publics dangereux et de contenus en ligne disponibles dans certains pays et non disponibles dans d'autres. Par exemple, les Britanniques pouvaient regarder gratuitement les Jeux olympiques de 2012 sur la BBC, tandis qu'aux États-Unis, ils ne pouvaient le regarder que sur la télévision à péage. Le populaire fournisseur de VPN TunnelBear, fondé en 2011, a été
acheté en mars 2018
par McAfee, un géant de la sécurité informatique, et l'accord n'a pas été divulgué. En septembre 2018, AnchorFree a
reçu un investissement de 295 millions de dollars, ce qui était un montant sans précédent pour une startup VPN. Elle a toutes les chances de devenir la première licorne VPN - une startup évaluée à 1 milliard de dollars - si cela ne s'est pas déjà produit. Le directeur d'AnchorFree, David Gorodiansky, m'a dit qu'en février, le VPN de son entreprise, Hotspot Shield, avait été téléchargé 400 000 fois par jour.
C'est maintenant le meilleur moment pour un VPN de boom. Ce qui nous ramène à ce vilain problème de confiance. S'il est si difficile d'évaluer la fiabilité des plus grands noms de l'industrie, tels que AnchorFree et ExpressVPN, imaginez à quel point il est difficile d'évaluer un ensemble d'alternatives moins connues. Dans une
étude de janvier sur Top10VPN,
il a été signalé que plus de la moitié des 20 applications VPN les plus populaires dans les magasins iOS et Android sont chinoises ou situées en Chine. Ceci est d'autant plus suspect que les VPN ont été
officiellement interdits en Chine l'année dernière. Si la Chine leur permet de continuer à travailler, cela est peut-être dû à leur coopération avec le gouvernement chinois.
En utilisant un VPN, vous faites confiance à ce service au même niveau profond qui est généralement disponible pour votre fournisseur de services Internet. Autrement dit, le service sait maintenant ce que vous faites lorsque vous utilisez Internet. Ces services peuvent se concentrer davantage sur la confidentialité que les grands fournisseurs Internet, mais ils sont également plus petits, moins transparents et moins responsables envers le public.
Et tandis que tout fournisseur de VPN vous jure que c'est votre vie privée qui compte le plus, certains d'entre eux ont tendance à pointer du doigt leurs concurrents et à prétendre qu'ils ne peuvent pas leur faire confiance.
* * *
Alors comment choisir? On pourrait commencer par le plus grand fournisseur - mais il est presque impossible de savoir qui il est. La plupart des plus grandes entreprises sont privées et ne révèlent pas la taille de la base d'utilisateurs. Le moyen le plus simple de devenir un fournisseur majeur de VPN est d'offrir des services gratuits - généralement avec le soutien de la publicité - et cela complique encore plus la situation. Les VPN gratuits limitent également généralement le trafic et la géographie. De nombreux experts diront que vous devez rester à l'écart de ces services, car dans ce cas, l'intérêt de maintenir la confidentialité entre en conflit avec l'intérêt de supprimer les publicités ciblées pour les utilisateurs.
AnchorFree, qui propose une version gratuite du programme Hotspot Shield pour les utilisateurs d'Android, indique que pour résoudre ce conflit, il ne montre aux utilisateurs que des annonces Google générales qui n'utilisent pas les données utilisateur AnchorFree. La publicité apparaît périodiquement lors de l'utilisation de l'application et doit être consultée pour continuer à naviguer sur les sites. Il n'y a pas de publicité dans la version gratuite de Hotspot Shield pour iOS, mais le trafic est limité et la connexion ne peut être établie que via des serveurs aux États-Unis.
Qu'en est-il des VPN les mieux notés? Il existe des dizaines de sites avec des critiques, leurs critiques se contredisent souvent et les critères ne sont pas toujours transparents. Deux des sites les plus respectés où les critiques VPN sont publiées, à savoir PCMag et CNET, ont donné au service panaméen NordVPN les meilleures notes, évaluant positivement sa vitesse, sa facilité d'utilisation et ses fonctionnalités liées à la confidentialité. Et les deux autres, Wirecutter et Tom's Guide, ont trouvé NordVPN lent et plein d'erreurs. Et comme ExpressVPN, NordVPN s'efforce de cacher les vrais propriétaires du service. Comme indiqué dans Tom's Guide, la société est une
filiale de la holding panaméenne Tefincom SA, qui, apparemment, est une
société écran. Et, comme avec ExpressVPN, vous pouvez
trouver des excuses pour cet anonymat.
ExpressVPN est au moins premier en haut des deux graphiques apparaissant sur les premières pages de la recherche Google,
TechRadar et
TheBestVPN.com . Les deux sites mettent l'accent sur la bonne vitesse de service et la convivialité; aucun ne mentionne le fait de la dissimulation des propriétaires de services.
Gorodiansky, directeur d'AnchorFree, a une idée de pourquoi son service ne monte pas en flèche dans les cotes d'écoute. De nombreux sites avec des critiques VPN gagnent sur les liens d'affiliation, recevant de petites déductions de chaque utilisateur enregistré qui est venu chez ces fournisseurs via ces liens. «Ces sites n'ont aucune motivation pour dire la vérité», dit-il. Il prétend qu'ils rétrogradent Hotspot Shield ou l'ignorent simplement car ils ne peuvent pas gagner de l'argent sur les recommandations du service gratuit.
Harold Lee, vice-président et seul visage public d'ExpressVPN, protège le degré de confidentialité de son entreprise en le plaçant au niveau des meilleurs dans ce domaine, non malgré l'opacité de l'entreprise, mais grâce à elle. Il dit que c'est une question de sécurité d'emploi et de confidentialité personnelle. Est-il si surprenant que les personnes qui ont créé l'un des meilleurs réseaux privés virtuels en 2009 protègent soigneusement les secrets de leur propre personnalité?
Lee travaille lui-même à Hong Kong, en dehors du continent du grand pare-feu chinois, et ne devrait pas être soumis à une censure Internet lourde. L'équipe d'ExpressVPN est dispersée dans le monde, dit Li, et toutes les affirmations selon lesquelles elles sont basées en Chine continentale ou affiliées au gouvernement chinois sont incorrectes. "Si les gens se précipitent avec des accusations non confirmées, alors à quoi bon les décrire", a-t-il déclaré. Il convient également de noter qu'un fournisseur VPN aux intentions malhonnêtes offrirait un service gratuit pour attirer plus d'utilisateurs. ExpressVPN, dont le coût varie de 8 $ à 13 $ par mois, est l'un des plus chers du marché et ne propose pas de versions gratuites, ce qui leur confère une crédibilité.
Après la publication de l'article original, Lee a envoyé une déclaration plus détaillée à l'éditeur, où il a nié tout lien avec le gouvernement chinois. "ExpressVPN est intrinsèquement opposé à la censure et à la surveillance du gouvernement, et notre service aide chaque jour de nombreuses personnes en Chine et dans le monde à contourner la censure", dit-il. - Pour cette raison, le gouvernement chinois essaie périodiquement de bloquer notre service et de supprimer l'application de l'App Store chinois. Toutes les allusions à notre relation avec le gouvernement chinois sont 100% fausses. »
Pour établir la confiance dans ExpressVPN, Lee a proposé de jeter un œil à l'histoire de son travail. Il a souligné un incident international lorsque la pratique de travailler avec des données dans l'entreprise a été testée. En 2017, le gouvernement turc a confisqué des serveurs ExpressVPN dans le cadre d'une
enquête sur le meurtre tragique de l'ambassadeur russe
Andrei Karlov . Les autorités espéraient que les données pourraient faire la lumière sur la communication du suspect du meurtre et personnalité publique turque
Fethullah Gulen , caché aux États-Unis. Cependant,
aucun journal n'a été trouvé sur les serveurs, ce qui prouve qu'ExpressVPN affirme que la société ne tient pas de registre des activités des utilisateurs.
Peut-être que la protection des individus soupçonnés d'un complot international ne devrait pas être ajoutée comme un avantage au fournisseur VPN. Certains membres de l'industrie du VPN pensent que de tels faits mettent en évidence le côté douteux d'un produit qui devrait traiter de la sécurité en ligne, plutôt que d'aider les gens à contourner les lois.
Lorsqu'un VPN cache l'identité des propriétaires et s'inscrit à l'étranger, «cela se produit généralement parce que l'entreprise enfreint la loi», a déclaré Francis Dinha, co-fondateur et directeur d'OpenVPN, un service open source pour les clients commerciaux. Dinya considérait ExpressVPN accusé d'avoir des liens farfelus avec le gouvernement chinois, et a déclaré que les propriétaires de services se cachaient, probablement parce que leur service était principalement destiné au piratage ou à d'autres activités illégales. De son point de vue, les VPN devraient être utilisés principalement pour la cybersécurité, pas pour l'anonymat. Il note qu'un VPN n'empêchera pas des plateformes telles que Facebook et Google de vous identifier et de vous suivre autrement que pour déterminer une adresse IP.
Cependant, dans le monde de la sécurité, l'épisode de Karlov peut être considéré comme une preuve sérieuse: si ExpressVPN convient aux tueurs politiques, ses services devraient être suffisants pour d'autres personnes. De nombreux fournisseurs de VPN disent qu'ils ne stockent pas les journaux d'activité des utilisateurs, mais cette déclaration est difficile à confirmer en l'absence d'incidents internationaux qui leur conviennent.
Jérôme du Centre pour la démocratie et la technologie (CDT) connaît très bien ExpressVPN. Pour confirmer ses intentions honnêtes, ExpressVPN l'année dernière, avec quatre autres fournisseurs de VPN, s'est associé à CDT pour lancer une initiative visant à accroître la confiance dans les VPN. Il a compilé une liste de «
signes d'un bon VPN », invitant d'autres fournisseurs à répondre à huit questions liées à des sujets tels que la propriété de l'entreprise, un modèle commercial et les pratiques de confidentialité. La question de propriété demande à la société de divulguer le nom légal complet, toutes les sociétés mères et l'emplacement de leur siège social. Il ne demande pas seulement les noms des chefs d'entreprise.
Jérôme a présenté ses excuses à ma question sur les gestionnaires d'ExpressVPN et a dit qu'il ne pouvait rien commenter. «Nous avons travaillé avec ces entreprises sur une base de confiance», a-t-il déclaré. «Notre produit final reflète certaines des difficultés que nous avons rencontrées.» Jérôme dit qu'il espérait initialement mener un audit plus détaillé, mais cela nécessiterait plus de ressources et une coopération plus étroite de la part des prestataires. «Il était très difficile de les amener à s'entendre sur la façon dont nous les évaluerons et qui les évaluera spécifiquement», a-t-il déclaré. - Je pense qu'ils se considèrent tous comme des joueurs honnêtes. Mais je pense que l'on craint que si les gens regardent sous eux sous le capot, ils verront quelque chose de mauvais là-bas. »
* * *
AnchorFree n'était pas impliqué dans le projet CDT. Elle a commandé sa version de l'audit à la société allemande AV-TEST, qui évalue les antivirus et les logiciels pour la sécurité informatique.
Il n'est pas surprenant que dans son rapport, la divulgation d'informations sur les propriétaires et dirigeants de l'entreprise soit devenue le critère principal , et les fournisseurs ExpressVPN et NordVPN ont été critiqués pour leur manque de transparence. AV-TEST a également noté les sociétés qui publient un rapport annuel sur la transparence - et AnchorFree a récemment commencé à le faire. Et, et AnchorFree est également arrivé en première place parmi les fournisseurs en termes de vitesse de connexion.Compte tenu de la popularité du service gratuit de l'entreprise, d'une collecte d'investissements agressive et de partenariats avec des entreprises telles que Samsung - dont les téléphones sont désormais livrés avec la version gratuite intégrée de Hotspot Shield VPN - AnchorFree peut être le meilleur parmi les entreprises qui tentent de monétiser l'essor de la popularité du VPN. Cependant, il n'apparaît pas dans de nombreuses évaluations, en partie en raison du parti pris des experts par rapport à un VPN gratuit, en partie en raison de la faible performance des tests de vitesse effectués par des sociétés tierces.Il s'avère que le coup le plus grave porté à la réputation d'AnchorFree a été reçu par le CDT en 2017, lorsque ce dernier a déposé une plainte.à la Federal Trade Commission, en faisant valoir que Hotspot Shield induit en erreur les utilisateurs VPN gratuits en écrivant plus de données à leur sujet que nécessaire, et dans certains cas en les redirigeant vers des sites partenaires publicitaires. Gorodiansky d'AnchorFree qualifie ces déclarations de «malentendus regrettables», mais AnchorFree a peu après changé ses conditions de service. En 2018, la Commission a publié un article de blog concernant les avantages et les risques des VPN, mais aucune autre mesure n'a été prise.ExpressVPN a presque remporté la recommandation tant attendue de Wirecutter, qui a publié une revue VPN très détaillée et complète. Il y a des indices dans le texte de la revue qu'ExpressVPN pourrait prendre la première place sinon pour un «mais»: refus de divulguer des informations sur les propriétaires. Le rédacteur en chef de Smirniotis, Mark Smirniotis, a noté qu'ExpressVPN avait suggéré d'organiser une conversation confidentielle avec les propriétaires, mais il a décidé que cela ne serait pas suffisant pour changer son évaluation.Au lieu de cela, Wirecutter a recommandé un service IVPN plus petit, qui, selon l'auteur de l'article, "résout les problèmes de confiance et de transparence". L'IVPN est officiellement situé à Gibraltar, qui, comme les îles Vierges, appartient aux territoires britanniques d'outre-mer.. Les VPN sont souvent choisis comme base pour les territoires offshore, car ils ne relèvent pas de la juridiction directe des gouvernements des grandes puissances mondiales et ont rarement de grandes agences de sécurité nationale.Avec la demande croissante de VPN, l'industrie a une forte motivation pour sortir de la phase du Far West. Les partenariats avec des sociétés à but non lucratif et les audits réalisés par des tiers sont un pas dans cette direction. NordVPN a récemment emprunté cette voie après AnchorFree et ExpressVPN, commandant un auditPricewaterhouseCoopers pour confirmer leurs déclarations de confidentialité. Cependant, de tels audits seraient beaucoup plus significatifs s'ils n'étaient pas demandés par des fournisseurs VPN individuels. Des gens comme Jerome essaient de repousser les normes de l'industrie, mais pour l'instant, les fournisseurs de VPN évitent les audits dont ils ne peuvent contrôler la méthodologie.Des changements plus graves peuvent suivre lorsque certains des leaders du marché décident de devenir des sociétés ouvertes ou de vendre à ces sociétés. Bien entendu, les entreprises publiques ne sont pas à l'abri d'actions douteuses, mais elles doivent respecter les lois sur la publication des informations et subir un audit. D'autres prestataires resteront des entreprises privées, au risque de susciter le scepticisme sur eux-mêmes pour pouvoir rester en retrait - ou hors de portée des gouvernements des grandes puissances.En commençant cet article, je pensais que je choisirais un VPN auquel je peux faire confiance pour un usage personnel. Plusieurs semaines se sont écoulées, des dizaines d’appels ont été passés, des milliers de mots ont été écrits - et je ne peux pas dire que j’ai approché un choix clair.Une des conclusions définitives, en plus de «rester à l'écart des VPN gratuits», sera que le choix du VPN devrait dépendre de l'utilisation que vous en ferez. Si vous souhaitez simplement utiliser Internet en toute sécurité, il est judicieux de choisir une grande entreprise américaine qui parle clairement de ses propriétaires et de la façon dont ils se rapportent aux données des utilisateurs. Si vous souhaitez télécharger des fichiers piratés à partir de torrents, regarder du contenu bloqué, tuer un ambassadeur ou échapper en quelque sorte au bras long de votre gouvernement (et des autres gouvernements avec lesquels il coopère ), il est préférable de choisir un VPN offshore - si vous êtes sûr que le fournisseur ne le fait pas communications secrètes avec le gouvernement dont vous essayez de vous cacher.