Après avoir autorisé un audit indépendant à inspecter ses services, ProtonVPN le fournisseur de VPN suisse, a décidé de rendre open source toutes ses applications VPN (iOS, Android, macOS et Windows).
Alors que certains VPN payant ont une politique ambigüe sur leur mode de fonctionnement, voir notre article : Les VPN payants que l’on vous déconseille et que les VPN gratuits n’ont de VPN que le nom, avec un modelé économique basé sur la revente vos données personnelles a des tiers et/ou par l’intégration de malwares dans leurs applications.
ProtonVPN joue la carte de la transparence en rendent public le code source de toutes ses applications VPN et en autorisant un audit de sécurité de ses installations.
Le fournisseur affirme que cette décision permettra aux experts en sécurité du monde entier d’inspecter ses implémentations de cryptage et d’avoir une idée précise de la façon dont la société gère les données des utilisateurs, donnant ainsi a ses utilisateurs l’assurance que la société respecte strictement sa politique de confidentialité.
Vous pouvez retrouver les codes sources ainsi que les rapport de tous les audits de sécurité (en anglais) réalisé sur les applications de ProtonVPN directement sur leur site dans la section blog: ProtonVPN code source.
ProtonVPN : rapport des audits de sécurité
Voici un résumé des comptes-rendus des audits réalisés par la société autrichienne de conseil en sécurité SEC Consult sur les applications de PotonVPN.
Ces audits avaient pour but de déterminer si ProtonVPN protégeait correctement la confidentialité de ses utilisateurs et si un pirate pourrait être en mesure d’accéder aux données des utilisateurs de ProtonVPN.
Dans l’application Windows de ProtonVPN SEC Consult a trouvé deux vulnérabilités de risque moyen et deux de risque faible. Aucun de ces problèmes ne peut être utilisé pour décrypter le trafic.
Dans le code source de l’application Android de ProtonVPN, les chercheurs ont découvert une vulnérabilité de risque moyen et quatre vulnérabilités de risque faible. Certains problèmes concernent les communications cryptées, mais n’ont pas conduit à leur déchiffrement.
Dans le code source de l’application iOS de ProtonVPN, les chercheurs ont identifié deux vulnérabilités à risque faibles, mais aucune de ses vulnérabilités n’a pu être utilisée pour décrypter le trafic.
À l’avenir, ProtonVPN déclare vouloir continuer à effectuer des audits de sécurités dans le but d’améliorer autant que possible leurs applications.
