Pendant des années les utilisateurs de VPN n’ont pu se fier qu’a la réputation et les déclarations des différents fournisseurs pour faire leur choix.
Mais récemment, certains fournisseur VPN ont accepté de soumettre leurs services a des audits de sécurité indépendants pour vérifier que leurs promesses en matière de confidentialité et de sécurité ne sont pas de simple slogan marketing.
Liste des principeaux VPN ayant acceptés un audit indépendant
NordVPN
NordVPN est un fournisseur VPN basé au Panama et classé numéro 1 dans notre classement VPN.
En novembre 2018, NordVPN a annoncé sur son site Web qu’il avait autorisé un audit complet visant à vérifier leurs politiques de confidentialité et non-conservation des données de ses utilisateurs. L’audit a été mené par PricewaterhouseCoopers, une société a la réputation internationale spécialisée dans les audits divers et variés.
Les utilisateurs de NordVPN peuvent avoir accès à l’audit complet sur le site de NordVPN. Nous avons soigneusement examiné les résultats de ce guide et voici ce que nous en avons retenu :
NordVPN a été audité par PricewaterhouseCoopers qui a eu une liberté totale pour examiner les serveurs de NordVPN, interroger les employés, inspecter les configurations, les bases de données et tout autre aspect pertinent au service VPN.
L’audit a officiellement vérifié que NordVPN était un «service sans journal» conforme à leur politique de confidentialité et à leurs déclarations sur l’absence d’enregistrement et de conservation des données.
NordVPN ne stocke pas les journaux de connexion, les adresses IP, les journaux de trafic, ni les informations relatives aux activités sur Internet de leurs utilisateurs.
Étant donné que NordVPN limite les utilisateurs à six connexions par abonnement, il dispose d’un mécanisme permettant de vérifier que le compte ne dépasse pas le nombre maximal de connexions. Ceci est courant pour les services VPN qui implémentent des limites de connexion (presque tous les services VPN) et ne pose aucun risque pour la confidentialité ou la sécurité des utilisateurs, ni ne viole les revendications non conservation des données.
NordVPN a donc passé son audit indépendant avec succès ce qui additionné aux excellentes performances de ses serveurs en fait le VPN idéal pour télécharger sur torrent.
ExpressVPN
ExpressVPN est un fournisseur VPN basé au Îles Vierges britanniques et classé numéro 2 dans notre classement VPN.
En avril 2019 ExpressVPN a mis à jour ses installations afin que tous les serveurs VPN fonctionnent en mode virtuel (Ram disque) dans le but d’améliorer considérablement leur performance. ExpressVPN a dénommé cette nouvelle fonctionnalité TrustedServer.
En juillet 2019 suite à cette mise à jour, ExpressVPN décide de faire appel, tout comme NordVPN à la société PricewaterhouseCoopers pour réaliser un audit indépendant de ces infrastructures.
Cet audit de sécurité a vérifié la fonctionnalité TrustedServer, l’absence de stratégie d’enregistrement et de conservation des données et le respect de la confidentialité des utilisateurs.
Enfin, ExpressVPN a également décidé de fournir le code source de ses extensions de navigateur pour les soumettre à un audit de sécurité complété par Cure53.
Cela place à nouveau la barre très haut et montre que ExpressVPN tient à faire toute la transparence sur son service.
Les audits se sont montrés concluants en tout point ce qui fait d’ExpressVPN l’un des VPN les plus fiables du marché.
*Cure 53 est une société spécialiste dans la cybersécurité et les audits de sécurité.
VyprVPN
VyprVPN est un fournisseur VPN basé en Suisse que nous avons classé parmi les outsiders du marché.
En septembre 2018, VyprVPN a commencé à collaborer avec Leviathan Security Group dans le but de transformer leur service en un service VPN qui soit entièrement sans enregistrement et conservation de données.
L’audit a examiné tous les aspects du réseau de VyprVPN afin d’identifier les zones dans lesquelles les journaux étaient conservés et qui auraient pu servir à l’identification de l’utilisateur. Après avoir résolu quelques problèmes, ils ont tout testé de nouveau et ont constaté que VyprVPN était en totale conformité avec leur politique de non-enregistrement et conservation des données.
* Leviathan Security Group est une société reconnue pour son sérieux dans le domaine de la cybersécurité.
Pour ceux qui maîtrisent l’anglais, vous pouvez lire le rapport complet de cet audit ici : VyprVPN audit de sécurité.
Private Internet Access
Private Internet Access (PIA) est un fournisseur VPN basé aux Etats-Unis, pays partie prenante dans l’alliance des 5 eyes.
PIA est un cas à part, en effet aucun audit à proprement parlé n’a été réalisé pour vérifier que sa politique de non-conservation et d’enregistrement des données était bien conforme à ceux qu’ils prétendaient.
Mais PIA a fait mieux en prouvant à deux reprises auprès de la justice américaine que le fournisseur ne conservait et n’enregistrait aucune donnée sur les activités en ligne de ses utilisateurs.
Le premier procès date de 2016 et concernait un homme qui aurait proféré des menaces à la bombe alors qu’il était connecté à un serveur VPN de PIA. Le FBI a officiellement assigné PIA à comparaître devant un tribunal pour fournir les données de l’illuminé en question.
Mais PAI n’a rien pu fournir puisque conformément à leur politique de non-enregistrement et de conservation des données, rien n’avait été enregistré !
Dans une deuxième affaire datant de juin 2018, PIA a de nouveau été assigné à comparaître devant le tribunal pour fournir les données d’un utilisateur dans une enquête sur une affaire de piratage. Comme dans l’affaire précédente, Private Internet Access n’a pas été en mesure de fournir la moindre donnée, car il n’y avait pas de données enregistrées.
Étant donné que fournir de fausses informations devant un tribunal est une infraction grave aux États-Unis (parjure), nous pouvons considérer que ces deux cas nous donnent des certitudes sur la politique « sans journalisation des données ».
TunnelBear
TunnerBear est un fournisseur basé au Canada, pays faisant partie de l’alliance des 5 eyes.
TunnelBear assume le fait de conserver certaines données comme les paramètres de connexions, mais ils ont tout de même accepté un audit indépendant de la société Cure53 (voir plus haut). Vous pouvez retrouver le rapport complet ici : TunnelBear audit
Plusieurs vulnérabilités sont apparues, mais ont été corrige depuis comme en atteste le rapport de Cure53, on ne peut que se réjouir de la transparence de TunnelBear, mais le déconseillons tout de même aux amateurs de torrent.
PureVPN
PureVPN est un fournisseur VPN basé à Hong Kong qui a autorisé en juin 2019 un audit indépendant de la part du cabinet Altius IT spécialisée dans les audits de sécurité.
Altius IT a analysé les journaux de PureVPN concernant les requêtes DNS, le trafic sortant, les sites Web visités, l’historique de navigation, l’heure de connexion, l’adresse IP d’origine de l’utilisateur, l’adresse IP du VPN attribuée, les journaux de connexion et les activités de navigation.
Ils ont également testé les fichiers système, les documents d’infrastructure réseau et les configurations système de PureVPN, à la suite de quoi ils ont officiellement communiqué à PureVPN un rapport confirmant l’absence de conservation et d’enregistrement des données.
Ce rapport n’a néanmoins pas été rendu public et nous devons donc nous fier à ce que veut bien nous dire PureVPN sur les conclusions de l’audit.
