Le mois dernier, lorsqu’un membre supposé de Lulzsec a été retrouvé après avoir utilisé le service soi-disant anonyme HideMyAss,
il est devenu clair que certains services de VPN ne se montrent pas à la hauteur de leurs promesses publicitaires.
Pour savoir quels fournisseurs de VPN prennent réellement la protection de la vie privée au sérieux,
nous avons interrogé de nombreux leaders du marché en leur posant deux questions très simples.
Les réponses devraient intéresser quiconque s’intéresse aux questions d’anonymat.
si un fournisseur de VPN conserve des historiques sur l’activité de ses utilisateurs, il y a de fortes chances qu’il soit incapable de garantir un service anonyme.
Il existe des dizaines de fournisseurs de VPN, dont bon nombre affichent sur leur site une publicité affirmant que l’anonymat de leurs clients est leur première priorité.
Mais l’est-il vraiment ? Leurs politiques de protection de la vie privée sont-elles réellement sans faille ? Nous avons décidé d’en savoir plus.
Au cours de ces deux dernières semaines, TorrentFreak a contacté les fournisseurs de VPN les plus présents dans le monde de l’anonymat et du partage de fichiers.
Plutôt que d’essayer de déchiffrer un jargon publicitaire le plus souvent obscur, nous leur avons directement posé deux questions :
1. Conservez-vous des historiques permettant à un tiers de faire correspondre une adresse IP et un timestamp à un utilisateur de votre service ?
Si oui, quelles informations enregistrez-vous précisément ?
2. À quelle juridiction votre société est-elle soumise, et dans quelles circonstances seriez-vous amenés à communiquer ces informations à un tiers ?
La seule chose qui nous intéresse est la suivante : sont-ils capables d’assurer un service 100 % anonyme comme ils le prétendent ?
Commençons d’abord par les fournisseurs orientés vers le partage de fichiers.
Les fournisseurs axés sur le P2P
¤ BTguard
Réponse à la question 1 : « Il est techniquement impossible pour nous de maintenir des historiques, compte tenu du volume de connexions que nous redirigeons.
Nous estimons que la capacité de stockage nécessaire serait de 4 To par jour. »
Réponse à la question 2 : « Nous sommes soumis à la juridiction canadienne. Comme nous n’avons aucun historique, nous ne pouvons communiquer aucune information.
Nous ne partageons aucune donnée avec des tiers. La seule situation dans laquelle nous serions tenus de répondre à un tiers serait après réception d’un ordre du juge.
Nous serions alors obligés de déclarer que nous ne disposons d’aucune information. Une telle situation ne s’est encore jamais produite. »
¤ ItsHidden
Réponse à la question 1 : « Pas d’historique. Nous ne les conservons pas. Même les journaux système, qui ne pointent pas directement vers nos utilisateurs, sont renouvelés toutes les heures. »
Réponse à la question 2 : « La société a récemment été vendue et est désormais soumise à la juridiction des Seychelles. Celle-ci n’impose pas l’enregistrement d’historiques. »
¤ TorrentPrivacy
Réponse à la question 1 : « Nous avons des historiques de connexion, mais nous n’y enregistrons pas les adresses IP.
Ces historiques sont conservés pendant 7 jours, mais il est impossible de déterminer précisément qui a utilisé le service. »
Réponse à la question 2 : « Nous avons des serveurs aux Pays-Bas, en Suède et aux États-Unis, et notre société est basée aux Seychelles.
Nous ne révélons aucune information à des tiers sauf en cas de plainte sérieuse déposée contre notre société. »
¤ Ipredator
Réponse à la question 1 : « Nous n’enregistrons pas du tout l’IP. Elle est utilisée temporairement pour la session lorsqu’un utilisateur se connecte, mais c’est tout.
Ne pas conserver d’historiques ne nous a pratiquement pas posé de problèmes. C’est même un gain de sécurité pour nous aussi puisque nous ne pouvons rien révéler accidentellement sur qui que ce soit. »
Réponse à la question 2 : « Pour ce qui est du service, nous sommes soumis en majeure partie à la juridiction suédoise.
En ce qui concerne la logistique (qui conserve les données, qui est le propriétaire du service, qui possède le serveur, le réseau, etc.), nous avons volontairement diversifié les choses.
L’objectif étant de rendre toute tentative de harcèlement juridique difficile, voire impossible. »
« Notre service ne peut pas être coupé facilement, et les tribunaux ne peuvent pas faire pression sur nous pour nous contraindre à mettre en oeuvre des mesures auxquelles nous nous opposons.
Cela n’affecte pas du tout les utilisateurs finaux de manière négative, bien au contraire. »
¤ Faceless
Réponse à la question 1 : « Nous n’enregistrons aucune adresse IP ni aucune information sur les données consultées par nos utilisateurs. Nous ne disposons donc d’aucune information pouvant intéresser des tiers. »
Réponse à la question 2 : « Nous avons des serveurs aux Pays-Bas et notre sociétée est basée en Chypre. Si les autorités nous contactaient, nous serions obligés de leur dire qu’aucun historique de connexion
ni aucune adresse IP n’est enregistrée sur nos systèmes. »
Les fournisseurs non spécialisés
¤ AirVPN
Réponse à la question 1 : la société ne conserve aucun historique permettant d’identifier les utilisateurs.
Réponse à la question 2 : « Nous sommes soumis à la juridiction européenne, en général celle de l’Italie (pays où est basée notre société et où réside la personne juridiquement responsable de la protection des données),
mais la loi à appliquer peut être celle d’un des États-membres où sont situés les serveurs du réseau (aucun d’entre eux ne se trouvant en Italie). »
« Nous ne communiquons aucune information à qui que ce soit. »
¤ VPNReactor
Réponse à la question 1 : « Seulement pendant 5 jours pour empêcher les abus. Après ces 5 jours, nous n’avons absolument aucun moyen de faire correspondre une adresse IP ou un timestamp à l’un de nos utilisateurs.
La protection de la vie privée et la sécurité sont encore plus fortes pour les utilisateurs individuels car leurs connexions VPN sont noyées dans la masse. »
« Les utilisateurs de notre service gratuit partagent un bloc d’adresses IP lorsqu’ils se connectent à Internet via VPNReactor.
À tout moment donné, des centaines ou des milliers d’utilisateurs connectés à notre VPN peuvent donc partager la même adresse IP.
Nous n’attribuons aucune adresse individuelle publique à nos utilisateurs. »
Réponse à la question 2 : « Nous nous efforçons d’être honnêtes et transparents en ce qui concerne l’enregistrement des historiques, pour ne pas mettre à mal les utilisateurs de notre service.
» Les historiques consultés par TorrentFreak semblent confirmer qu’aucune information identifiable n’est enregistrée.
« Notre société est basée aux États-Unis et doit donc se soumettre aux ordres émanant des tribunaux américains.
Néanmoins, si une injonction nous demande de communiquer des informations sur une activité ayant eu lieu il y a plus de 5 jours, nous n’aurons absolument rien à fournir puisque nos historiques auront expirés.
Tout demande d’obtention des détails de connexion provenant d’une juridiction extérieure aux États-Unis sera purement et simplement ignorée. »
¤ BlackVPN
Réponse à la question 1 : « Nous ne conservons aucun historique portant sur les activités de nos utilisateurs, telles que les sites consultés ou les données transférées.
Nous utilisons également des logiciels de nettoyage sur nos systèmes afin de retirer les adresses IP des historiques avant leur enregistrement sur disque. »
« Pour des raisons légales et fiscales, nous enregistrons certaines informations de facturation (nom, adresse électronique, pays), mais celles-ci sont enregistrées chez un tiers, séparément du reste de BlackVPN. »
BlackVPN a déclaré conserver le nom d’utilisateur et l’adresse électronique de ses utilisateurs, la date et l’heure de connexion/déconnexion, ainsi que la consommation de bande-passante.
L’enregistrement des historiques a lieu de la manière suivante :
« Sur nos serveurs Privacy implantés aux Pays-Bas et en Lituanie, nous n’enregistrons aucune donnée permettant d’identifier l’utilisateur, mais sur nos serveurs implantés au Royaume-Uni et aux États-Unis,
où nous interdisons le partage de contenus protégés, nous enregistrons l’adresse IP RFC 1918 interne attribuée à l’utilisateur à un moment spécifique. »
« Pour clarifier, nous n’enregistrons donc pas la véritable adresse IP externe de l’utilisateur, mais simplement notre propre adresse RFC 1918 interne.
Nous sommes obligés de faire cela pour pouvoir respecter la législation locale et être en mesure de répondre aux injonctions découlant du DMCA. »
Réponse à la question 2 : « Nous sommes soumis à la juridiction des Pays-Bas et nous ferons tout notre possible pour protéger la vie privée et les droits de nos utilisateurs.
Nous ne révélerons aucune information sur nos utilisateurs à qui que ce soit, sauf si nous y sommes contraints par des représentants de l’ordre disposant d’un ordre du juge
ou de documents juridiques adéquats (auquel cas nous n’aurons plus vraiment le choix). »
¤ PrivatVPN
Réponse à la question 1 : « Nous ne conservons aucun historique permettant à un tiers ou à nous-même de faire correspondre une adresse IP et un timestamp à un utilisateur de notre service.
Les seuls éléments que nous enregistrons sont l’adresse électronique et le nom d’utilisateur, mais il est impossible d’associer une activité en ligne à un utilisateur. »
À noter : PrivatVPN propose également un serveur américain pour des services de diffusion tels qu’Hulu. Les adresses IP sont conservées lorsque les utilisateurs emploient ce service.
Réponse à la question 2 : « Comme nous n’enregistrons aucune adresse IP, nous n’avons rien à dévoiler.
Les circonstances n’ont ici aucune importance puisque nous ne disposons d’aucune information concernant les adresses IP de nos clients. »
¤ Privacy.io
Réponse à la question 1 : « Aucun historique n’est conservé. Par conséquent, nous sommes tout simplement incapables de fournir ce type d’information.
Nous pensons que si une société n’est pas tenue de conserver des historiques, elle ne doit pas le faire. Cela ne fait qu’entrainer des problèmes, comme on a pu le constater
avec les nombreuses fuites de données ayant eu lieu ces dernières années. Si la législation change pour les juridictions auxquelles nous sommes soumises, nous déménagerons.
Et si ce n’est pas possible, nous mettrons fin à notre service. Il n’y aura pas de compromis. »
Réponse à la question 2 : « Nous avons fait en sorte d’être soumis à plusieurs juridictions différentes pour rendre notre service moins susceptible d’être attaqué juridiquement.
Nos serveurs sont actuellement situés en Suède. Nous ne partageons pas nos données car nous n’en avons pas. Nous avons établi ce système car nous croyons qu’une expression
véritablement libre n’est possible qu’à travers une communication anonyme. Dès le moment où l’on commence à faire des compromis, on se retrouve sur une pente glissante menant tout droit à la surveillance.
La demande de rétention des données va devenir de plus en plus forte, comme on a pu le constater ces derniers temps dans de nombreux pays du monde entier.
Nous travaillons pour défendre notre cause, pas pour l’argent. »
¤ Mullvad
Réponse à la question 1 : « Non. Et nous ne voyons pas pourquoi quiconque devrait. Ce serait malhonnête à l’égard de nos clients et cela signifierait encore plus de problèmes juridiques potentiels. »
Réponse à la question 2 : « Nous sommes soumis à la juridiction suédoise. Nous ne connaissons aucun moyen par lequel l’État suédois pourrait en pratique nous conduire à malmener nos clients, et cela ne s’est jamais produit.
Pour prouver que nous prenons la protection de la vie privée très au sérieux, nous acceptons également les paiements Bitcoin et l’argent liquide par voie postale. »
¤ Cryptocloud
Réponse à la question 1 : « Nous n’enregistrons rien du tout. »
Réponse à la question 2 : « Nous n’enregistrons aucune information sur l’utilisation de notre service par nos clients. Il n’y a donc rien à retracer, point.
Nous avons complètement séparé la gestion des informations de paiement. »
« Si l’on veut être réaliste, à moins d’être implanté hors de « l’Axe du Mal », les autorités trouveront toujours un moyen d’exercer des pressions sur vous. »
« J’ai lu toutes ces idioties selon lesquelles être en Europe permettrait de se protéger contre les lois américaines. Ça a bien fonctionné pour HMA, pas vrai ?
En plus, je suis pratiquement sûr que le blindage des banques suisses a été percé, et historiquement, elles étaient plus faciles à défendre que la vie privée des individus.
La solution est tout simplement de ne rien enregistrer, point final. »
/!\ Les fournisseurs qui enregistrent, parfois beaucoup /!\
¤ VyprVPN
VyprVPN est un service VPN proposé par Giganews, un service Usenet auquel il est connecté, bien qu’il puisse également être utilisé de manière autonome.
Comme de nombreux autres fournisseurs que nous avons contactés, VyprVPN a confirmé avoir reçu nos questions mais n’y a pas répondu.
Nous avons tout de même inclus VyprVPN dans notre liste compte tenu de sa visibilité importante.
La politique de la société stipule que l’enregistrement d’historiques « est effectué pour assurer la facturation, la résolution des problèmes et l’évaluation des services offerts,
pour répondre aux violations des conditions d’utilisation du service ainsi que pour lutter contre les délits commis à l’aide de ce service.
Nous conservons ce type d’informations pour chaque session pendant au moins 90 jours. »
Sur le forum Usenet NZBMatrix, plusieurs utilisateurs ont rapporté avoir vu leur service VyprVPN interrompu après le traitement par VyprVPN d’une compilation de notifications DMCA
qui les auraient placés au-delà du seuil de 2 infractions maximum autorisé par les conditions d’utilisation.
Donc, est-ce que VyprVPN enregistre des informations ? Aucun doute.
¤ SwissVPN
Nous avons inclus SwissVPN dans notre enquête en raison de sa notoriété en tant que service bon marché populaire auprès des personnes disposant d’un budget limité.
Nous devons reconnaitre qu’ils ont été les premiers à répondre. C’est également l’une des rares sociétés à ne pas prétendre garantir l’anonymat.
Réponse à la question 1 : « SwissVPN est soumis à la législation suisse sur les télécommunications et la protection des données personnelles.
L’adresse IP de la session (mais pas le contenu visité, les sites et messages consultés, etc.) sont enregistrés pendant 6 mois. »
Réponse à la question 2 : La société accepte les requêtes émanant de tiers autorisées par le droit pénal suisse.
¤ StrongVPN
Cette société n’a pas directement répondu à nos questions et nous a invité à consulter sa politique en matière d’enregistrement des historiques.
StrongVPN enregistre en effet les historiques et est capable de faire correspondre une adresse IP externe à un utilisateur.
Nous l’avons inclus dans la liste car de toute notre enquête, il s’agit du fournisseur le plus agressif en termes de lutte contre les infractions.
« StrongVPN ne limite pas l’utilisation du P2P, mais veuillez noter que le partage de contenus protégés est interdit.
Merci de ne pas vous livrer à de telles activités, sans quoi nous serons contraints de bloquer votre compte. »
« Avertissement : vous n’êtes pas autorisé à distribuer des contenus protégés à l’aide de notre réseau. Votre compte pourra être annulé si cela se produit. »
/!\ Les fournisseurs qui n’ont tout simplement pas répondu /!\
En plus de ceux qui ont été mentionnés ci-dessus, TorrentFreak a également contacté un certain nombre de fournisseurs de VPN relativement connus.
Nous ne savons pas clairement s’il était simplement trop difficile de répondre à nos questions de manière positive ou s’il y avait une autre raison, mais malheureusement,
aucun d’entre eux n’a répondu à nos e-mails, malgré le retour d’un accusé de réception dans certains cas.
Parmi ces fournisseurs se trouvent entre autres Blacklogic.com, PureVPN.com, VPNTunnel.se, Bolehvpn.net et Ivacy.com
Si l’un de ces fournisseurs se sent désormais capable de répondre directement à nos questions, ou si tout autre fournisseur de VPN souhaite être inclus dans une prochaine mise à jour de cette liste,
merci de bien vouloir nous contacter en envoyant des réponses directes aux questions posées plus haut.
Toutes nos excuses aux fournisseurs nous ayant contactés à la dernière minute, mais il était trop tard pour les inclure dans ce rapport. Il fallait bien s’arrêter quelque part.
En conclusion...
Il est clair que toute inscription à un service de VPN passe d’abord par une lecture attentive de sa politique en matière d’enregistrement des historiques et de protection de la vie privée.
Par deux lectures même, la seconde devant être encore plus minutieuse. La plupart de ces politiques ne sont pas aussi claires qu’elles n’y paraissent au premier abord
(et certaines semblent même volontairement obscures) et c’est la raison pour laquelle nous avons décidé de poser nos propres questions.
Contrairement au pessimisme généré par notre rapport précédent, et comme nous pouvons le constater en regardant la liste ci-dessus,
lorsqu’il s’agit d’offrir une véritable protection de la privée, il existe de nombreux services disponibles.
source
note: freedom ip ne conserve pas les historique sur leur serveurs juste les log de connexions au site internet et sur le forum donc vpn de confiance et full anonyme.
A mon Avis C'est www.purevpn.com/fr/ meme maintenant en 2016.
RépondreSupprimer