Comment un VPN sécurise l'activité Internet. Crédit :Mohammad Taha Khan, CC BY-ND
Environ un quart des internautes utilisent un réseau privé virtuel, une configuration logicielle qui crée un connexion de données cryptée entre leur propre ordinateur et un autre ailleurs sur Internet. De nombreuses personnes les utilisent pour protéger leur vie privée lors de l'utilisation de points d'accès Wi-Fi, ou pour se connecter en toute sécurité aux réseaux du lieu de travail lors de vos déplacements. D'autres utilisateurs s'inquiètent de la surveillance exercée par les gouvernements et les fournisseurs d'accès Internet.
De nombreuses sociétés VPN promettent d'utiliser un cryptage fort pour sécuriser les données, et disent qu'ils protègent la vie privée des utilisateurs en ne stockant pas les enregistrements de l'endroit où les gens accèdent au service ou de ce qu'ils font lorsqu'ils sont connectés. Si tout fonctionnait comme prévu, quelqu'un fouillant sur l'ordinateur de la personne ne verrait pas toute son activité Internet - juste une connexion inintelligible à cet ordinateur. Toutes entreprises, Les gouvernements ou les pirates espionnant le trafic Internet global pourraient toujours repérer un ordinateur transmettant des informations sensibles ou naviguant sur Facebook au bureau - mais penseraient que cette activité se déroule sur un ordinateur différent de celui que la personne utilise réellement.
Cependant, la plupart des gens, y compris les clients VPN, n'ont pas les compétences nécessaires pour vérifier qu'ils obtiennent ce pour quoi ils ont payé. Un groupe de chercheurs dont je faisais partie possède ces compétences, et notre examen des services fournis par 200 sociétés VPN a révélé que beaucoup d'entre elles induisaient en erreur les clients sur les aspects clés de leurs protections utilisateur.
Les consommateurs sont dans le noir
Notre recherche a révélé qu'il est très difficile pour les clients VPN d'obtenir des informations impartiales. De nombreux fournisseurs de VPN paient des sites d'évaluation et des blogs tiers pour promouvoir leurs services en rédigeant des évaluations positives et en les classant très haut dans les enquêtes du secteur. Il s'agit de publicités destinées aux personnes envisageant d'acheter des services VPN, plutôt que des examens indépendants et impartiaux. Nous avons étudié 26 sites Web de revues; 24 d'entre eux recevaient une forme de pot-de-vin pour des critiques positives.
Un exemple typique était un site répertoriant des centaines de sociétés VPN qui ont évalué plus de 90 % d'entre elles à 4 sur 5 ou plus. Ce n'est pas illégal, mais cela fausse les évaluations qui pourraient être indépendantes. Cela rend également la concurrence beaucoup plus difficile pour les fournisseurs de VPN plus récents et plus petits qui peuvent avoir un meilleur service mais des budgets plus faibles pour payer une bonne publicité.
Lorsque les VPN ne fonctionnent pas correctement, les données des utilisateurs fuient. Crédit :Mohammad Taha Khan, CC BY-ND
Vague sur la confidentialité des données
Nous avons également appris que les sociétés VPN ne font pas toujours grand-chose pour protéger les données des utilisateurs, malgré la publicité qu'ils font. Sur les 200 entreprises que nous avons examinées, 50 n'avaient aucune politique de confidentialité publiée en ligne - malgré les lois les obligeant à le faire.
Les entreprises qui ont publié des politiques de confidentialité variaient considérablement dans leurs descriptions de la façon dont elles traitaient les données des utilisateurs. Certaines politiques étaient aussi courtes que 75 mots, loin de la norme des documents juridiques de plusieurs pages sur les sites bancaires et de médias sociaux. D'autres n'ont pas formellement confirmé ce que suggéraient leurs publicités, laissant de la place pour espionner les utilisateurs même après avoir promis de ne pas le faire.
Fuite ou surveillance du trafic
Une grande partie de la sécurité d'un VPN dépend de la garantie que tout le trafic Internet de l'utilisateur passe par une connexion cryptée entre l'ordinateur de l'utilisateur et le serveur VPN. Mais le logiciel est écrit par des humains, et les humains font des erreurs. Lorsque nous avons testé 61 systèmes VPN, nous avons trouvé des erreurs de programmation et de configuration dans 13 d'entre eux qui ont permis au trafic Internet de voyager en dehors de la connexion cryptée - contrecarrant l'objectif d'utiliser un VPN et laissant l'activité en ligne de l'utilisateur exposée aux espions et observateurs extérieurs.
Aussi, parce que les sociétés VPN peuvent, s'ils choisissent, surveiller toutes les activités en ligne de leurs utilisateurs, nous avons vérifié si quelqu'un le faisait. Nous avons découvert que six des 200 services VPN que nous avons étudiés surveillaient eux-mêmes le trafic des utilisateurs. Ceci est différent d'une fuite accidentelle, car cela implique d'examiner activement l'activité des utilisateurs – et éventuellement de conserver des données sur ce que font les utilisateurs.
Encouragé par les publicités axées sur la confidentialité, les utilisateurs font confiance à ces entreprises pour ne pas le faire, et de ne pas partager ce qu'ils trouvent avec les courtiers en données, les agences de publicité et la police ou d'autres agences gouvernementales. Pourtant, ces six sociétés VPN ne s'engagent pas légalement à protéger les utilisateurs, indépendamment de leurs promesses.
D'où dans le monde provient vraiment ce trafic ? Crédit :MSSA/Shutterstock.com
Mentir sur les lieux
Un énorme argument de vente pour de nombreux VPN est qu'ils prétendent permettre aux clients de se connecter à Internet comme s'ils se trouvaient dans des pays autres que ceux où ils se trouvent réellement. Certains utilisateurs le font pour éviter les restrictions de droit d'auteur, illégalement ou quasi légalement, comme regarder des émissions Netflix américaines pendant vos vacances en Europe. D'autres le font pour éviter la censure ou d'autres règles nationales régissant les activités sur Internet.
Nous avons trouvé, bien que, que ces affirmations de présence internationale ne sont pas toujours vraies. Nos soupçons ont été soulevés pour la première fois lorsque nous avons vu des VPN prétendre permettre aux gens d'utiliser Internet comme s'ils étaient en Iran, la Corée du Nord et des territoires insulaires plus petits comme la Barbade, Les Bermudes et le Cap-Vert – des endroits où il est très difficile d'accéder à Internet, sinon impossible pour les entreprises étrangères.
Lorsque nous avons enquêté, nous avons trouvé que certains VPN qui prétendent avoir un grand nombre de connexions Internet diverses n'ont en réalité que quelques serveurs regroupés dans quelques pays. Notre étude a révélé qu'ils manipulent les enregistrements de routage Internet de sorte qu'ils semblent fournir un service dans d'autres endroits. Nous avons trouvé au moins six services VPN qui prétendent acheminer leur trafic à travers un pays mais le véhiculent en réalité à travers un autre. En fonction de l'activité de l'utilisateur et des lois du pays, cela pourrait être illégal ou même mettre la vie en danger - mais à tout le moins, c'est trompeur.
Directives pour les utilisateurs VPN
Les clients soucieux de la technique qui sont toujours intéressés par les VPN peuvent envisager de configurer leurs propres serveurs, soit en utilisant des services de cloud computing ou leur connexion Internet à domicile. Les personnes ayant un peu moins d'aisance technique pourraient envisager d'utiliser le navigateur Tor, un réseau d'ordinateurs connectés à Internet qui aident à protéger la vie privée de ses utilisateurs.
Ces méthodes sont difficiles et peuvent être lentes. Lors de la sélection d'un service VPN commercial, nos meilleurs conseils, informé par nos recherches, est de lire attentivement la politique de confidentialité du site, et acheter des abonnements courts, peut-être de mois en mois, plutôt que des plus longs, il est donc plus facile de changer si vous trouvez quelque chose de mieux.
Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.