Le service PureVPN, qui fournit des réseaux privés virtuels à ses utilisateurs, est vivement critiqué pour avoir fourni les adresses IP d'un suspect de cyber-stalking au FBI. L'entreprise assure avoir respecté sa politique de confidentialité... qui s'avère contradictoire avec sa promesse commerciale.

Les VPN, ces réseaux privés virtuels qui permettent notamment de contourner la censure sur le web, garantissent-ils forcément l’anonymat des internautes qui y recourent ?

L’entreprise PureVPN est au cœur d’une polémique depuis plusieurs jours pour avoir aidé le FBI à identifier un internaute soupçonné de cyberstalking. De nombreux internautes ont reproché à l’entreprise installée à Hong Kong d’avoir ainsi trahi la confiance de ses utilisateurs en révélant deux adresses IP de l’individu en question.

Le FBI a en effet pu compter sur PureVPN pour lui révéler ces informations qui ont notamment conduit à l’arrestation de Ryan S. Lin, un Américain de 24 ans accusé de s’être livré à une vaste campagne de cyber-stalking pendant plusieurs mois contre une ancienne colocataire, en piratant ses différents comptes en ligne pour y dérober des photos et divulguer des informations personnelles d’ordre médical ou sexuel. Malgré son recours à des outils en ligne pour éviter d’être identifié, tels que TOR et PureVPN, Ryan S. Lin a laissé derrière lui quelques indices, dont une installation de PureVPN sur l’un de ses ordinateurs.

PureVPN affirme avoir respecté sa politique de confidentialité

Le rapport du FBI sur cette affaire confirme l’implication de l’entreprise : « PureVPN a pu établir que le même client a accédé à son service depuis deux adresses IP différentes : l’adresse IP RCN de chez Lin, et celle de l’entreprise informatique où il travaillait. »

PureVPN a préféré garder le silence pendant quelques jours avant de répondre aux critiques dans un long article sur son site :  « PureVPN n’a pas contrevenu à sa politique de confidentialité et n’a clairement pas trahi votre confiance. Aucun historique de navigation ou d’habitudes en ligne […] n’a été et ne sera jamais partagé […] Nous tenons à répéter que nous avons agi conformément à nos termes de service et à notre politique de confidentialité ».

Le service gagnerait toutefois à gagner en clarté au sujet de son traitement de telles informations sensibles. Sur son site, PureVPN vante en effet la politique de « no-log » (« zéro registre ») de ses abonnements payants, par opposition aux fournisseurs gratuits de VPN : «  En payant seulement 2,5 dollars, vous bénéficiez non seulement de services premium de PureVPN mais aussi, et c’est le plus important, vous n’avez pas à vous inquiéter au sujet de la sécurité et de la confidentialité de vos données. PureVPN propose une politique de zéro-registre à 100 % et ne conserve donc aucune de vos données. »


Dans sa politique de confidentialité, PureVPN indique en revanche : « Nos serveurs enregistrent automatiquement l’heure à laquelle vous vous connectez à l’un de nos serveurs. À partir de ce stade, nous ne conservons aucune donnée sur le moindre élément qui pourrait relier une activité spécifique à un utilisateur spécifique. » Le service reconnaît ainsi lui-même que sa politique n’est pas à 100 % « zéro-registre ».

Dans les faits, cette simple information de connexion suffit à identifier un suspect dans le cas d’une affaire comme celle-ci : en sachant par exemple, grace aux informations de Gmail, qu’un internaute a envoyé un mail à 15h le mardi 16 octobre, le FBI peut ensuite demander au fournisseur de VPN si tel utilisateur recourait à la même adresse IP au même moment. Le croisement des deux informations permet ainsi d’identifier le suspect.

Ironiquement, Ryan S. Lin semblait lui-même au courant de cette particularité de PureVPN, selon un tweet posté au cours de l’été, cité par TorrentFreak : « Un VPN qui ne garde aucun registre, ça n’existe pas. S’ils peuvent limiter vos connexions ou suivre l’usage de bande passante [comme le fait PureVPN], ils ont des registres. »

Partager sur les réseaux sociaux