ProtonVPN annonce l'ouverture du code source de toutes ses applications et publie les résultats de plusieurs audits. L'entreprise suisse promet que d'autres analyses menées par des entreprises indépendantes auront lieu à l'avenir. Elle en profite aussi pour tacler les autres solutions de VPN.

Vous l’avez certainement remarqué en vous baladant sur le net ou en visionnant des vidéos sur YouTube : il est beaucoup question de VPN en ce moment. Il suffit de voir les nombreux partenariats qu’a tissés par exemple NordVPN avec des vidéastes français pour mettre en avant ses services dans leurs vidéos. C’est que la concurrence est rude dans ce domaine et il faut batailler pour être visible des internautes.

Pour le particulier, il n’est pas forcément évident de s’y retrouver tant les critères sont variés : VPN gratuit ou payant, débit et qualité de la connexion, politique de conservation des données, prise en main, chiffrement, accès aux contenus géobloqués en fonction des pays… mais il est des caractéristiques qui ne sont jamais prises en compte, ou si peu : l’accès au code source et l’audit de sécurité.

C’est justement sur ces deux derniers critères que ProtonVPN cherche à se démarquer. Ce mardi 21 janvier, l’entreprise située en suisse, dont la notoriété s’est d’abord forgée grâce à ProtonMail, un service de messagerie proposant à sa clientèle un haut degré de sécurité et de confidentialité, annonce l’ouverture du code source de toutes ses applications et publie le résultat des audits pour chacune d’elle.

protonvpn
Avec un VPN, la connexion passe par un relais avant d’arriver à destination, ce qui permet de masquer sa vraie origine géographique.

ProtonVPN joue la carte de la transparence

Sont concernées les versions pour Windows et macOS, mais aussi pour Android et iOS, qui sont sorties courant 2018. Le code source de chaque programme est lisible sur GitHub, ce qui permet à chacune de vérifier, s’il en a le temps et les compétences, que ProtonVPN n’a pas inséré d’instructions douteuses ou franchement néfastes dans son service. Et cela ne peut se faire qu’en faisant preuve de transparence.

Cet effort d’ouverture est aussi l’occasion pour ProtonVPN de glisser quelques tacles bien sentis à la concurrence, qui promet monts et merveilles, tout en restant opaque. « Il y a un manque de transparence et de responsabilité en ce qui concerne les opérateurs de VPN, leurs qualifications en matière de sécurité et leur conformité aux lois sur la protection de la vie privée, comme le RGPD », écrit la société.

Il y a un manque de transparence des opérateurs de VPN

Et ProtonVPN de continuer : « De nombreux VPN ont souffert de défaillances majeures en matière de sécurité et de nombreux services VPN gratuits qui prétendaient protéger la vie privée vendent secrètement les données des utilisateurs à des tiers ». En la matière, vous connaissez sans doute déjà la musique : si c’est gratuit, c’est que le produit se situe entre la chaise et le clavier.

Pour soutenir ses positions, ProtonVPN ne s’est pas contenté d’ouvrir son code source — bien que cela lui permette non seulement de jouer la carte de la transparence, mais aussi de profiter de la contribution de tiers, qui peuvent proposer des améliorations logicielles. Il a aussi fait appel à un cabinet d’audit indépendant, SEC Consult, pour ausculter ses quatre applications et dénicher d’éventuels problèmes.

Pas de faille critique repérée

Trois problématiques étaient poursuivies par SEC Consult lors de son audit : La solution de ProtonVPN garantit-elle la confidentialité de l’utilisateur ? Un attaquant peut-il accéder aux données d’autres clients (accès croisé) ? Et un attaquant peut-il utiliser les fonctionnalités payantes de ProtonVPN sans mise à niveau de son compte ? Chaque audit s’est déroulé en 2019 et a nécessité six jours de travail.

À l’issue, SEC Consult a trouvé une faille moyennement grave et quatre failles limitées dans l’application Android. Sa déclinaison pour iOS en avait deux de faible importance. Du côté de Windows, le bilan est de quatre vulnérabilités : deux moyennes et deux faibles. Aucune n’a été trouvée dans le temps imparti en ce qui concerne macOS. Toutes ont été traitées par ProtonVPN.

La sécurité et la fiabilité d’un VPN sont capitales, au regard de la place stratégique qu’il occupe dans l’accès au net. // Source : Claire Braikeh pour Numerama

SEC Consult indique qu’il n’a jamais été possible de déchiffrer le trafic chiffré transitant par le service de ProtonVPN, malgré les bugs repérés pendant les audits. En somme, l’essentiel est sauf. Autre motif de satisfaction, aucune faille de rang élevé ou critique n’a été décelée, ce qui constitue un indice probant de la bonne tenue de l’ingénierie derrière le service. Cela ne veut néanmoins pas dire qu’il n’y en a pas du tout ou qu’il n’y en aura jamais : seulement, que rien n’a été trouvé dans le délai de recherche.

« Bien que ces audits soient coûteux et longs, nous pensons qu’ils constituent une étape essentielle qui doit aller de pair avec l’ouverture de notre code. Nous continuerons à l’avenir à effectuer des audits de manière continue afin de disposer de contrôles indépendants continues sur la sécurité de nos applications », promet la société. Avant, en amont du partenariat annoncé fin 2018, Mozilla l’avait déjà passée au crible (technologie, implémentation, organisation interne).

Partager sur les réseaux sociaux

La suite en vidéo