Le géant des VPN NordVPN annonce les conclusions d'un nouvel audit, mené par le cabinet de conseil PricewaterhouseCoopers. Celui-ci visait à vérifier si ce qui est annoncé dans sa politique de confidentialité, à savoir ne rien stocker sur les internautes et leurs activités, est bien appliqué.

Emplacement des serveurs, débit ou encore stabilité de la connexion : lorsqu’il s’agit d’évaluer les offres en matière de VPN, les critères de comparaison ne manquent pas. Mais les performances du service et le chemin emprunté par la connexion Internet ne sont pas les seuls éléments qui sont considérés par les internautes : d’autres points entrent parfois en ligne de compte, comme la confidentialité.

Résumé à grands traits, un VPN est un réseau privé virtuel qui encapsule la connexion dans un tunnel chiffré, pour la protéger de toute interception ou altération, et la faire passer par un ou plusieurs serveurs intermédiaires, généralement situés à l’étranger. Ainsi, le site ou le service à l’autre bout ne voit que l’adresse IP du dernier serveur intermédiaire, et non pas la vôtre — ce qui brouille les pistes.

En la matière, ProtonVPN s’était distingué en début d’année en annonçant l’ouverture du code source de toutes ses applications mobiles et partagé les résultats de plusieurs audits de sécurité.  Cette fois, c’est au tour de NordVPN de jouer sa carte, en mettant en avant les conclusions d’un audit mené par PricewaterhouseCoopers, un cabinet de conseil de tout premier plan, sur sa politique de conservation des données.

Les services VPN se déclinent aussi sur mobile, via des applications dédiées.

Un audit pour vérifier que NordVPN ne garde rien

Plus spécifiquement, l’audit visait à confirmer l’affirmation de NordVPN selon laquelle il fournit bien un service de VPN sans historique ou registre d’activité (no-logs policy). L’audit a validé l’allégation que l’entreprise met en avant sur son site web, du moins pendant la période d’évaluation de PricewaterhouseCoopers. Celle-ci s’est déroulée du 20 au 28 mai 2020, précise NordVPN.

Dans sa communication commerciale, l’entreprise prétend en effet ne rien conserver : adresses IP, activités en ligne, données d’utilisation de la bande passante, informations de session ou horodatages de connexion. Dès lors, en principe, NordVPN n’est pas censé pour fournir grand chose en cas de requête, y compris en matière judiciaire — ce qui n’est pas tout à fait neutre.

Dans le détail, l’audit incluait des entretiens avec les employés, des inspections au niveau de la configuration des serveurs, des contrôles des journaux techniques et des visites des autres serveurs utilisés par NordVPN. PricewaterhouseCoopers a aussi vérifié que les configurations qui ont été passées en revue étaient bien celles qui étaient utilisées pour la clientèle de l’opérateur VPN.

Les VPN ont des applications légitimes, mais aussi des usages moins avouables. // Source : Claire Braikeh pour Numerama

Ce type d’audit n’est pas tout à fait nouveau. NordVPN en avait déjà conduit un identique en 2018 et l’un de ses concurrents, ExpressVPN, avait lui aussi demandé la participation d’un auditeur indépendant — en l’occurrence, il s’agissait déjà PricewaterhouseCoopers — en 2019 pour montrer que ce qui est annoncé dans sa politique de confidentialité est bien appliqué par le VPN.

Selon NordVPN, ce nouvel examen « était beaucoup plus large ». Il a été élargi entre autres à ses serveurs et services spécialisés qui n’avaient pas été inclus autrefois. Cela inclut les serveurs et services obfusqués (proposés en cas de restriction importante en matière d’accès à Internet), Double VPN (pour bénéficier d’un double chiffrement) et P2P (pour les échanges en P2P, justement).

Cela étant, cela ne veut pas dire que NordVPN ne sait absolument rien : quelques éléments sont conservés, ne serait-ce que pour pouvoir disposer d’un compte (un mail est requis) et pour l’abonnement (NordVPN n’est pas gratuit). D’autres données sont aussi gardées, qu’il s’agisse des échanges avec le service clientèle ou l’horodatage temporaire des connexions, pour éviter le partage excessif d’un même compte.

Si des considérations légitimes peuvent conduire à utiliser un VPN, pour avoir la paix sur Internet sans être suivi par de la publicité ciblée par exemple, des motivations bien moins avouables jouent aussi un rôle moteur important : pirater des contenus culturels sur les réseaux P2P sans se faire attraper, par exemple.

Partager sur les réseaux sociaux

La suite en vidéo