Services VPN: Il y a de mauvaises nouvelles à propos de toutes ces bonnes critiques

Environ un quart des internautes utilise un réseau privé virtuel, une configuration logicielle qui crée une connexion de données sécurisée et cryptée entre leur propre ordinateur et un autre ordinateur ailleurs sur Internet. De nombreuses personnes les utilisent pour protéger leur vie privée lors de l'utilisation de points d'accès Wi-Fi ou pour se connecter en toute sécurité aux réseaux du lieu de travail pendant leurs déplacements. D'autres utilisateurs s'inquiètent de la surveillance exercée par les gouvernements et les fournisseurs Internet.

De nombreuses sociétés de réseaux privés virtuels s’engagent à utiliser un cryptage puissant pour sécuriser les données et affirment protéger la confidentialité des utilisateurs en ne stockant pas les dossiers indiquant où les personnes accèdent au service ou ce qu’elles font lorsqu'elles sont connectées. Si tout fonctionnait comme prévu, une personne fouillant son ordinateur ne verrait pas toute son activité Internet, mais simplement une connexion inintelligible à cet ordinateur.Toute entreprise, tout gouvernement ou tout pirate espionnant le trafic Internet global pourrait toujours repérer un ordinateur transmettant des informations sensibles ou naviguer sur Facebook au bureau - mais penserait que cette activité se produit sur un ordinateur différent de celui que la personne utilise réellement.

Voir aussi: Journée de la confidentialité des données: Vérifiez vos paramètres de sécurité sur Email, Facebook et Google.

Cependant, la plupart des gens - y compris les clients VPN - n’ont pas les compétences nécessaires pour vérifier qu’ils en ont pour leur argent. Un groupe de chercheurs auquel je faisais possède ces compétences et notre examen des services fournis par 200 sociétés de réseau privé virtuel (VPN) a révélé que nombre d'entre elles induisaient en erreur les clients au sujet d'aspects essentiels de la protection des utilisateurs.

Les consommateurs sont dans le noir

Nos recherches ont révélé qu'il était très difficile pour les clients VPN d'obtenir des informations impartiales. De nombreux fournisseurs de VPN paient des sites et des blogs tiers pour promouvoir leurs services en rédigeant des critiques positives et en les classant très bien dans les enquêtes du secteur. Il s’agit de publicités destinées aux personnes envisageant d’acheter des services VPN plutôt que d’évaluations indépendantes et impartiales. Nous avons étudié 26 sites de critiques; Vingt-quatre d’entre eux recevaient une forme de paiement de rebond pour les critiques positives.

Un exemple typique est un site répertoriant des centaines de sociétés de réseau privé virtuel (VPN) ayant classé plus de 90% d’entre elles dans la catégorie 4 sur 5 ou plus. Ce n'est pas illégal, mais cela fausse les évaluations qui pourraient être indépendantes. Cela rend également la concurrence beaucoup plus difficile pour les fournisseurs de VPN récents et plus petits qui peuvent offrir un meilleur service, mais des budgets plus bas pour payer une bonne publicité.

Vague sur la confidentialité des données

Nous avons également appris que les sociétés VPN ne font pas toujours beaucoup pour protéger les données des utilisateurs, malgré la publicité qu’elles font. Sur les 200 entreprises que nous avons examinées, 50 n'avaient aucune politique de confidentialité en ligne, malgré les lois qui les y obligeaient.

Les entreprises ayant publié des politiques de confidentialité variaient considérablement dans leur description de la manière dont elles gèrent les données des utilisateurs. Certaines politiques étaient aussi courtes que 75 mots, loin de la norme des documents juridiques de plusieurs pages sur les sites bancaires et de médias sociaux. D'autres n'ont pas confirmé officiellement ce que leurs publicités suggéraient, laissant une marge de manœuvre pour espionner les utilisateurs même après avoir promis de ne pas le faire.

Fuite ou surveillance du trafic

Une grande partie de la sécurité d’un VPN dépend de la nécessité de garantir que tout le trafic Internet de l’utilisateur passe par une connexion cryptée entre son ordinateur et le serveur VPN. Mais le logiciel est écrit par des humains et les humains font des erreurs. Lors du test de 61 systèmes VPN, nous avons constaté des erreurs de programmation et de configuration dans 13 d’entre eux qui permettaient au trafic Internet de circuler en dehors de la connexion cryptée, ce qui empêchait l’utilisation d’un VPN et exposait l’activité en ligne de l’utilisateur aux espions et observateurs extérieurs.

De plus, comme les sociétés de réseau privé virtuel peuvent, si elles le souhaitent, surveiller toutes les activités en ligne de leurs utilisateurs, nous avons vérifié si elles le faisaient. Nous avons constaté que six des 200 services VPN étudiés surveillaient effectivement le trafic des utilisateurs eux-mêmes. Cela diffère des fuites accidentelles, car cela implique de regarder activement l’activité des utilisateurs - et éventuellement de conserver des données sur ce que font les utilisateurs.

Encouragés par les publicités axées sur la protection de la vie privée, les utilisateurs font confiance à ces sociétés pour ne pas le faire, ni pour partager ce qu'elles trouvent avec des courtiers en données, des agences de publicité, des services de police ou d'autres agences gouvernementales. Pourtant, ces six sociétés VPN ne s’engagent pas légalement à protéger les utilisateurs, quelles que soient leurs promesses.

Mentir sur les lieux

Un grand argument de vente pour de nombreux VPN est qu'ils permettent aux clients de se connecter à Internet comme s'ils se trouvaient dans des pays autres que ceux où ils se trouvent réellement. Certains utilisateurs font cela pour éviter les restrictions du droit d'auteur, illégales ou quasi-légales, comme regarder des émissions Netflix aux États-Unis pendant leurs vacances en Europe. D'autres le font pour éviter la censure ou d'autres règles nationales régissant les activités Internet.

Nous avons toutefois constaté que ces affirmations de présence internationale ne sont pas toujours vraies. Nos soupçons ont commencé à apparaître lorsque nous avons vu des VPN affirmer qu'ils laissaient les gens utiliser Internet comme s'ils se trouvaient en Iran, en Corée du Nord et dans des îles plus petites comme la Barbade, les Bermudes et le Cap-Vert - des endroits où il est très difficile d'obtenir un accès Internet. pas impossible pour les entreprises étrangères.

Lorsque nous avons enquêté, nous avons constaté que certains VPN qui prétendent avoir un grand nombre de connexions Internet diverses n'ont en réalité que quelques serveurs en cluster dans quelques pays. Notre étude a révélé qu'ils manipulaient les enregistrements de routage Internet pour donner l'impression qu'ils fournissaient des services ailleurs. Nous avons trouvé au moins six services VPN qui prétendent acheminer leur trafic dans un pays mais le transmettent réellement dans un autre. Selon l’activité de l’utilisateur et les lois du pays, cela peut être illégal ou même mettre la vie en danger - mais au moins, cela est trompeur.

Instructions pour les utilisateurs de VPN

Les clients techniquement intéressés par les VPN pourraient envisager de configurer leurs propres serveurs, en utilisant des services d'informatique en nuage ou leur connexion Internet à domicile. Les personnes un peu moins à l'aise sur le plan technique pourraient envisager d'utiliser le navigateur Tor, un réseau d'ordinateurs connectés à Internet qui aident à protéger la vie privée de ses utilisateurs.

Ces méthodes sont difficiles et peuvent être lentes. Lors de la sélection d'un service VPN commercial, notre meilleur conseil, basé sur nos recherches, est de lire attentivement la politique de confidentialité du site et d'acheter des abonnements courts, éventuellement de mois en mois, pour faciliter la transition si vous trouvez quelque chose de mieux..

Cet article a été publié à l'origine sur The Conversation de Mohammed Taha Khan et Narseo Vallina-Rodriguez. Lisez l'article original ici.