Ce n’est un secret pour personne que les sociétés technologiques exagèrent les mérites de leurs produits pour impressionner les consommateurs. Mais certaines vont même jusqu’à mentir sur les caractéristiques de leurs produits. Les VPN sont connus pour cela. Ils sont en effet nombreux à affirmer ne pas conserver de journaux ou à avoir une « politique de non journalisation ».
Mais on est parfois bien loin de la vérité.
« Aucun journal » ou « aucun log » font partie des expressions les plus vagues dans le domaine de la cybersécurité, car elles dépendent en réalité de la définition que chaque entreprise a de ces journaux.
Voici une brève explication du fonctionnement de la journalisation.
Les Différents Types de Journaux
Réellement Aucun Journal
Comme le nom l'indique, un service qui possède une véritable politique stricte sans journaux est ce qu’il y a de plus sûr. Un tel service ne collectera aucune donnée vous concernant quand vous l’utilisez et vous serez donc totalement anonyme. Ce type de politique est de loin la plus efficace car vos données ne peuvent jamais être vendues à des annonceurs ou utilisées contre vous dans le cadre d'une enquête criminelle. Private Internet Access est un VPN réputé pour avoir fait respecter cette politique à de nombreuses reprises en empêchant le FBI d’accéder aux journaux de ses utilisateurs, pour la simple et bonne raison qu’ils ne les conservaient pas.
Journaux de Session
Les journaux de session sont ce à quoi la plupart des VPN font référence lorsqu’ils disent avoir une « politique de non-journalisation ». Un journal de session est un journal relativement basique qui garde une trace des métadonnées relatives à votre utilisation du VPN. Ces métadonnées donnent généralement des indications sur le temps d'utilisation, la bande passante utilisée et le serveur VPN utilisé.
Bien que ces journaux contiennent des données basiques, ils sont en grande partie inoffensifs. Toutefois, les utilisateurs qui souhaitent vraiment qu’aucune donnée ne soit collectée à leur sujet ont intérêt à chercher un VPN avec une réelle politique de non-journalisation.
Journaux d'Activité
Les journaux d'activité peuvent faire peur car ils enregistrent une grande quantité de données relatives à ce que vous faites en ligne quand vous utilisez un VPN. Les journaux d'activité peuvent collecter des données concernant les recherches que vous avez faites, les sites web que vous avez visités, les fichiers auxquels vous avez accédés ou que vous avez téléchargés et même les produits que vous avez achetés en ligne. Ces journaux font peur car ces données peuvent être vendues par les entreprises de VPN à des annonceurs tiers, ou utilisées contre quelqu’un dans le cadre d’une enquête criminelle.
Journaux d'Adresses IP
Les journaux d’adresses IP font un peu moins peur que les journaux d’activité mais restent une chose dont il faut se méfier. Les journaux d'adresse IP permettent de connaître votre emplacement physique via votre adresse IP et souvent aussi l’heure à laquelle vous vous êtes connecté au VPN. Le service possède donc un historique de votre adresse IP et de vos heures de connexion, ce qui pourrait potentiellement représenter suffisamment d'informations pour vous identifier dans le cadre d’une enquête.
Ententes de Partage de Données et Politiques qui Affectent la Journalisation
Les VPN ne conservent généralement pas de journaux, sauf s’ils sont forcés de le faire par une entité gouvernementale à des fins de surveillance des citoyens. Les accords entre gouvernement les plus connus sont les « Five/Nine/Fourteen Eyes », qui surveillent les activités des citoyens résidant dans les pays concernés. Si les agences de données d’un pays n'ont pas l’autorité juridique nécessaire pour espionner leurs propres citoyens, elles peuvent simplement demander à l'un des autres gouvernements de l’alliance de le faire à leur place. Voici une présentation de ces ententes de partage de données et des pays qui en font partie.
Alliance Five Eyes
L’alliance entre gouvernements la plus connue en matière de surveillance des citoyens est l’alliance Five Eyes, un accord entre les États-Unis, le Royaume-Uni, l’Australie, la Nouvelle-Zélande et le Canada qui vise à partager des données sur les citoyens de chaque pays. Cette entente est née en 1946 entre les États-Unis et le Royaume-Uni après la seconde guerre mondiale comme un moyen de surveiller l'activité de l'Union soviétique et de ses alliés. Cette alliance visait à intercepter les signaux des forces militaires soviétiques, mais elle s’est transformée au fil des ans en un moyen d’espionner les téléphones, les ordinateurs et les fax de leurs citoyens. Avec un réseau d'informations aussi étendu, in ne fallut pas attendre longtemps pour que le Canada, l'Australie et la Nouvelle-Zélande rejoignent l’alliance.
De nos jours, ce système de surveillance est géré par un logiciel appelé ECHELON, qui permet aux gouvernements d'espionner les opérations commerciales et privées et de collecter des quantités massives de données sur les particuliers. Ces informations peuvent ensuite être partagées entre tous les pays membres et utilisées pour surveiller les individus suspects. La plupart des données proviennent des appels téléphoniques, des activités en ligne, des fax et de tous les autres types d’appareils de communication numérique. Les personnes résidant dans les cinq pays membres sont donc soumises à l’interception de leurs données si ces dernières sont jugées suspectes. C’est pour cette raison que les gouvernements de ces pays ont le pouvoir d'exiger des informations sur l'activité des utilisateurs des services VPN.
Alliance Nine Eyes
D’autres pays rejoignirent rapidement l'alliance de partage de données Five Eyes qui était devenue un outil très utile pour les pays membres d'origine à de nombreux égards. Quatre autres pays ont donc adhéré à l'accord, à savoir les Pays-Bas, la France, la Norvège et le Danemark. Même si les nouveaux membres font partie de l'alliance, certains d’entre eux, comme les Pays-Bas, ont leurs propres lois relatives à la protection des données. Certaines des politiques de protection des données des Pays-Bas visent à protéger la vie privée, et limitent les informations qui peuvent être conservés par les VPN.
Alliance Fourteen Eyes
En raison de l'efficacité des alliances Five Eyes et Nine Eyes, l'accord s'est étendu à cinq autres pays : l'Espagne, l'Allemagne, la Belgique, l'Italie et la Suède. Ces pays ont également mis en commun les données concernant leurs citoyens. L’alliance Fourteen Eyes constitue le système d'espionnage ultime, et affecte désormais de façon spectaculaire le bien-fondé des VPN basés dans ces pays.
Récents Cas de Journalisation
Bien que de nombreuses entreprises prétendent avoir une politique de non journalisation, peu d’entre elles peuvent réellement dire qu'elles ne collectent aucun journal. C’est le cas de PureVPN, un VPN basé à Hong Kong qui a récemment remis les données relatives à un des ses utilisateur au FBI.
PureVPN a été sommée d’aider le FBI dans une affaire de harcèlement dans laquelle un client de PureVPN aurait utilisé le VPN pour commettre des cybercrimes et harceler la victime. À la demande du FBI, PureVPN a fourni les heures et les lieux de connexion. Les journaux de session ont permis au FBI d’appréhender le suspect, ce qui a placé PureVPN sous le feu des projecteurs car l’entreprise affirmait jusqu’alors ne pas conserver de journaux.
Après une inspection plus poussée, il est devenu évident que la politique de confidentialité de PureVPN contenait des déclarations contradictoires qui permettaient à l’entreprise de conserver des journaux de session sur ses utilisateurs.
Bien que le cas de PureVPN soit le plus connu, ce n'est certainement pas le seul cas dans lequel un VPN a remis des données concernant ses utilisateurs aux autorités. Ce cas, ainsi que de nombreux autres, prouve à quel point les politiques de « non journalisation » peuvent être vagues et flexibles.
Les Façons de Vous Protéger
Bien Lire les Paragraphes en Petits Caractères
Bien que de nombreuses entreprises affirment qu'elles ne conservent pas de journaux, les passages en petits caractères ou les astérisques dans leur conditions générales disent souvent le contraire. Lisez attentivement les détails de chaque service pour vous assurer qu'aucune de vos informations ne sera utilisée contre vous.
Éviter les Pays de l’Alliance Fourteen Eyes
Dans l'ensemble, les VPN provenant des pays membres de l’Alliance Fourteen Eyes sont généralement moins privés en raison de politiques strictes sur la conservation des données. Cependant, certains VPN de ces pays ne tiennent pas compte de ces règles et refusent de conserver des journaux sur leurs utilisateurs car ils estiment que le droit fondamental du respect de la vie privée est supérieur aux lois. En outre, certains pays ont des lois strictes sur la protection de la vie privée des citoyens, ce qui remet en cause la légitimité des informations collectées par les VPN.
Utiliser un VPN avec Tor
L'utilisation d'un VPN en combinaison avec Tor (The Onion Router) peut fournir un niveau de confidentialité extrême et rendre la surveillance de vos données pratiquement impossible si vous vous y prenez correctement, même dans les pays avec les lois les plus strictes. Cependant, si votre VPN n’est pas utilisé correctement avec Tor, votre activité en ligne peut être pistée grâce aux nœuds de sortie de Tor, ce qui vous rend encore plus vulnérable qu’auparavant.
Conclusion
Conclusion
En définitive, c’est le niveau de confidentialité que vous désirez obtenir qui doit vous aider à déterminer le type de service VPN adapté à vos besoins. Faites vos recherches avant de souscrire un abonnement VPN et assurez-vous que les conditions que vous acceptez sont bien conformes à ce que vous attendez du service.