Les services VPN : une solution miracle ou une source de danger ?
Les VPN (Virtual Private Network) sont aujourd'hui sur toutes les lèvres, car ils permettent de sécuriser le trafic de données et de rendre plus difficile le suivi des traces sur Internet. En fait, on peut presque dire que le "VPN" est devenu une marque à part entière, autour de laquelle se pressent de nombreuses entreprises qui proposent leurs services à grand renfort de publicité.
Les applications VPN chiffrent tout le trafic réseau entre un appareil externe et les serveurs d'une entreprise, les VPN grand public veillent également à ce que le trafic de données entre l'appareil personnel et un fournisseur de VPN soit chiffré et transmis à l'Internet public loin de l'emplacement de l'utilisateur. La véritable source des paquets de données est ainsi masquée et l'utilisateur est effectivement plus difficile à suivre. Un sentiment supplémentaire de vie privée et donc d'anonymat résulte en outre du fait que VPN est l'abréviation de Virtual Private Network, c'est-à-dire que le mot "privé" s'impose tout naturellement. En réalité, la partie "privée" d'un VPN ne concerne pas vraiment l'anonymat des utilisateurs. Le P dans VPN se réfère en fait uniquement à l'idée d'utiliser un réseau public pour transmettre le trafic de données qui, auparavant, passait par un circuit privé ou une ligne louée et était donc considéré comme faisant partie du réseau local de l'entreprise.
Un anonymat trompeur
L'anonymat apparent est toutefois trompeur : tous ceux qui ont déjà utilisé un VPN d'entreprise, ce qui est très probable à l'époque de Corona, savent qu'une identification précise est nécessaire avant d'entrer dans le VPN, par exemple avec un mot de passe ou un jeton 2FA. L'entreprise sait donc qui vous êtes avant que quelqu'un n'établisse une connexion. Conclusion : le trafic de données est certes protégé contre la surveillance par des écoutes publiques, mais il n'y a pas d'anonymat simplement parce qu'un utilisateur se trouve dans le château virtuel du réseau de l'entreprise. En bref, le VPN lui-même sait qui ils sont et voit ce qu'ils font. Même si les routeurs par lesquels les paquets VPN cryptés sont transmis ne le font pas. Et c'est une bonne chose, car cela signifie que les utilisateurs ne partagent un réseau d'entreprise qu'avec d'autres personnes qui sont (espérons-le) censées s'y trouver et peuvent ainsi être tenus responsables de leur comportement, au lieu d'être mis dans le même sac qu'un groupe d'inconnus dans des situations critiques.
Quel est le problème avec les protocoles ?
Comme mentionné ci-dessus, les VPN grand public peuvent faire en sorte que les données soient cryptées localement et retransmises en clair sur l'internet public dans une toute autre partie du monde. Ils masquent donc l'emplacement physique et donc le pays dans lequel l'utilisateur vit. Pour de nombreuses personnes, c'est la principale valeur ajoutée d'un service VPN personnel. Cela leur permet de contourner les censures appliquées par les FAI dans leur propre pays. Mais cela signifie également que les utilisateurs accordent une grande confiance au fournisseur de VPN, car il devient en fin de compte un nouveau FAI dont on ne sait pas non plus dans quelle mesure il effectue une surveillance ou non. De nombreux fournisseurs de VPN ont souligné qu'"ils ne tiennent absolument aucun journal" et qu'ils ne peuvent donc rien transmettre aux autorités publiques, même s'ils le souhaitaient. Mais le hic, c'est que dans de nombreux pays, il existe des mécanismes juridiques qui peuvent obliger un fournisseur de services non seulement à tenir des registres pour certaines personnes, mais aussi à garder le silence sur le fait qu'ils le font.
Le fait que cette surveillance VPN soit peut-être plus fréquente qu'on ne le pense est mis en évidence par un cas récent qui s'est produit dans un mentor VPN.Rapport et au cours duquel les chercheurs du site ont découvert de nombreux journaux d'utilisateurs de sept VPN grand public opérant à partir de Hong Kong et appartenant tous à un fournisseur principal. (Remarque : VPNMentor génère des revenus d'affiliation à partir de liens et de bons d'achat pour certaines entreprises VPN qu'il recommande). Michael Veit, spécialiste de la sécurité informatique chez Sophos, ajoute : "Selon la plate-forme, une base de données cloud mal configurée a exposé environ 1 milliard d'entrées de base de données avec environ 20 millions d'utilisateurs, y compris des journaux d'activité, des mots de passe en clair, des informations de paiement en bitcoins, des messages d'assistance, des informations sur des appareils personnels, des données techniques ou des informations de compte. Et ce, bien que, selon VPN-Mentor, les fournisseurs de VPN concernés annoncent sur leurs sites web qu'ils respectent la politique de zéro protocole, c'est-à-dire qu'ils ne créent aucun journal".
Bien sûr, les VPN sont une bonne chose, mais comme presque partout, la confiance aveugle n'est pas une bonne chose. Les utilisateurs doivent garder à l'esprit les éléments suivants :
1) Aucun VPN ne rend une personne anonyme ou ne change son identité par magie simplement en utilisant la technologie. Certes, les sites web visités via un VPN n'affichent pas leur véritable emplacement réseau, mais il ne faut pas oublier qu'il s'agit toujours de la même personne derrière le navigateur.
2. l'interposition d'un service VPN n'est finalement rien d'autre que le passage à un autre fournisseur d'accès à Internet. Il convient donc ici d'avoir les mêmes exigences. Votre fournisseur de VPN peut enregistrer un grand nombre de vos données et voir d'où elles proviennent, tout comme le FAI. Il convient toutefois de noter qu'une entreprise VPN peut être soumise à d'autres lois qu'un fournisseur d'accès régulier.
3) Indépendamment de l'utilisation d'un VPN, si vous téléchargez des données dans le nuage, vous ne devez jamais les stocker publiquement pour tout le monde, à moins que vous ne le souhaitiez expressément. Par défaut, les données doivent être verrouillées. Il ne faut pas télécharger ce qui doit rester absolument privé et il ne faut pas non plus rassembler dans le nuage des données que l'on souhaite potentiellement supprimer définitivement à un moment donné.
Source : Sophos