VPN paye pour l’audit de tiers: est-ce l’avenir?

Les dernières années ont été un parcours cahoteux pour l'industrie des réseaux privés virtuels (VPN). Des nouvelles sont apparues sur les VPN vendant de la bande passante, injectant des publicités, vendant des données utilisateur, offrant une sécurité médiocre et parfois même mentant sur le cryptage qu'ils fournissent. Chez ProPrivacy.com, nous ne sommes que trop conscients des problèmes. C'est pourquoi nous examinons attentivement les VPN et informons les consommateurs de leurs défauts (ainsi que de leurs attributs).


Pas plus tard que la semaine dernière, la nouvelle a fait état d'une plainte déposée par le groupe de défense indépendant Center for Democracy and Technology (CDT) au sujet du VPN américain Hotspot Shield. CDT a déposé une plainte de 14 pages auprès de la Federal Trade Commission car elle estime que Hotspot Shield a violé l’article 5 de la FTC Act contre les pratiques commerciales déloyales et trompeuses.

Le problème est expliqué dans la revue ProPrivacy.com de Hotspot Shield. Comme l'indique le CDT,

"L'examen de ProPrivacy met en évidence exactement ce que Hotspot Shield fait de mal."

Joseph Jerome de CDT m'a également dit,

"Vous, en tant que membre des mauvaises herbes sur les VPN, pourriez comprendre ce qu'ils font, mais le consommateur moyen ne le fera pas."

Nourriture pour la pensée

Cela m'a fait réfléchir. CDT a raison de porter plainte auprès de la FTC. Pourquoi? Parce que malgré le fait que la critique de Hotspot Shield par ProPrivacy.com soit librement accessible à tous, la politique de confidentialité de Hotspot Shield reste confuse. Les consommateurs ne devraient pas avoir besoin d'avis comme le nôtre pour déchiffrer le contenu de la politique de confidentialité d'une entreprise VPN: elle doit être expliquée en anglais clair dès le début afin que les abonnés sachent exactement ce qu'ils obtiennent..

Malheureusement, les consommateurs ne sont pas toujours au courant de ce qui se passe sous le capot d'un VPN. Un rapport de l'Organisation de recherche scientifique et industrielle du Commonwealth (CSIRO) du début de cette année a analysé les mauvaises critiques (une ou deux étoiles) des VPN sur le Google Play Store (qui avait plus de 500 000 installations et une note globale de 4 étoiles). Il a constaté que,

"Seulement moins de 1% des critiques négatives concernent des problèmes de sécurité et de confidentialité, y compris l'utilisation de demandes d'autorisation abusives ou douteuses et des activités frauduleuses."

Csiro 150X150

C'est une statistique surprenante. Il montre à quel point les consommateurs VPN sont vulnérables aux réclamations de confidentialité erronées faites par les VPN. De plus, ce ne sont pas seulement les politiques de confidentialité VPN qui doivent être précises et honnêtes, mais l'ensemble du code et de l'infrastructure d'un VPN qui doivent être testés afin de s'assurer qu'il respecte réellement les promesses qu'il fait. Malheureusement, les VPN ne sont pas actuellement réglementés, donc les consommateurs sont à risque.

Maintenant, une firme VPN appelée TunnelBear a décidé de prendre les choses en main afin d'ajouter encore plus de transparence à son service déjà respecté.

Audit VPN tiers TunnelBear

TunnelBear est une firme VPN basée à Toronto, au Canada, qui vient d'annoncer les résultats d'un audit tiers. Dans son blog sur l'audit, TunnelBear explique qu'en raison d'une inquiétude croissante concernant les pratiques des VPN commerciaux, il a décidé d'employer une firme de sécurité indépendante pour auditer son service:

"Bien que nous ne puissions pas restaurer la confiance dans l'industrie, nous avons réalisé que nous pouvions aller plus loin en démontrant à nos clients pourquoi ils pouvaient et devaient faire confiance à TunnelBear."

Le cabinet que TunnelBear a employé pour effectuer cet audit s'appelle Cure53. Dans son article de blog, TunnelBear admet franchement que toutes les conclusions de Cure53 n'étaient pas positives:

"Si vous avez déjà examiné les résultats, vous avez vu que l'audit de 2016 a révélé des vulnérabilités dans l'extension Chrome dont nous n'étions pas fiers. Il aurait été agréable d'être plus fort dès le départ, mais cela a également renforcé notre compréhension de la valeur d'avoir des tests réguliers et indépendants. Nous voulons trouver de manière proactive les vulnérabilités avant de pouvoir les exploiter. »

Toutes les vulnérabilités découvertes au cours de l'audit initial ont été rapidement corrigées par l'équipe de développement de TunnelBear. Au cours de l'audit de suivi, Cure53 a constaté que TunnelBear avait réussi à résoudre tous les principaux problèmes de sécurité qu'il avait découverts:

«Les résultats du deuxième audit soulignent clairement que TunnelBear mérite d'être reconnu pour la mise en œuvre d'un meilleur niveau de sécurité à la fois pour les serveurs et l'infrastructure ainsi que pour les clients et les extensions de navigateur pour diverses plates-formes.»

C’est une excellente nouvelle pour les clients de TunnelBear. Cependant, cela déclenche également des alarmes sur d'autres VPN. De son propre aveu, TunnelBear avait espéré «être plus fort dès le départ». Malheureusement, cependant, ce que nous espérons n'est pas toujours ce que nous obtenons.

Lorsqu'il s'agit d'auditer correctement les centaines de lignes de code qui composent un VPN - en particulier parce que la cryptographie est impliquée - il y a peu de personnes qui peuvent faire le travail correctement. De plus, financer un audit comme celui que TunnelBear a payé (de sa poche) est loin d'être bon marché.

Big Bill

Un signe de choses à venir?

La bonne nouvelle est que d'autres audits ont déjà lieu. En mai, les résultats d'un audit du cryptage OpenVPN ont prouvé que le principal protocole VPN était sécurisé. Ce rapport a été publié par l'Open Source Technology Improvement Fund (OSTIF). Il a été payé par les contributions de nombreuses personnes et entreprises de l'industrie VPN (y compris ProPrivacy.com).

Le rapport OSTIF a prouvé la validité d'OpenVPN en tant que forme de cryptage. Il a démontré que les VPN qui implémentent OpenVPN (selon les dernières normes) offrent à leurs utilisateurs une confidentialité et une sécurité solides. Cependant, ce que cet audit n'a pas pu faire était de vérifier l'implémentation des clients personnalisés des VPN tiers ou l'infrastructure et la sécurité côté client. C'est quelque chose que chaque VPN doit chercher à faire pour lui-même - s'il veut prouver que chaque partie de son code est exempte de vulnérabilités.

Audit Vpn réussi

Ne pas en faire assez

AirVPN, un fournisseur de VPN bien connu et très fiable, m'a dit qu'il employait régulièrement des pirates informatiques pour tester son infrastructure:

"Notre service est basé sur OpenVPN. À propos d'OpenVPN, nous avons cofinancé un audit approfondi, en plus des évaluations normales par des experts en sécurité et la communauté sur les logiciels libres et open source..

"Notre client logiciel, un wrapper et un frontend OpenVPN, est également un logiciel libre et open source (publié sous GPLv3). Le code source est disponible dans GitHub.

"Nous ne publions aucun bloatware, donc les parties restantes de l'infrastructure nécessitant des tests de stress et d'attaque sont de notre côté. Notre infrastructure est fréquemment attaquée par des professionnels et des personnes autorisées (hackers qualifiés) à la recherche de vulnérabilités et, bien sûr, le personnel de l'Air analyse attentivement les rapports de telles attaques. Nous ne faisons pas de publicité sur cette activité ni ne la considérons comme un outil de marketing, car il s'agit du comportement ordinaire et normal dans l'industrie informatique, en particulier lors de l'exposition de services sur un réseau public."

Tests de pénétration Cure53

Cependant, Mario Heiderich de Cure53 m'a dit que, pour les VPN, ne pas annoncer les tests qu'ils ont effectués est contre-intuitif:

"Les fournisseurs de VPN devraient en parler fort, offrir de la transparence, publier des rapports et prouver à leurs utilisateurs qu'ils ont le meilleur à l'esprit pour eux."

De plus, Heiderich m'a dit que "avoir leur code client sur Github ou similaire pourrait aider - pourtant beaucoup de logiciels ont des bogues critiques en dépit d'être open source, donc il n'y a aucune garantie d'aucune sorte." Ce point important souligne l'importance de ce type de vérification. Après tout, il y a une différence entre avoir un code VPN Open Source et avoir un code open source qui a été soigneusement vérifié de manière indépendante.

Bon ... Super ... Mieux

Ne vous méprenez pas, en termes de transparence, AirVPN est en avance sur la grande majorité des VPN sur le marché. Cependant, ce que TunnelBear a fait va certainement plus loin. Il démontre une approche exceptionnellement déterminée pour mettre en évidence la fiabilité du service.

Bien mieux

Ici, sur ProPrivacy.com, nous félicitons TunnelBear d'avoir fait le saut pour payer son propre audit public approfondi. TunnelBear peut désormais se vanter de ses niveaux de sécurité avec plus de confiance que n'importe quel autre VPN. C'est une position que d'autres VPN voudront sans doute imiter. En ce qui nous concerne, c'est quelque chose que tous les VPN haut de gamme devraient vouloir faire.

Les VPN doivent être complètement honnêtes et transparents sur chaque partie de leur service. TunnelBear a fait un effort supplémentaire et a prouvé qu'il existe un moyen d'améliorer la réputation de l'industrie du VPN. Nous espérons que davantage de VPN décideront de suivre cet excellent exemple.

Les consommateurs doivent agir!

Cure53 m'informe que 38 jours (le temps que TunnelBear dit que ses deux audits ont pris) coûtent environ 45 000 $. En tant que tel, il semble hautement improbable que la majorité des VPN commerciaux se poursuivent et emboîtent le pas.

De plus, jusqu'à ce que les consommateurs commencent à tenir compte des avertissements tels que ceux que nous faisons ici sur ProPrivacy.com, ils continueront à voir leur confidentialité compromise par les VPN déterminés à faire de l'argent rapidement. Les consommateurs doivent agir en s'éloignant des VPN avec de mauvaises politiques de confidentialité et en évitant les VPN qui font de fausses déclarations sur leurs sites Web. Il est temps que les utilisateurs abandonnent les VPN moche en faveur de services fiables et recommandés!

Les opinions sont celles de l'auteur.

Crédit image titre: page d'accueil TunnelBear

Crédits image: hvostik / Shutterstock.com, Stuart Miles / Shutterstock.com, mstanley / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me