HackTualité
Membre
Le mois dernier, lorsqu’un membre
supposé de Lulzsec a été
retrouvé après avoir utilisé le
service soi-disant anonyme HideMyAss,
il est devenu clair que certains services de VPN ne se montrent pas
à la hauteur de leurs promesses publicitaires.
Pour savoir quels fournisseurs de VPN prennent
réellement la protection de la vie privée au
sérieux,
nous avons interrogé de nombreux leaders du
marché en leur posant deux questions très simples.
Les réponses devraient intéresser quiconque
s’intéresse aux questions d’anonymat.
Comme nous l’avions expliqué dans un
précédent article, si un fournisseur de VPN
conserve des historiques sur l’activité de ses
utilisateurs, il y a de fortes chances qu’il soit incapable
de garantir un service anonyme.
Il existe des dizaines de fournisseurs de VPN, dont bon nombre
affichent sur leur site une publicité affirmant que
l’anonymat de leurs clients est leur première
priorité.
Mais l’est-il vraiment ? Leurs politiques de protection de la
vie privée sont-elles réellement sans faille ?
Nous avons décidé d’en savoir plus.
Au cours de ces deux dernières semaines,
TorrentFreak a contacté les fournisseurs de VPN les plus
présents dans le monde de l’anonymat et du partage
de fichiers.
Plutôt que d’essayer de déchiffrer un
jargon publicitaire le plus souvent obscur, nous leur avons directement
posé deux questions :
1. Conservez-vous des historiques permettant
à un tiers de faire correspondre une adresse IP et un
timestamp à un utilisateur de votre service ?
Si oui, quelles informations enregistrez-vous
précisément ?
2. À quelle juridiction votre
société est-elle soumise, et dans quelles
circonstances seriez-vous amenés à communiquer
ces informations à un tiers ?
Le but de cet article n’est ni
d’évaluer la qualité du service
proposé par ces fournisseurs, ni de déterminer si
ce service offre un bon rapport qualité-prix.
La seule chose qui nous intéresse est la suivante : sont-ils
capables d’assurer un service 100 % anonyme comme ils le
prétendent ?
Commençons d’abord par les fournisseurs
orientés vers le partage de fichiers.
Les fournisseurs axés sur le P2P
Réponse à la question 1 : « Il
est techniquement impossible pour nous de maintenir des historiques,
compte tenu du volume de connexions que nous redirigeons.
Nous estimons que la capacité de stockage
nécessaire serait de 4 To par jour. »
Réponse à la question 2 : «
Nous sommes soumis à la juridiction canadienne. Comme nous
n’avons aucun historique, nous ne pouvons communiquer aucune
information.
Nous ne partageons aucune donnée avec des tiers. La seule
situation dans laquelle nous serions tenus de répondre
à un tiers serait après réception
d’un ordre du juge.
Nous serions alors obligés de déclarer que nous
ne disposons d’aucune information. Une telle situation ne
s’est encore jamais produite. »
Réponse à la question 1 : «
Pas d’historique. Nous ne les conservons pas. Même
les journaux système, qui ne pointent pas directement vers
nos utilisateurs, sont renouvelés toutes les heures.
»
Réponse à la question 2 : « La
société a récemment
été vendue et est désormais soumise
à la juridiction des Seychelles. Celle-ci n’impose
pas l’enregistrement d’historiques. »
Réponse à la question 1 : «
Nous avons des historiques de connexion, mais nous n’y
enregistrons pas les adresses IP.
Ces historiques sont conservés pendant 7 jours, mais il est
impossible de déterminer précisément
qui a utilisé le service. »
Réponse à la question 2 : «
Nous avons des serveurs aux Pays-Bas, en Suède et aux
États-Unis, et notre société est
basée aux Seychelles.
Nous ne révélons aucune information à
des tiers sauf en cas de plainte sérieuse
déposée contre notre
société. »
Réponse à la question 1 : «
Nous n’enregistrons pas du tout l’IP. Elle est
utilisée temporairement pour la session lorsqu’un
utilisateur se connecte, mais c’est tout.
Ne pas conserver d’historiques ne nous a pratiquement pas
posé de problèmes. C’est même
un gain de sécurité pour nous aussi puisque nous
ne pouvons rien révéler accidentellement sur qui
que ce soit. »
Réponse à la question 2 : «
Pour ce qui est du service, nous sommes soumis en majeure partie
à la juridiction suédoise.
En ce qui concerne la logistique (qui conserve les données,
qui est le propriétaire du service, qui possède
le serveur, le réseau, etc.), nous avons volontairement
diversifié les choses.
L’objectif étant de rendre toute tentative de
harcèlement juridique difficile, voire impossible.
»
« Notre service ne peut pas être
coupé facilement, et les tribunaux ne peuvent pas faire
pression sur nous pour nous contraindre à mettre en oeuvre
des mesures auxquelles nous nous opposons.
Cela n’affecte pas du tout les utilisateurs finaux de
manière négative, bien au contraire. »
Réponse à la question 1 : «
Nous n’enregistrons aucune adresse IP ni aucune information
sur les données consultées par nos utilisateurs.
Nous ne disposons donc d’aucune information pouvant
intéresser des tiers. »
Réponse à la question 2 : «
Nous avons des serveurs aux Pays-Bas et notre
sociétée est basée en Chypre. Si les
autorités nous contactaient, nous serions obligés
de leur dire qu’aucun historique de connexion
ni aucune adresse IP n’est enregistrée sur nos
systèmes. »
Les fournisseurs non spécialisés
Réponse à la question 1 : la
société ne conserve aucun historique permettant
d’identifier les utilisateurs.
Réponse à la question 2 : «
Nous sommes soumis à la juridiction européenne,
en général celle de l’Italie (pays
où est basée notre société
et où réside la personne juridiquement
responsable de la protection des données),
mais la loi à appliquer peut être celle
d’un des États-membres où sont
situés les serveurs du réseau (aucun
d’entre eux ne se trouvant en Italie). »
« Nous ne communiquons aucune information
à qui que ce soit. »
Réponse à la question 1 : «
Seulement pendant 5 jours pour empêcher les abus.
Après ces 5 jours, nous n’avons absolument aucun
moyen de faire correspondre une adresse IP ou un timestamp à
l’un de nos utilisateurs.
La protection de la vie privée et la
sécurité sont encore plus fortes pour les
utilisateurs individuels car leurs connexions VPN sont
noyées dans la masse. »
« Les utilisateurs de notre service gratuit
partagent un bloc d’adresses IP lorsqu’ils se
connectent à Internet via VPNReactor.
À tout moment donné, des centaines ou des
milliers d’utilisateurs connectés à
notre VPN peuvent donc partager la même adresse IP.
Nous n’attribuons aucune adresse individuelle publique
à nos utilisateurs. »
Réponse à la question 2 : «
Nous nous efforçons d’être
honnêtes et transparents en ce qui concerne
l’enregistrement des historiques, pour ne pas mettre
à mal les utilisateurs de notre service.
» Les historiques consultés par TorrentFreak
semblent confirmer qu’aucune information identifiable
n’est enregistrée.
« Notre société est
basée aux États-Unis et doit donc se soumettre
aux ordres émanant des tribunaux américains.
Néanmoins, si une injonction nous demande de communiquer des
informations sur une activité ayant eu lieu il y a plus de 5
jours, nous n’aurons absolument rien à fournir
puisque nos historiques auront expirés.
Tout demande d’obtention des détails de connexion
provenant d’une juridiction extérieure aux
États-Unis sera purement et simplement ignorée.
»
Réponse à la question 1 : «
Nous ne conservons aucun historique portant sur les
activités de nos utilisateurs, telles que les sites
consultés ou les données
transférées.
Nous utilisons également des logiciels de nettoyage sur nos
systèmes afin de retirer les adresses IP des historiques
avant leur enregistrement sur disque. »
« Pour des raisons légales et fiscales,
nous enregistrons certaines informations de facturation (nom, adresse
électronique, pays), mais celles-ci sont
enregistrées chez un tiers, séparément
du reste de BlackVPN. »
BlackVPN a déclaré conserver le nom
d’utilisateur et l’adresse électronique
de ses utilisateurs, la date et l’heure de
connexion/déconnexion, ainsi que la consommation de
bande-passante.
L’enregistrement des historiques a lieu de la
manière suivante :
« Sur nos serveurs Privacy implantés aux
Pays-Bas et en Lituanie, nous n’enregistrons aucune
donnée permettant d’identifier
l’utilisateur, mais sur nos serveurs implantés au
Royaume-Uni et aux États-Unis,
où nous interdisons le partage de contenus
protégés, nous enregistrons l’adresse
IP RFC 1918 interne attribuée à
l’utilisateur à un moment spécifique.
»
« Pour clarifier, nous n’enregistrons donc
pas la véritable adresse IP externe de
l’utilisateur, mais simplement notre propre adresse RFC 1918
interne.
Nous sommes obligés de faire cela pour pouvoir respecter la
législation locale et être en mesure de
répondre aux injonctions découlant du DMCA.
»
Réponse à la question 2 : «
Nous sommes soumis à la juridiction des Pays-Bas et nous
ferons tout notre possible pour protéger la vie
privée et les droits de nos utilisateurs.
Nous ne révélerons aucune information sur nos
utilisateurs à qui que ce soit, sauf si nous y sommes
contraints par des représentants de l’ordre
disposant d’un ordre du juge
ou de documents juridiques adéquats (auquel cas nous
n’aurons plus vraiment le choix). »
Réponse à la question 1 : «
Nous ne conservons aucun historique permettant à un tiers ou
à nous-même de faire correspondre une adresse IP
et un timestamp à un utilisateur de notre service.
Les seuls éléments que nous enregistrons sont
l’adresse électronique et le nom
d’utilisateur, mais il est impossible d’associer
une activité en ligne à un utilisateur.
»
À noter : PrivatVPN propose également un
serveur américain pour des services de diffusion tels
qu’Hulu. Les adresses IP sont conservées lorsque
les utilisateurs emploient ce service.
Réponse à la question 2 : «
Comme nous n’enregistrons aucune adresse IP, nous
n’avons rien à dévoiler.
Les circonstances n’ont ici aucune importance puisque nous ne
disposons d’aucune information concernant les adresses IP de
nos clients. »
Réponse à la question 1 : «
Aucun historique n’est conservé. Par
conséquent, nous sommes tout simplement incapables de
fournir ce type d’information.
Nous pensons que si une société n’est
pas tenue de conserver des historiques, elle ne doit pas le faire. Cela
ne fait qu’entrainer des problèmes, comme on a pu
le constater
avec les nombreuses fuites de données ayant eu lieu ces
dernières années. Si la législation
change pour les juridictions auxquelles nous sommes soumises, nous
déménagerons.
Et si ce n’est pas possible, nous mettrons fin à
notre service. Il n’y aura pas de compromis. »
Réponse à la question 2 : «
Nous avons fait en sorte d’être soumis à
plusieurs juridictions différentes pour rendre notre service
moins susceptible d’être attaqué
juridiquement.
Nos serveurs sont actuellement situés en Suède.
Nous ne partageons pas nos données car nous n’en
avons pas. Nous avons établi ce système car nous
croyons qu’une expression
véritablement libre n’est possible
qu’à travers une communication anonyme.
Dès le moment où l’on commence
à faire des compromis, on se retrouve sur une pente
glissante menant tout droit à la surveillance.
La demande de rétention des données va devenir de
plus en plus forte, comme on a pu le constater ces derniers temps dans
de nombreux pays du monde entier.
Nous travaillons pour défendre notre cause, pas pour
l’argent. »
Réponse à la question 1 : «
Non. Et nous ne voyons pas pourquoi quiconque devrait. Ce serait
malhonnête à l’égard de nos
clients et cela signifierait encore plus de problèmes
juridiques potentiels. »
Réponse à la question 2 : «
Nous sommes soumis à la juridiction suédoise.
Nous ne connaissons aucun moyen par lequel l’État
suédois pourrait en pratique nous conduire à
malmener nos clients, et cela ne s’est jamais produit.
Pour prouver que nous prenons la protection de la vie privée
très au sérieux, nous acceptons
également les paiements Bitcoin et l’argent
liquide par voie postale. »
Réponse à la question 1 : «
Nous n’enregistrons rien du tout. »
Réponse à la question 2 : «
Nous n’enregistrons aucune information sur
l’utilisation de notre service par nos clients. Il
n’y a donc rien à retracer, point.
Nous avons complètement séparé la
gestion des informations de paiement. »
« Si l’on veut être
réaliste, à moins d’être
implanté hors de « l’Axe du Mal
», les autorités trouveront toujours un moyen
d’exercer des pressions sur vous. »
« J’ai lu toutes ces idioties selon
lesquelles être en Europe permettrait de se
protéger contre les lois américaines.
Ça a bien fonctionné pour HMA, pas vrai ?
En plus, je suis pratiquement sûr que le blindage des banques
suisses a été percé, et
historiquement, elles étaient plus faciles à
défendre que la vie privée des individus.
La solution est tout simplement de ne rien enregistrer, point final.
»
/!\ Les
fournisseurs qui enregistrent, parfois beaucoup /!\
VyprVPN est un service VPN proposé par Giganews, un
service Usenet auquel il est connecté, bien qu’il
puisse également être utilisé de
manière autonome.
Comme de nombreux autres fournisseurs que nous avons
contactés, VyprVPN a confirmé avoir
reçu nos questions mais n’y a pas
répondu.
Nous avons tout de même inclus VyprVPN dans notre liste
compte tenu de sa visibilité importante.
La politique de la société stipule que
l’enregistrement d’historiques « est
effectué pour assurer la facturation, la
résolution des problèmes et
l’évaluation des services offerts,
pour répondre aux violations des conditions
d’utilisation du service ainsi que pour lutter contre les
délits commis à l’aide de ce service.
Nous conservons ce type d’informations pour chaque session
pendant au moins 90 jours. »
Sur le forum Usenet NZBMatrix, plusieurs utilisateurs ont
rapporté avoir vu leur service VyprVPN interrompu
après le traitement par VyprVPN d’une compilation
de notifications DMCA
qui les auraient placés au-delà du seuil de 2
infractions maximum autorisé par les conditions
d’utilisation.
Donc, est-ce que VyprVPN enregistre des informations ? Aucun
doute.
Nous avons inclus SwissVPN dans notre enquête en
raison de sa notoriété en tant que service bon
marché populaire auprès des personnes disposant
d’un budget limité.
Nous devons reconnaitre qu’ils ont été
les premiers à répondre. C’est
également l’une des rares
sociétés à ne pas prétendre
garantir l’anonymat.
Réponse à la question 1 : «
SwissVPN est soumis à la législation suisse sur
les télécommunications et la protection des
données personnelles.
L’adresse IP de la session (mais pas le contenu
visité, les sites et messages consultés, etc.)
sont enregistrés pendant 6 mois. »
Réponse à la question 2 : La
société accepte les requêtes
émanant de tiers autorisées par le droit
pénal suisse.
Cette société n’a pas
directement répondu à nos questions et nous a
invité à consulter sa politique en
matière d’enregistrement des historiques.
StrongVPN enregistre en effet les historiques et est capable
de faire correspondre une adresse IP externe à un
utilisateur.
Nous l’avons inclus dans la liste car de toute notre
enquête, il s’agit du fournisseur le plus agressif
en termes de lutte contre les infractions.
« StrongVPN ne limite pas l’utilisation du
P2P, mais veuillez noter que le partage de contenus
protégés est interdit.
Merci de ne pas vous livrer à de telles
activités, sans quoi nous serons contraints de bloquer votre
compte. »
« Avertissement : vous n’êtes
pas autorisé à distribuer des contenus
protégés à l’aide de notre
réseau. Votre compte pourra être annulé
si cela se produit. »
/!\ Les
fournisseurs qui n’ont tout simplement pas
répondu /!\
En plus de ceux qui ont été
mentionnés ci-dessus, TorrentFreak a également
contacté un certain nombre de fournisseurs de VPN
relativement connus.
Nous ne savons pas clairement s’il était
simplement trop difficile de répondre à nos
questions de manière positive ou s’il y avait une
autre raison, mais malheureusement,
aucun d’entre eux n’a répondu
à nos e-mails, malgré le retour d’un
accusé de réception dans certains cas.
Parmi ces fournisseurs se trouvent entre autres Blacklogic.com,
PureVPN.com, VPNTunnel.se, Bolehvpn.net et Ivacy.com
Si l’un de ces fournisseurs se sent désormais
capable de répondre directement à nos questions,
ou si tout autre fournisseur de VPN souhaite être inclus dans
une prochaine mise à jour de cette liste,
merci de bien vouloir nous contacter en envoyant des
réponses directes aux questions posées plus haut.
Toutes nos excuses aux fournisseurs nous ayant contactés
à la dernière minute, mais il était
trop tard pour les inclure dans ce rapport. Il fallait bien
s’arrêter quelque part.
En conclusion...
Il est clair que toute inscription à un service de
VPN passe d’abord par une lecture attentive de sa politique
en matière d’enregistrement des historiques et de
protection de la vie privée.
Par deux lectures même, la seconde devant être
encore plus minutieuse. La plupart de ces politiques ne sont pas aussi
claires qu’elles n’y paraissent au premier abord
(et certaines semblent même volontairement obscures) et
c’est la raison pour laquelle nous avons
décidé de poser nos propres questions.
Contrairement au pessimisme
généré par notre rapport
précédent, et comme nous pouvons le constater en
regardant la liste ci-dessus,
lorsqu’il s’agit d’offrir une
véritable protection de la privée, il existe de
nombreux services disponibles.
supposé de Lulzsec a été
retrouvé après avoir utilisé le
service soi-disant anonyme HideMyAss,
il est devenu clair que certains services de VPN ne se montrent pas
à la hauteur de leurs promesses publicitaires.
Pour savoir quels fournisseurs de VPN prennent
réellement la protection de la vie privée au
sérieux,
nous avons interrogé de nombreux leaders du
marché en leur posant deux questions très simples.
Les réponses devraient intéresser quiconque
s’intéresse aux questions d’anonymat.
Comme nous l’avions expliqué dans un
précédent article, si un fournisseur de VPN
conserve des historiques sur l’activité de ses
utilisateurs, il y a de fortes chances qu’il soit incapable
de garantir un service anonyme.
Il existe des dizaines de fournisseurs de VPN, dont bon nombre
affichent sur leur site une publicité affirmant que
l’anonymat de leurs clients est leur première
priorité.
Mais l’est-il vraiment ? Leurs politiques de protection de la
vie privée sont-elles réellement sans faille ?
Nous avons décidé d’en savoir plus.
Au cours de ces deux dernières semaines,
TorrentFreak a contacté les fournisseurs de VPN les plus
présents dans le monde de l’anonymat et du partage
de fichiers.
Plutôt que d’essayer de déchiffrer un
jargon publicitaire le plus souvent obscur, nous leur avons directement
posé deux questions :
1. Conservez-vous des historiques permettant
à un tiers de faire correspondre une adresse IP et un
timestamp à un utilisateur de votre service ?
Si oui, quelles informations enregistrez-vous
précisément ?
2. À quelle juridiction votre
société est-elle soumise, et dans quelles
circonstances seriez-vous amenés à communiquer
ces informations à un tiers ?
Le but de cet article n’est ni
d’évaluer la qualité du service
proposé par ces fournisseurs, ni de déterminer si
ce service offre un bon rapport qualité-prix.
La seule chose qui nous intéresse est la suivante : sont-ils
capables d’assurer un service 100 % anonyme comme ils le
prétendent ?
Commençons d’abord par les fournisseurs
orientés vers le partage de fichiers.
Les fournisseurs axés sur le P2P
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Réponse à la question 1 : « Il
est techniquement impossible pour nous de maintenir des historiques,
compte tenu du volume de connexions que nous redirigeons.
Nous estimons que la capacité de stockage
nécessaire serait de 4 To par jour. »
Réponse à la question 2 : «
Nous sommes soumis à la juridiction canadienne. Comme nous
n’avons aucun historique, nous ne pouvons communiquer aucune
information.
Nous ne partageons aucune donnée avec des tiers. La seule
situation dans laquelle nous serions tenus de répondre
à un tiers serait après réception
d’un ordre du juge.
Nous serions alors obligés de déclarer que nous
ne disposons d’aucune information. Une telle situation ne
s’est encore jamais produite. »
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Réponse à la question 1 : «
Pas d’historique. Nous ne les conservons pas. Même
les journaux système, qui ne pointent pas directement vers
nos utilisateurs, sont renouvelés toutes les heures.
»
Réponse à la question 2 : « La
société a récemment
été vendue et est désormais soumise
à la juridiction des Seychelles. Celle-ci n’impose
pas l’enregistrement d’historiques. »
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Réponse à la question 1 : «
Nous avons des historiques de connexion, mais nous n’y
enregistrons pas les adresses IP.
Ces historiques sont conservés pendant 7 jours, mais il est
impossible de déterminer précisément
qui a utilisé le service. »
Réponse à la question 2 : «
Nous avons des serveurs aux Pays-Bas, en Suède et aux
États-Unis, et notre société est
basée aux Seychelles.
Nous ne révélons aucune information à
des tiers sauf en cas de plainte sérieuse
déposée contre notre
société. »
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Réponse à la question 1 : «
Nous n’enregistrons pas du tout l’IP. Elle est
utilisée temporairement pour la session lorsqu’un
utilisateur se connecte, mais c’est tout.
Ne pas conserver d’historiques ne nous a pratiquement pas
posé de problèmes. C’est même
un gain de sécurité pour nous aussi puisque nous
ne pouvons rien révéler accidentellement sur qui
que ce soit. »
Réponse à la question 2 : «
Pour ce qui est du service, nous sommes soumis en majeure partie
à la juridiction suédoise.
En ce qui concerne la logistique (qui conserve les données,
qui est le propriétaire du service, qui possède
le serveur, le réseau, etc.), nous avons volontairement
diversifié les choses.
L’objectif étant de rendre toute tentative de
harcèlement juridique difficile, voire impossible.
»
« Notre service ne peut pas être
coupé facilement, et les tribunaux ne peuvent pas faire
pression sur nous pour nous contraindre à mettre en oeuvre
des mesures auxquelles nous nous opposons.
Cela n’affecte pas du tout les utilisateurs finaux de
manière négative, bien au contraire. »
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Réponse à la question 1 : «
Nous n’enregistrons aucune adresse IP ni aucune information
sur les données consultées par nos utilisateurs.
Nous ne disposons donc d’aucune information pouvant
intéresser des tiers. »
Réponse à la question 2 : «
Nous avons des serveurs aux Pays-Bas et notre
sociétée est basée en Chypre. Si les
autorités nous contactaient, nous serions obligés
de leur dire qu’aucun historique de connexion
ni aucune adresse IP n’est enregistrée sur nos
systèmes. »
Les fournisseurs non spécialisés
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Réponse à la question 1 : la
société ne conserve aucun historique permettant
d’identifier les utilisateurs.
Réponse à la question 2 : «
Nous sommes soumis à la juridiction européenne,
en général celle de l’Italie (pays
où est basée notre société
et où réside la personne juridiquement
responsable de la protection des données),
mais la loi à appliquer peut être celle
d’un des États-membres où sont
situés les serveurs du réseau (aucun
d’entre eux ne se trouvant en Italie). »
« Nous ne communiquons aucune information
à qui que ce soit. »
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Réponse à la question 1 : «
Seulement pendant 5 jours pour empêcher les abus.
Après ces 5 jours, nous n’avons absolument aucun
moyen de faire correspondre une adresse IP ou un timestamp à
l’un de nos utilisateurs.
La protection de la vie privée et la
sécurité sont encore plus fortes pour les
utilisateurs individuels car leurs connexions VPN sont
noyées dans la masse. »
« Les utilisateurs de notre service gratuit
partagent un bloc d’adresses IP lorsqu’ils se
connectent à Internet via VPNReactor.
À tout moment donné, des centaines ou des
milliers d’utilisateurs connectés à
notre VPN peuvent donc partager la même adresse IP.
Nous n’attribuons aucune adresse individuelle publique
à nos utilisateurs. »
Réponse à la question 2 : «
Nous nous efforçons d’être
honnêtes et transparents en ce qui concerne
l’enregistrement des historiques, pour ne pas mettre
à mal les utilisateurs de notre service.
» Les historiques consultés par TorrentFreak
semblent confirmer qu’aucune information identifiable
n’est enregistrée.
« Notre société est
basée aux États-Unis et doit donc se soumettre
aux ordres émanant des tribunaux américains.
Néanmoins, si une injonction nous demande de communiquer des
informations sur une activité ayant eu lieu il y a plus de 5
jours, nous n’aurons absolument rien à fournir
puisque nos historiques auront expirés.
Tout demande d’obtention des détails de connexion
provenant d’une juridiction extérieure aux
États-Unis sera purement et simplement ignorée.
»
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Réponse à la question 1 : «
Nous ne conservons aucun historique portant sur les
activités de nos utilisateurs, telles que les sites
consultés ou les données
transférées.
Nous utilisons également des logiciels de nettoyage sur nos
systèmes afin de retirer les adresses IP des historiques
avant leur enregistrement sur disque. »
« Pour des raisons légales et fiscales,
nous enregistrons certaines informations de facturation (nom, adresse
électronique, pays), mais celles-ci sont
enregistrées chez un tiers, séparément
du reste de BlackVPN. »
BlackVPN a déclaré conserver le nom
d’utilisateur et l’adresse électronique
de ses utilisateurs, la date et l’heure de
connexion/déconnexion, ainsi que la consommation de
bande-passante.
L’enregistrement des historiques a lieu de la
manière suivante :
« Sur nos serveurs Privacy implantés aux
Pays-Bas et en Lituanie, nous n’enregistrons aucune
donnée permettant d’identifier
l’utilisateur, mais sur nos serveurs implantés au
Royaume-Uni et aux États-Unis,
où nous interdisons le partage de contenus
protégés, nous enregistrons l’adresse
IP RFC 1918 interne attribuée à
l’utilisateur à un moment spécifique.
»
« Pour clarifier, nous n’enregistrons donc
pas la véritable adresse IP externe de
l’utilisateur, mais simplement notre propre adresse RFC 1918
interne.
Nous sommes obligés de faire cela pour pouvoir respecter la
législation locale et être en mesure de
répondre aux injonctions découlant du DMCA.
»
Réponse à la question 2 : «
Nous sommes soumis à la juridiction des Pays-Bas et nous
ferons tout notre possible pour protéger la vie
privée et les droits de nos utilisateurs.
Nous ne révélerons aucune information sur nos
utilisateurs à qui que ce soit, sauf si nous y sommes
contraints par des représentants de l’ordre
disposant d’un ordre du juge
ou de documents juridiques adéquats (auquel cas nous
n’aurons plus vraiment le choix). »
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Réponse à la question 1 : «
Nous ne conservons aucun historique permettant à un tiers ou
à nous-même de faire correspondre une adresse IP
et un timestamp à un utilisateur de notre service.
Les seuls éléments que nous enregistrons sont
l’adresse électronique et le nom
d’utilisateur, mais il est impossible d’associer
une activité en ligne à un utilisateur.
»
À noter : PrivatVPN propose également un
serveur américain pour des services de diffusion tels
qu’Hulu. Les adresses IP sont conservées lorsque
les utilisateurs emploient ce service.
Réponse à la question 2 : «
Comme nous n’enregistrons aucune adresse IP, nous
n’avons rien à dévoiler.
Les circonstances n’ont ici aucune importance puisque nous ne
disposons d’aucune information concernant les adresses IP de
nos clients. »
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Réponse à la question 1 : «
Aucun historique n’est conservé. Par
conséquent, nous sommes tout simplement incapables de
fournir ce type d’information.
Nous pensons que si une société n’est
pas tenue de conserver des historiques, elle ne doit pas le faire. Cela
ne fait qu’entrainer des problèmes, comme on a pu
le constater
avec les nombreuses fuites de données ayant eu lieu ces
dernières années. Si la législation
change pour les juridictions auxquelles nous sommes soumises, nous
déménagerons.
Et si ce n’est pas possible, nous mettrons fin à
notre service. Il n’y aura pas de compromis. »
Réponse à la question 2 : «
Nous avons fait en sorte d’être soumis à
plusieurs juridictions différentes pour rendre notre service
moins susceptible d’être attaqué
juridiquement.
Nos serveurs sont actuellement situés en Suède.
Nous ne partageons pas nos données car nous n’en
avons pas. Nous avons établi ce système car nous
croyons qu’une expression
véritablement libre n’est possible
qu’à travers une communication anonyme.
Dès le moment où l’on commence
à faire des compromis, on se retrouve sur une pente
glissante menant tout droit à la surveillance.
La demande de rétention des données va devenir de
plus en plus forte, comme on a pu le constater ces derniers temps dans
de nombreux pays du monde entier.
Nous travaillons pour défendre notre cause, pas pour
l’argent. »
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Réponse à la question 1 : «
Non. Et nous ne voyons pas pourquoi quiconque devrait. Ce serait
malhonnête à l’égard de nos
clients et cela signifierait encore plus de problèmes
juridiques potentiels. »
Réponse à la question 2 : «
Nous sommes soumis à la juridiction suédoise.
Nous ne connaissons aucun moyen par lequel l’État
suédois pourrait en pratique nous conduire à
malmener nos clients, et cela ne s’est jamais produit.
Pour prouver que nous prenons la protection de la vie privée
très au sérieux, nous acceptons
également les paiements Bitcoin et l’argent
liquide par voie postale. »
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Réponse à la question 1 : «
Nous n’enregistrons rien du tout. »
Réponse à la question 2 : «
Nous n’enregistrons aucune information sur
l’utilisation de notre service par nos clients. Il
n’y a donc rien à retracer, point.
Nous avons complètement séparé la
gestion des informations de paiement. »
« Si l’on veut être
réaliste, à moins d’être
implanté hors de « l’Axe du Mal
», les autorités trouveront toujours un moyen
d’exercer des pressions sur vous. »
« J’ai lu toutes ces idioties selon
lesquelles être en Europe permettrait de se
protéger contre les lois américaines.
Ça a bien fonctionné pour HMA, pas vrai ?
En plus, je suis pratiquement sûr que le blindage des banques
suisses a été percé, et
historiquement, elles étaient plus faciles à
défendre que la vie privée des individus.
La solution est tout simplement de ne rien enregistrer, point final.
»
/!\ Les
fournisseurs qui enregistrent, parfois beaucoup /!\
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
VyprVPN est un service VPN proposé par Giganews, un
service Usenet auquel il est connecté, bien qu’il
puisse également être utilisé de
manière autonome.
Comme de nombreux autres fournisseurs que nous avons
contactés, VyprVPN a confirmé avoir
reçu nos questions mais n’y a pas
répondu.
Nous avons tout de même inclus VyprVPN dans notre liste
compte tenu de sa visibilité importante.
La politique de la société stipule que
l’enregistrement d’historiques « est
effectué pour assurer la facturation, la
résolution des problèmes et
l’évaluation des services offerts,
pour répondre aux violations des conditions
d’utilisation du service ainsi que pour lutter contre les
délits commis à l’aide de ce service.
Nous conservons ce type d’informations pour chaque session
pendant au moins 90 jours. »
Sur le forum Usenet NZBMatrix, plusieurs utilisateurs ont
rapporté avoir vu leur service VyprVPN interrompu
après le traitement par VyprVPN d’une compilation
de notifications DMCA
qui les auraient placés au-delà du seuil de 2
infractions maximum autorisé par les conditions
d’utilisation.
Donc, est-ce que VyprVPN enregistre des informations ? Aucun
doute.
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Nous avons inclus SwissVPN dans notre enquête en
raison de sa notoriété en tant que service bon
marché populaire auprès des personnes disposant
d’un budget limité.
Nous devons reconnaitre qu’ils ont été
les premiers à répondre. C’est
également l’une des rares
sociétés à ne pas prétendre
garantir l’anonymat.
Réponse à la question 1 : «
SwissVPN est soumis à la législation suisse sur
les télécommunications et la protection des
données personnelles.
L’adresse IP de la session (mais pas le contenu
visité, les sites et messages consultés, etc.)
sont enregistrés pendant 6 mois. »
Réponse à la question 2 : La
société accepte les requêtes
émanant de tiers autorisées par le droit
pénal suisse.
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Cette société n’a pas
directement répondu à nos questions et nous a
invité à consulter sa politique en
matière d’enregistrement des historiques.
StrongVPN enregistre en effet les historiques et est capable
de faire correspondre une adresse IP externe à un
utilisateur.
Nous l’avons inclus dans la liste car de toute notre
enquête, il s’agit du fournisseur le plus agressif
en termes de lutte contre les infractions.
« StrongVPN ne limite pas l’utilisation du
P2P, mais veuillez noter que le partage de contenus
protégés est interdit.
Merci de ne pas vous livrer à de telles
activités, sans quoi nous serons contraints de bloquer votre
compte. »
« Avertissement : vous n’êtes
pas autorisé à distribuer des contenus
protégés à l’aide de notre
réseau. Votre compte pourra être annulé
si cela se produit. »
/!\ Les
fournisseurs qui n’ont tout simplement pas
répondu /!\
En plus de ceux qui ont été
mentionnés ci-dessus, TorrentFreak a également
contacté un certain nombre de fournisseurs de VPN
relativement connus.
Nous ne savons pas clairement s’il était
simplement trop difficile de répondre à nos
questions de manière positive ou s’il y avait une
autre raison, mais malheureusement,
aucun d’entre eux n’a répondu
à nos e-mails, malgré le retour d’un
accusé de réception dans certains cas.
Parmi ces fournisseurs se trouvent entre autres Blacklogic.com,
PureVPN.com, VPNTunnel.se, Bolehvpn.net et Ivacy.com
Si l’un de ces fournisseurs se sent désormais
capable de répondre directement à nos questions,
ou si tout autre fournisseur de VPN souhaite être inclus dans
une prochaine mise à jour de cette liste,
merci de bien vouloir nous contacter en envoyant des
réponses directes aux questions posées plus haut.
Toutes nos excuses aux fournisseurs nous ayant contactés
à la dernière minute, mais il était
trop tard pour les inclure dans ce rapport. Il fallait bien
s’arrêter quelque part.
En conclusion...
Il est clair que toute inscription à un service de
VPN passe d’abord par une lecture attentive de sa politique
en matière d’enregistrement des historiques et de
protection de la vie privée.
Par deux lectures même, la seconde devant être
encore plus minutieuse. La plupart de ces politiques ne sont pas aussi
claires qu’elles n’y paraissent au premier abord
(et certaines semblent même volontairement obscures) et
c’est la raison pour laquelle nous avons
décidé de poser nos propres questions.
Contrairement au pessimisme
généré par notre rapport
précédent, et comme nous pouvons le constater en
regardant la liste ci-dessus,
lorsqu’il s’agit d’offrir une
véritable protection de la privée, il existe de
nombreux services disponibles.