Les VPN, ces réseaux privés virtuels qui permettent notamment de contourner la censure sur le web, garantissent-ils forcément l’anonymat des internautes qui y recourent ?
L’entreprise PureVPN est au cœur d’une polémique depuis plusieurs jours pour avoir aidé le FBI à identifier un internaute soupçonné de cyberstalking. De nombreux internautes ont reproché à l’entreprise installée à Hong Kong d’avoir ainsi trahi la confiance de ses utilisateurs en révélant deux adresses IP de l’individu en question.
Le FBI a en effet pu compter sur PureVPN pour lui révéler ces informations qui ont notamment conduit à l’arrestation de Ryan S. Lin, un Américain de 24 ans accusé de s’être livré à une vaste campagne de cyber-stalking pendant plusieurs mois contre une ancienne colocataire, en piratant ses différents comptes en ligne pour y dérober des photos et divulguer des informations personnelles d’ordre médical ou sexuel. Malgré son recours à des outils en ligne pour éviter d’être identifié, tels que TOR et PureVPN, Ryan S. Lin a laissé derrière lui quelques indices, dont une installation de PureVPN sur l’un de ses ordinateurs.
PureVPN affirme avoir respecté sa politique de confidentialité
Le rapport du FBI sur cette affaire confirme l’implication de l’entreprise : « PureVPN a pu établir que le même client a accédé à son service depuis deux adresses IP différentes : l’adresse IP RCN de chez Lin, et celle de l’entreprise informatique où il travaillait. »
PureVPN a préféré garder le silence pendant quelques jours avant de répondre aux critiques dans un long article sur son site : « PureVPN n’a pas contrevenu à sa politique de confidentialité et n’a clairement pas trahi votre confiance. Aucun historique de navigation ou d’habitudes en ligne […] n’a été et ne sera jamais partagé […] Nous tenons à répéter que nous avons agi conformément à nos termes de service et à notre politique de confidentialité ».
Le service gagnerait toutefois à gagner en clarté au sujet de son traitement de telles informations sensibles. Sur son site, PureVPN vante en effet la politique de « no-log » (« zéro registre ») de ses abonnements payants, par opposition aux fournisseurs gratuits de VPN : « En payant seulement 2,5 dollars, vous bénéficiez non seulement de services premium de PureVPN mais aussi, et c’est le plus important, vous n’avez pas à vous inquiéter au sujet de la sécurité et de la confidentialité de vos données. PureVPN propose une politique de zéro-registre à 100 % et ne conserve donc aucune de vos données. »
Dans sa politique de confidentialité, PureVPN indique en revanche : « Nos serveurs enregistrent automatiquement l’heure à laquelle vous vous connectez à l’un de nos serveurs. À partir de ce stade, nous ne conservons aucune donnée sur le moindre élément qui pourrait relier une activité spécifique à un utilisateur spécifique. » Le service reconnaît ainsi lui-même que sa politique n’est pas à 100 % « zéro-registre ».
Dans les faits, cette simple information de connexion suffit à identifier un suspect dans le cas d’une affaire comme celle-ci : en sachant par exemple, grace aux informations de Gmail, qu’un internaute a envoyé un mail à 15h le mardi 16 octobre, le FBI peut ensuite demander au fournisseur de VPN si tel utilisateur recourait à la même adresse IP au même moment. Le croisement des deux informations permet ainsi d’identifier le suspect.
Ironiquement, Ryan S. Lin semblait lui-même au courant de cette particularité de PureVPN, selon un tweet posté au cours de l’été, cité par TorrentFreak : « Un VPN qui ne garde aucun registre, ça n’existe pas. S’ils peuvent limiter vos connexions ou suivre l’usage de bande passante [comme le fait PureVPN], ils ont des registres. »
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !