Vous l’avez certainement remarqué en vous baladant sur le net ou en visionnant des vidéos sur YouTube : il est beaucoup question de VPN en ce moment. Il suffit de voir les nombreux partenariats qu’a tissés par exemple NordVPN avec des vidéastes français pour mettre en avant ses services dans leurs vidéos. C’est que la concurrence est rude dans ce domaine et il faut batailler pour être visible des internautes.
C’est un réseau privé virtuel jouant le rôle d’interface entre l’internaute et le net. Sa liaison passe en fait par un relais avant d’atteindre sa destination. Ainsi, le site visité voit l’adresse IP du relais et non pas celle de l’internaute, attribuée par son opérateur, ce qui renforce sa discrétion en ligne.
Pour le particulier, il n’est pas forcément évident de s’y retrouver tant les critères sont variés : VPN gratuit ou payant, débit et qualité de la connexion, politique de conservation des données, prise en main, chiffrement, accès aux contenus géobloqués en fonction des pays… mais il est des caractéristiques qui ne sont jamais prises en compte, ou si peu : l’accès au code source et l’audit de sécurité.
C’est justement sur ces deux derniers critères que ProtonVPN cherche à se démarquer. Ce mardi 21 janvier, l’entreprise située en suisse, dont la notoriété s’est d’abord forgée grâce à ProtonMail, un service de messagerie proposant à sa clientèle un haut degré de sécurité et de confidentialité, annonce l’ouverture du code source de toutes ses applications et publie le résultat des audits pour chacune d’elle.
ProtonVPN joue la carte de la transparence
Sont concernées les versions pour Windows et macOS, mais aussi pour Android et iOS, qui sont sorties courant 2018. Le code source de chaque programme est lisible sur GitHub, ce qui permet à chacune de vérifier, s’il en a le temps et les compétences, que ProtonVPN n’a pas inséré d’instructions douteuses ou franchement néfastes dans son service. Et cela ne peut se faire qu’en faisant preuve de transparence.
Cet effort d’ouverture est aussi l’occasion pour ProtonVPN de glisser quelques tacles bien sentis à la concurrence, qui promet monts et merveilles, tout en restant opaque. « Il y a un manque de transparence et de responsabilité en ce qui concerne les opérateurs de VPN, leurs qualifications en matière de sécurité et leur conformité aux lois sur la protection de la vie privée, comme le RGPD », écrit la société.
Il y a un manque de transparence des opérateurs de VPN
Et ProtonVPN de continuer : « De nombreux VPN ont souffert de défaillances majeures en matière de sécurité et de nombreux services VPN gratuits qui prétendaient protéger la vie privée vendent secrètement les données des utilisateurs à des tiers ». En la matière, vous connaissez sans doute déjà la musique : si c’est gratuit, c’est que le produit se situe entre la chaise et le clavier.
Pour soutenir ses positions, ProtonVPN ne s’est pas contenté d’ouvrir son code source — bien que cela lui permette non seulement de jouer la carte de la transparence, mais aussi de profiter de la contribution de tiers, qui peuvent proposer des améliorations logicielles. Il a aussi fait appel à un cabinet d’audit indépendant, SEC Consult, pour ausculter ses quatre applications et dénicher d’éventuels problèmes.
Pas de faille critique repérée
Trois problématiques étaient poursuivies par SEC Consult lors de son audit : La solution de ProtonVPN garantit-elle la confidentialité de l’utilisateur ? Un attaquant peut-il accéder aux données d’autres clients (accès croisé) ? Et un attaquant peut-il utiliser les fonctionnalités payantes de ProtonVPN sans mise à niveau de son compte ? Chaque audit s’est déroulé en 2019 et a nécessité six jours de travail.
À l’issue, SEC Consult a trouvé une faille moyennement grave et quatre failles limitées dans l’application Android. Sa déclinaison pour iOS en avait deux de faible importance. Du côté de Windows, le bilan est de quatre vulnérabilités : deux moyennes et deux faibles. Aucune n’a été trouvée dans le temps imparti en ce qui concerne macOS. Toutes ont été traitées par ProtonVPN.
SEC Consult indique qu’il n’a jamais été possible de déchiffrer le trafic chiffré transitant par le service de ProtonVPN, malgré les bugs repérés pendant les audits. En somme, l’essentiel est sauf. Autre motif de satisfaction, aucune faille de rang élevé ou critique n’a été décelée, ce qui constitue un indice probant de la bonne tenue de l’ingénierie derrière le service. Cela ne veut néanmoins pas dire qu’il n’y en a pas du tout ou qu’il n’y en aura jamais : seulement, que rien n’a été trouvé dans le délai de recherche.
« Bien que ces audits soient coûteux et longs, nous pensons qu’ils constituent une étape essentielle qui doit aller de pair avec l’ouverture de notre code. Nous continuerons à l’avenir à effectuer des audits de manière continue afin de disposer de contrôles indépendants continues sur la sécurité de nos applications », promet la société. Avant, en amont du partenariat annoncé fin 2018, Mozilla l’avait déjà passée au crible (technologie, implémentation, organisation interne).
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !