Il est temps de nettoyer le marché des VPN avec un sceau d’approbation comme celui de UFC-Que Choisir. L’une des agences de tests d’antivirus indépendantes et reconnues doit relever le défi et créer une batterie de tests et un ensemble de normes de référence pour les VPN qui fonctionnent sur toute une série d’appareils : Windows, Apple et Android.
Et le plus tôt serait le mieux.
Car sur le marché des VPN, la pagaille règne. Il existe plusieurs centaines de produits sur le marché, certains compatibles avec tous les appareils, d’autres ne couvrant qu’un seul système d’exploitation. Ensuite, il y a confusion entre les VPN et les proxy de VPN. Et aujourd’hui, le malware VPNFilter affecte même les routeurs.
Alors que les fournisseurs de VPN se battent en comparant les mérites de leurs produits, le désordre qui en résulte n’est pas seulement concurrentiel, il est aussi technique. Il n’existe pas de vraie norme reconnue sur ce qu’un VPN devrait – ou ne devrait pas – faire. Et il n’existe pas non plus de prix/certificat/label facilement reconnaissable permettant aux particuliers de s’y retrouver au milieu de toutes ces déclarations de produit.
Les certifications/prix ont un rôle à jouer
Imaginez tous les produits sur lesquels vous comptez, mais que vous n’avez pas testés vous-même. Cette liste inclut les électroménagers, le ciment, les voitures, la nourriture et oui, les logiciels antivirus. Il existe des tests ou des labels qui établissent des normes de référence, et sur lesquels nous nous basons, pour être sûrs que ce sac de ciment est bien le bon, que notre voiture familiale a passé les crash tests et que ce camembert provient bien de Normandie.
Pour les produits antivirus, le travail impartial d’organismes tels que AV-Test ou AV-Comparatives est reconnu et est essentiel car les particuliers ne peuvent vérifier eux-mêmes l’efficacité d’un logiciel dans l’éradication des logiciels malveillants. Ils espèrent donc que les testeurs ont fait passer à tous ces produits antivirus les mêmes séries de tests sans accepter de pot-de-vin pour modifier les résultats.
Alors pourquoi ne pas créer de test/certification pour les VPN ?
Petite histoire des VPN
L’histoire des VPN remonte aux années 1960, quand ils étaient utilisés par les entreprises. Comme leur nom « Réseau privé virtuel » (Virtuel Private Network) l’indique, ils servaient à établir une connexion sécurisée et chiffrée entre des ordinateurs ou réseaux, physiquement séparés. Avec l’arrivée des ordinateurs portables et des téléphones mobiles, les VPN se sont démocratisés. Non seulement les hommes et femmes d’affaires ont besoin des VPN lorsqu’ils sont en déplacement pour se connecter au bureau, mais les particuliers en ont également besoin pour rester anonymes sur des réseaux publics et accéder à leurs divertissements préférés en changeant leur emplacement virtuel.
Tout le monde suit ?
Bien que les VPN aient pléthore d’avantages, il n’y a pas de recette unique pour en créer un et il existe plusieurs combinaisons potentielles de protocoles et de méthodes de chiffrement. Les différences entre les serveurs des réseaux VPN peuvent également affecter les performances. De plus, les proxy de VPN permettent de modifier l’emplacement virtuel d’un utilisateur pour certaines applications, en fournissant peu ou pas de protection de chiffrement.
Pour la majorité, les différences entre le Point-to-Point Tunneling Protocol, le Layer Two Tunneling Protocol (L2TP) et Internet Protocol Security (IPsec) sont totalement incompréhensibles. En raison de la nature technique des VPN, les gens ont tendance à les décrire comme des tunnels. Chez Avira, nous décrivons souvent un VPN comme un courrier recommandé, que le destinataire doit signer, et un proxy de VPN comme une note d’expédition de la Poste.
La technologie influence la sécurité
Mais au-delà des métaphores, les différences techniques entre VPN sont importantes. Une étude poussée sur 283 applications VPN pour Android a révélé qu’un nombre considérable d’entre elles dégradaient la sécurité des utilisateurs. En effet, 84 % d’entre elles divulguaient le trafic de l’utilisateur, 38 % ajoutaient des logiciels malveillants ou publicitaires sur l’appareil de l’utilisateur et 18 % ne chiffraient pas le trafic Web. Cela dit, le plus inquiétant dans cette étude est que moins de 1 % des utilisateurs avaient des doutes sur la sécurité ou la confidentialité de ces applications. Aïe ! D’autres études ont révélé que les VPN vendaient les données des utilisateurs.
Six points majeurs pour une norme sur les VPN
Ce que les entreprises comme Avira peuvent faire est de collaborer avec d’autres développeurs de VPN et testeurs indépendants sur un ensemble de normes vérifiables comme le chiffrement AES 256 bits, le test sur les fuites de DNS ou le recueil et la revente de données de l’utilisateur. Voici six des points majeurs à passer au crible :
- Chiffrement : les données sont-elles chiffrées ?
- Fuites de DNS : les adresses DNS sont-elles chiffrées ?
- Convivialité : l’application est-elle facile à utiliser par les particuliers ?
- Vitesse : l’utilisateur peut-il se connecter et télécharger du contenu rapidement ?
- Emplacements des serveurs : où les serveurs disponibles sont-ils situés ?
- Politique de données et journaux : le fournisseur de VPN conserve-t-il et revend-il les données de l’utilisateur ?
Seul l’un de ces points (3. La convivialité) est subjectif et un autre est une question de confiance (6. Politique de données et journaux), les autres sont tous objectifs. Définir des normes de base et des labels entre les fournisseurs de VPN devrait être plus qu’une initiative de marketing. Ce devrait être un gage de confiance pour les particuliers, qui leur indique que le VPN qu’ils ont choisi fait ce qu’il est censé faire, à savoir protéger leur vie privée et leur ouvrir des portes. Tout le reste n’est que détail technique.
