L ‘usage des VPN était autrefois l’apanage des cybercriminels souhaitant dissimuler leur identité. Désormais les données personnelles sont l’objet d’un marché nous exposant tous dont même les simples particuliers souhaitent se protéger en employant un VPN…
Les VPN sont légaux
Pour l’instant aucune loi n’interdit l’usage des VPN cependant en France est posée l’obligation légale d’en disposer les historiques complets c’est à dire les logs pendant 1 an[1]Décret du 24 mars 2006 https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000000637071#:~:text=établir%20la%20facturation.-,«%20III.,finalité%20sans%20excéder%20un%20an..
Ainsi les VPN en France sont légaux avec logs mais l’usage de VPN sans logs (dits VPN no logs) n’est pas non plus interdite.
Le VPN est désormais un dispositif grand public
Autrefois peu connu sauf du milieu cybercriminel, on ne présente aujorud’hui plus les VPN. Ces dispositifs sont désormais connus du grand public : ils permettent de faire passer sa connection internet privée par un serveur de son choix, souvent situé à l’étranger. Ainsi difficile de remonter jusqu’à l’adresse IP faisant le lien avec l’identité réelle.
Il est donc désormais facile de se localiser dans des pays étrangers pour consulter des sites ou souscrire à des services restreints géographiquement.
FranceTélévision par exemple bloque l’accès à ses replays vidéos dans certains pays
Qui dit anonymat dit impossible de rendre des données personnelles, les ventes de VPN ont donc explosé après les scandales sur les fuites de données Facebook et Google[2]https://digiday.com/marketing/net-neutrality-privacy-scandals-increasing-vpn-use/.
Les VPNs directement ciblés par le gouvernement français
Au Sénat, Cédric O a utilisé un VPN sur son portable afin de démontrer comment l’identification en ligne était contournable lors d’un projet de loi souhaitant l’identification en ligne notamment pour les sites pour adultes comme l’a très bien relayé le Huffington Post[3]https://www.huffingtonpost.fr/entry/cedric-o-demontre-linutilite-de-linterdiction-de-lanonymat-en-ligne-en-deux-secondes_fr_5fb67bbbc5b69969a6a29d6d :
La vidéo a fait le “buzz” mais pas la partie la plus intéressante… La suite des débats se concentre sur la lutte de l’anonymat en ligne et cible précisément les VPNs !
On comprend mieux pourquoi à la lecture de ce schéma : les données transitant par un VPN ne sont pas accessibles ni aux fournisseurs d’accès à internet (free, orange, sfr…) ni aux attaquants MITM – Man In The Middle (comme les fameuses boites noires d’écoute dites blackbox de la DGSI[4]https://www.i-resilience.fr/2015/04/surveillance-la-legalite-douteuse-des-boites-noires/) ni au gouvernement à travers la surveillance de masse[5]https://www.lemonde.fr/blog/bugbrother/2013/07/11/la-dgse-a-le-droit-despionner-ton-wi-fi-ton-gsm-et-ton-gps-aussi/…
L’Etat français n’ayant pas la main sur ce dispositif permettant de vous faire échapper à sa surveillance de masse, il est alors naturel pour lui d’essayer d’en obtenir la régulation…
Rien à cacher, rien à craindre ? Pourquoi utiliser un VPN ?
Pour ceux qui pensent n’avoir rien à se reprocher, le rédacteur de cet article était dans le même état d’esprit jusqu’à ce qu’il ait lui même reçu des visites à 6h du matin. Perquisitions des domiciles et de ceux des proches fréquentés récemment, saisie de tout le matériel informatique & smartphones n’ayant jamais été rendus, garde à vue pour terrorisme -qui n’a rien à voir avec la garde à vue de droit commun- laquelle peut durer jusqu’à 6 jours sans que personne n’en soit informé.
Son crime ? Avoir été en contact avec des personnes ayant été eux même en contact avec des personnes soupçonnées de terrorisme. Avec ce régime vous pouvez englober n’importe qui, ce sont les dérives des écoutes en France[6]https://www.lemonde.fr/blog/moreas/2013/12/15/ecoutes-et-espionnage-les-francais-sous-surveillance/.
Dans le milieu des affaires j’avais également déjà été confronté à des détectives privés ne m’étant rendu compte de rien (après tout c’est leur métier) jusqu’à recevoir un coup de pression à l’intérieur même de mon domicile…
Si vous êtes du milieu politique ou des affaires attendez vous à faire l’objet d’écoute par des acteurs tant publics que privés, nationaux mais aussi étrangers. Certaines données professionnelles vous semblant anodines comme l’accès à des carnets de clients ou encore le simple lien avec une personne potentiellement dangereuse ou politiquement sulfureuse vous amènera forcément à être la cible d’espionnage informatique. Parfois même pour de simples pressions…
Donc croyez en l’expérience d’un juriste ayant été des deux côtés de la barrière pour des affaires tant politiques que professionnelles : vous êtes toujours sur écoute.
L’état veut mettre fin à l’anonymat en ligne et donc restreindre voir interdire les VPNs
Dans le cadre de la lutte contre la haine et le harcèlement en ligne ainsi que la cybercriminalité, les VPNs sont devenus un obstacle à abattre pour les états. Mais ce n’est pas tout, les acteurs privés redoutent aussi les VPNs qui permettent également d’accéder à des contenus protégés géographiquement ainsi que d’abuser de certains services restreints par IP.
Main dans la main le gouvernement français s’allie avec ces ayant-droits lésés pour songer à l’interdiction des VPN mais aussi l’Union Européenne qui aimerait voir ses directives appliquées sans possibilités de les détourner[7]https://www.vpnconnexion.fr/blog/european-union-article-13-and-vpn/.
Ils emboiteraient alors le pas à la Chine et la Russie qui ont interdit les VPNs privés : les VPNs sont bien autorisés mais seulement s’ils sont contrôlés par le gouvernement…
D’autres pays ont purement et simplement interdits les VPNs peu importe les formes comme la Biélorussie, la Corée du Nord, l’Irak et le Turkmenistan.
VPN et protection des données personnelles
Certains VPN n’ont absolument rien d’anonymes et distribuent aux autorités et mêmes aux acteurs privés les données de leurs utilisateurs. Après tout comme le dit l’adage : si c’est gratuit, c’est vous le produit.
Cela n’a jamais été aussi vrai pour les VPNs gratuits qui peuvent librement donner vos données à n’importe qui en le disant explicitement dans leurs conditions générales d’utilisation et politique de confidentialité.
Aussi il n’est pas rare de voir dans des dossiers d’instruction des VPNs donnant l’ensemble de vos données sur simple mail des autorités ni même forcément sur une réquisition en bonne et due forme.
Et là tout y passe car un VPN fait passerelle avec votre connection internet : machines, historique mais aussi hélas identifiants avec mot de passe et même données bancaires peuvent être livrés : dis moi ce que tu consultes je te dirai qui tu es.
Pour distinguer les VPN “balances” des VPN ne donnant aucune donnée à personne on parle de VPN avec ou sans logs.
Les VPN no logs ne gardent aucune données de leur utilisateur, les VPN avec logs gardent des traces de toutes les activités des utilisateurs et doit donc les fournir sur simple requête légale. C’est par exemple le cas de tout VPN basé en France qui doit garder les logs et les donner sur simple demande aux autorités.
NordVPN illégal ?
Vous avez du le croiser sur Youtube, il s’agit du VPN le plus célèbre et le plus accessible en terme de prix pour un VPN no logs. Ce qui lui vaut d’être la première cible des états. A ce jour il est déclaré illégal en Russie et en Chine où NordVPN a du retirer ses serveurs.
NordVPN demeure légal en France et dans toute l’Union Européenne.
Que pense NordVPN d’une possible interdiction ?
Dans le cadre de cet article nous avons pu interroger directement l’intéressé : NordVPN.
Un cadre de Nord a donc pu répondre à nos questions et nous a même offert l’opportunité de tester l’ensemble de leurs produits pour que nous puissions nous faire notre propre avis.
Comment NordVPN gère les données personnelles de ses clients ?
NordVPN ne conserve aucune donnée et l’accent est mis sur la sécurité afin que rien ne fuite tant sur le serveur que dans les échanges entre le client et le serveur.
En ce qui concerne la vie privée, vous pouvez lire : https://nordvpn.com/blog/security-plan/ et https://nordvpn.com/features/vpn-security/
En ce qui concerne une possible interdiction, vous pouvez consulter notre canari de mandat (warrant canary, un receuil public des requêtes légales) : https://nordvpn.com/blog/nordvpn-introduces-a-warrant-canary/
Aussi, NordVPN est basé au Panama, car le pays n’a pas de lois obligatoires sur la conservation des données et ne participe pas aux alliances Five Eyes ou Fourteen Eyes.
NOTE DE TRADUCTION : Five Eyes est le Groupe des cinq services de renseignements de l’Australie, du Canada, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis.
Le Nine Eyes y ajoute ceux du Danemark, de la France, des Pays Bas et de NorvègeEnfin le Fourteen Eyes y additionne ceux d’Allemagne, de Belgique, d’Italie, de Suède et d’Espagne
En d’autres termes, une grande partie de l’attrait de NordVPN est que ses clients sont cachés et ne peuvent pas être touchés par les forces de l’ordre ou la moindre requête légale y compris en examinant le trafic de données d’un individu.
Nous avons d’abord posé toutes les questions et réalisé tous les tests nécessaires avant de vous proposer cette offre de partenaiat afin de nous assurer que nous vous recommandions bien un produit efficace (et nous étions sceptiques au début…).
Notre avis sur l’interdiction de NordVPN en France
Il parait évident que même si NordVPN se voyait interdit sur le territoire français voire européen, NordVPN n’en serait pas inquiet car basé en Panama et ne conservant aucun logs de données ils resteraient hors d’atteinte des autorités françaises et européennes tout en permettent à leurs utilisateurs clients d’accéder à leurs services sur des serveurs étrangers. C’est par exemple le cas en Chine et en Russie où les utilisateurs de ces pays peuvent utiliser NordVPN.
NordVPN dispose néanmoins de serveurs en France soumis au décret de 2006 obligeant d’en conserver les logs 1 an. Si la France décide d’obtenir l’application de ce décret sur NordVPN, la société devra se séparer de ses serveurs français…
Reférences
| ↑1 | Décret du 24 mars 2006 https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000000637071#:~:text=établir%20la%20facturation.-,«%20III.,finalité%20sans%20excéder%20un%20an. |
|---|---|
| ↑2 | https://digiday.com/marketing/net-neutrality-privacy-scandals-increasing-vpn-use/ |
| ↑3 | https://www.huffingtonpost.fr/entry/cedric-o-demontre-linutilite-de-linterdiction-de-lanonymat-en-ligne-en-deux-secondes_fr_5fb67bbbc5b69969a6a29d6d |
| ↑4 | https://www.i-resilience.fr/2015/04/surveillance-la-legalite-douteuse-des-boites-noires/ |
| ↑5 | https://www.lemonde.fr/blog/bugbrother/2013/07/11/la-dgse-a-le-droit-despionner-ton-wi-fi-ton-gsm-et-ton-gps-aussi/ |
| ↑6 | https://www.lemonde.fr/blog/moreas/2013/12/15/ecoutes-et-espionnage-les-francais-sous-surveillance/ |
| ↑7 | https://www.vpnconnexion.fr/blog/european-union-article-13-and-vpn/ |
