document.addEventListener("DOMContentLoaded", function(event) { var classname = document.getElementsByClassName("atc"); for (var i = 0; i

Open source, Audit, Bug bounty, quels VPN sont les plus transparents ?

par | 6 Nov 2021 | Découvrir

Si beaucoup d’internautes prennent actuellement un abonnement VPN, d’autres en revanche continuent de se demander si les différents fournisseurs actuellement disponibles sur le marché, sont fiables. En effet, la question de la transparence est un axe central et il est légitime de se demander si finalement, avoir recours à un réseau privé virtuel pour sécuriser ses données ne revient pas tout simplement à les privatiser. VPN Mon Ami fait le point sur les VPN les plus transparents actuellement et comment ils y parviennent.

Les VPN Open source

Le terme Open source s’applique à des logiciels dont le code source est accessible et consultable par tout le monde. C’est l’approche de développement la plus transparente qui soit. En effet, quand le code d’un logiciel est ouvert, il peut être examiné de manière indépendante et autonome par tout le monde. Cela présente l’avantage de déterminer la présence de porte dérobée, code malveillant et surtout cela garantit que le logiciel effectue bel et bien ce qu’il est censé faire.
logo de protonVPN

ProtonVPN fait figure de modèle dans ce domaine. Son code source est consultable très facilement et ce fournisseur peut se targuer d’avoir derrière lui une très grosse communauté d’informaticiens et de passionnés qui les suivent et les soutiennent. Dès qu’un problème est détecté, Proton en est très rapidement averti et le règle efficacement. ProtonVPN est un des meilleurs VPN gratuit PC du marché en raison de son modèle économique connu et de la fiabilité de ses applications.

Les Audits indépendants

Bien que suscitant la méfiance générale, les audits sont pourtant une bonne façon pour un fournisseur de VPN de faire évaluer son logiciel par des professionnels de la cybersécurité. Il s’agit d’une procédure complexe de contrôle effectuée par une entreprise externe spécialisée visant à déterminer la fiabilité et la sécurité d’un logiciel.

Si peu de personnes font cas de ces audits, c’est en raison du fait que ces contrôles semblent opaques, mais aussi et surtout parce que les entreprises mandatées pour les faire sont méconnues du grand public. Les plus sceptiques vont même jusqu’à dire que ces sociétés d’audit en sécurité sont grassement payées pour rendre des conclusions favorables. Pourtant, ProtonVPN et Private Internet Access, qui sont tous les deux des VPN Open Source ont déjà été audités plusieurs fois avec succès.

Parmi les VPN les plus connus pour publier régulièrement leurs résultats d’audit, il y a NordVPN, Surfshark, ExpressVPN et TunnelBear.

Illustration : header de cube 53

Cure53 est une société très connue pour avoir audité de nombreux fournisseurs de RPV. Les rapports sont consultables ici.

Les Bug Bounty

Rapidement devenu un standard en matière de cybersécurité depuis 2015, un programme de bug bounty est une invitation officielle faite par les entreprises aux hackers éthiques. Ils ont pour mission de découvrir des failles de sécurité, des dysfonctionnements ou encore des bugs au sein du logiciel qui est pentesté* (*scénario d’intrusion).

L’intérêt des programmes de Bug Bounty réside essentiellement dans le fait qu’une entreprise dispose d’un nombre très élevé de hackers très motivés puisque chaque problème détecté est rémunéré.
À notre connaissance, peu de VPN ont lancé ce type de programmes, le meilleur VPN du marché, NordVPN, en plus d’avoir été audité, met régulièrement en place des programmes de Bug Bounty.

illustration : logo hackers
The Glider : Le symbole des hackers

Le cas des Warrant Canary

Sans aucun doute, l’annonce la plus farfelue de cet article, le Warrant Canary tire directement son nom du Serin des Canaries qui était utilisé pour prévenir les mineurs quand l’oxygène venait à manquer. Il s’agit d’une déclaration officielle indiquant qu’un fournisseur n’a pas, dans le cadre d’une procédure judiciaire, fait l’objet d’une demande de renseignements.
Souvent utilisé pour contourner les lois sur l’interdiction de divulgation de mise sur écoute, c’est Apple qui fut la première société à y avoir recours en 2013.

Cette déclaration figure, en règle générale, en pied de page d’un site. Surfshark a publié un warrant canary fin 2019 et celui-ci est toujours en place à l’heure où j’écris cet article.

Logo du VPN Surfshark

Pour Conclure

Les mesures proposées par les fournisseurs de VPN pour être plus transparents ne manquent pas et font preuve de bon sens. Celles-ci présentent d’ailleurs l’avantage d’être cumulables entres elles. Nous avons cependant une nette préférence pour les applications VPN Open Source. Ne perdez également pas de vue, que le pays ou est implanté le fournisseur de réseau privé virtuel a également son importance en ce qui concerne la conservation ou non des logs. Référez-vous toujours à la politique de confidentialité.

Pin It on Pinterest

Share This