On l’oublie trop souvent, mais la juridiction est un critère essentiel pour s'assurer de la sûreté d'un VPN, qui doit impérativement orienter le choix de l’internaute.
En tant qu’utilisateur peu expérimenté, il ne serait pas étonnant de confondre domiciliation du VPN et emplacement géographique de ses serveurs. Pourtant, les deux notions sont bien différentes, l’une engageant la sécurité et la confidentialité des données personnelles, quand l’autre permet simplement de simuler sa géolocalisation.
Qu’est-ce que le pays de domiciliation d’un VPN ?
Très simplement, le pays de domiciliation d’un VPN est le pays dans lequel son siège social est établi. On parle également de juridiction ou de domicile juridique. Que les créateurs ou créatrices d’une entreprise soient d’une nationalité ou d’une autre n’a alors aucune importance : la nationalité de la société sera déterminée par l'emplacement de son siège social, sa juridiction. Par extension, ce sont les lois de cette juridiction qui s’appliqueront à la société en matière de collecte, de conservation et de protection des données personnelles, et ce même si elle possède des infrastructures ailleurs dans le monde.
Ainsi le pays de domiciliation est un prérequis important qui doit orienter le choix des utilisateurs, tous les États ne considérant pas le traitement des données personnelles de manière équivalente.
La juridiction d’un VPN suffit-elle à protéger la vie privée de ses utilisateurs ?
En pratique, certains paramètres peuvent sévèrement ébranler la sécurité des données promise par les VPN, pourtant basés dans des juridictions recommandées. Le pays de domiciliation de l’entreprise ne peut donc pas être l’unique critère de sélection d’un service.
Pour que l’argument de la juridiction soit efficace, il est important que le VPN pour lequel on a opté applique une politique No log. Concrètement, cela suppose que les serveurs utilisés n’enregistrent aucune information de navigation, ni aucun autre élément qui permettrait d’identifier clairement l’internaute et ses activités en ligne (adresse IP, sites Web visités, dates et heures de connexion, durée des sessions, quantité de données échangées, etc.).
En cas de journalisation (conservation) de ces données, les services basés dans des juridictions dites intrusives, ou entretenant des relations avec diverses alliances internationales de renseignements, pourraient être amenés à livrer ces informations sur requête des autorités.
La politique de no log est aujourd’hui l’un des premiers arguments de vente mis en avant par la très grande majorité des fournisseurs de VPN. Mais il est impératif de garder à l’esprit qu’un slogan placardé en page d’accueil n’est pas un gage de respect de la vie privée des utilisateurs. Prendre le temps de bien lire les conditions d’utilisation et la politique de confidentialité de chaque service est une première étape importante pour se faire une idée de ce que les entreprises consignent réellement concernant les activités en ligne de leurs utilisateurs.
Il faut également se souvenir qu’un service VPN dépend d’une entreprise privée. À ce titre, il reste très difficile de vérifier que les engagements formulés sont tenus, et si l’on se rend compte de la supercherie, c’est bien souvent parce que scandale il y a. En 2011, HideMyAss, alors basé au Royaume-Uni et appliquant une politique no log, a collaboré avec les autorités américaines par l’intermédiaire des autorités britanniques pour faire arrêter un Américain soupçonné d’avoir aidé LulzSec à pirater Sony.
En 2016, IPVanish, qui appliquait aussi le no log, a vu sa réputation compromise par une affaire de pédocriminalité et de pédopornographie. Le service a alors été contraint de remettre au FBI des données de connexions (identité de l’utilisateur, adresse IP source, adresse mail, horodatage des connexions) qu’il garantissait ne pas conserver.
En 2017, PureVPN – pourtant basé à Hong Kong, juridiction alors considérée comme fiable de par son indépendance liée à son statut d’ancienne colonie britannique – est accusé d’avoir communiqué des informations au FBI dans le cadre d’une enquête ayant mené à l’arrestation d’un criminel américain. L’entreprise s’est défendue, arguant qu’elle avait bien respecté sa politique de confidentialité et le principe du no log qu’elle vendait à ses abonnés. Une affirmation vraie, mais discutable, puisque les petites lignes stipulaient que les serveurs enregistraient automatiquement l’heure de connexion de leurs utilisateurs, et donc leur adresse IP. Trompeur, PureVPN avait effectivement respecté sa politique de confidentialité dans laquelle figurait une version arrangée (et arrangeante) de la notion de zéro registre.
A contrario, certains fournisseurs basés dans des juridictions soumises aux lois de renseignement les plus strictes ont su consolider leur réputation et la confiance accordée par leurs utilisateurs. C’est notamment le cas de Private Internet Access (PIA), deux fois appelé par le FBI et le tribunal à communiquer ses logs dans le cadre d’affaires de piratage, et deux fois capable de prouver qu’il n’existait aucune donnée à communiquer.
Pour choisir le VPN le plus sûr, assurez vous que le fournisseur VPN a bien fait réaliser un audit de sécurité par un organisme indépendant, et que le compte rendu de cet audit a bien été rendu publique.
Five Eyes et autres alliances internationales compromettantes
Bien évidemment, les Five Eyes sont à proscrire si l’on souhaite préserver la confidentialité de ses données personnelles au maximum. Cette alliance internationale née durant la Seconde Guerre mondiale regroupe les États-Unis, le Canada, l’Australie, la Nouvelle-Zélande et le Royaume-Uni. Le cœur de l’organisation prévoit des accords multilatéraux concernant les échanges d’informations relevant du renseignement. C’est notamment ce qui explique que le FBI a pu obtenir des informations détenues par HideMyAss alors que le service dépendait de la législation britannique. En 2013, Edward Snowden révélait une série de documents attestant de la surveillance de masse mise en place par les Five Eyes : à défaut de pouvoir directement espionner leurs propres citoyens, ces États se sont servi des informations collectées par leurs pairs. Un joli tour de passe-passe.
Aux Five Eyes, on peut logiquement associer les Nine Eyes (Five Eyes + France, Danemark, Pays-Bas, Norvège) et les Fourteen Eyes (Nine Eyes + Belgique, Allemagne, Italie, Espagne, Suède).
En marge de ces alliances principales ont émergé des collaborations internationales plus ciblées, parmi lesquelles les Five Eyes, la France, l’Allemagne et le Japon face à la Chine et à la Russie ou les Five Eyes, la France, le Japon et la Corée du Sud face à la Corée du Nord. On soupçonne également Singapour, Israël, le Japon et la Corée du Sud d'avoir signé des accords avec les Five Eyes.
De manière générale, il vaut mieux éviter de souscrire un service VPN domicilié dans l’un des pays membres de l’Union européenne. Bien que la législation européenne soit plus stricte que les alliances susmentionnées en termes de droit des citoyens et respect de la vie privée, il existe des dispositions légales facilitant la collecte et le partage d’informations entre pays (accords et lois renforçant la sécurité internationale, conservation obligatoire des données par les FAI, transmission des données sur demande des autorités). On estime cependant que la Roumanie et la Bulgarie constituent deux exceptions à la règle, ayant jugé anticonstitutionnels les directives et les projets de loi européens concernant la conservation des données personnelles.
Il est enfin déconseillé d’opter pour un VPN basé dans un pays membre (Chine, Russie, Kazakhstan, Kirghizistan, Ouzbékistan, Tadjikistan, Inde, Pakistan), observateur (Mongolie, Iran, Afghanistan, Biélorussie) ou partenaire de dialogue (Sri Lanka, Turquie, Arménie, Azerbaïdjan, Cambodge, Népal) de l’Organisation de Coopération de Shanghai, si tant est qu’il en existe, et ce qu’ils soient légaux et non contrôlés par le gouvernement en place.
Les data havens : paradis pour données malmenées
Tout comme il existe des paradis fiscaux, il existe des paradis de données (data havens). Ces lieux peuvent être virtuels (domaine .onion, Freenet, HavenCo) ou géographiquement physiques. Dans le cadre d’un usage VPN, c’est cette seconde option qui nous intéresse. On trouve parmi les data havens les Îles Vierges britanniques, le Panama, les Seychelles, la Malaisie et les Îles Caïman.
On pourrait ajouter à cette liste Hong Kong, bien que les assauts répétés de la Chine puissent un jour finir par avoir raison de son indépendance et la Suisse. La Bulgarie et la Roumanie pourraient également y figurer de par leur fort engagement en faveur du droit à la vie privée.
Les Pays-Bas et la Suède sont des cas particuliers : bien que faisant partie des Fourteen Eyes et de l’Union européenne, ils jouissent d’un cadre législatif national plutôt favorable au respect de la confidentialité des données personnelles. Il convient donc de rester vigilant si l’on opte pour un service VPN basé dans l’un de ces deux États. Même constat pour Israël et Singapour qui, bien que suspectés de coopérer avec les Five Eyes, sont réputés pour profiter de lois solides concernant le respect de la vie privée.