Pendant des années, les utilisateurs ne se sont appuyés que sur la réputation et la confiance pour évaluer les affirmations des fournisseurs de VPN.
Mais plus récemment, les VPN ont fait l'objet d'audits de sécurité indépendants pour sauvegarder leurs promesses de confidentialité et de sécurité avec autre chose que des mots à la mode marketing.
Un audit de sécurité est un outil qui démontre la santé globale d'un projet, a déclaré Harlo Holmes, directeur de la sécurité numérique à la Freedom of the Press Foundation.
Jon Callas, chercheur principal en technologie pour l'ACLU, décrit les audits de sécurité comme un deuxième regard.
Les cabinets d'audit peuvent voir si un VPN est à la hauteur de son intention.
Mais les audits VPN ne sont pas infaillibles et ils ne sont pas tous identiques.
La question est de savoir que prouve un audit VPN et comment les utilisateurs peuvent-ils juger de la valeur d'un audit donné?
Publié ou non publié
Les VPN font souvent la promotion de leurs propres audits pour susciter (ou regagner) la confiance de leurs utilisateurs.
NordVPN, par exemple, a annoncé qu'il commandait un nouvel audit peu de temps après que la nouvelle des violations de 2018 ait été récemment rendue publique.
Cependant, toutes les entreprises n'autorisent pas le public à accéder aux résultats de ces audits.
Simon Migliano, responsable de la recherche chez PrivacyCo.
(la société mère de Top10VPN) dit que les VPN doivent publier les audits en ligne sans restriction pour embrasser l'esprit de faire ces audits plutôt que de passer par ce qu'il considère comme un geste essentiellement vide.
"Je ne pense pas que cela ajoute beaucoup de valeur pour les utilisateurs pour eux de publier un article de blog disant:" Hé, nous avons fait un audit par une entreprise ", citez un ou deux paragraphes de conclusions supposées, puis dites: Oh, maintenant tu peux nous faire confiance, dit-il.
Il n'est pas toujours facile de dire quels cabinets d'audit eux-mêmes sont dignes de confiance, mais beaucoup ont des sites Web qui répertorient leurs auditeurs, leurs références et leur ancienneté dans le secteur, ce qui peut être un bon point de départ.
Recherchez également des audits par des cabinets qui publient leurs conclusions de manière indépendante.
PricewaterhouseCoopers est un nom bien connu, et cela peut inspirer une certaine confiance dans un audit.
Cure53, un autre nom qui apparaît dans le cadre des audits de sécurité, est peut-être moins connu en dehors de l'industrie, mais il est plus spécialisé dans la cybersécurité.
"Si [an audit] n'a été publié que par l'équipe de relations publiques du VPN, et l'auditeur indépendant ne leur a pas donné la permission d'utiliser leur nom, et ils ne l'ont pas publié indépendamment, ce qui, à mon avis, soulèverait des questions sur la légitimité et l'intensité de cet audit.
était, ou à quel point les résultats étaient mauvais, et lesquels n'ont pas été corrigés , a déclaré Jon Camfield, directeur de la stratégie technologique mondiale chez Internews.
Types d'audits
Les deux audits VPN les plus courants sont les audits de confidentialité (qui se concentrent sur la vérification des pratiques de journalisation des organisations) et les audits de sécurité plus complets (qui examinent plus largement l'entreprise et ses pratiques de sécurité).
Ce dernier est le type d'audit que NordVPN dit qu'il entreprend.
"Il y a parfois un brouillage délibéré de l'eau de la part des fournisseurs légèrement moins éthiques sur ce qu'ils ont fait lorsqu'ils communiquent avec leurs utilisateurs", a déclaré Migliano.
"Il semble y avoir une tendance à utiliser le terme" audit de sécurité indépendant "comme un fourre-tout pour" hé, maintenant vous pouvez nous faire confiance ", ce qui, à mon avis, n'est pas une bonne chose."
Bien qu'il soit important de déterminer si la politique de journalisation d'un VPN correspond à ses pratiques, Migliano a déclaré qu'il la considérait comme incomplète.
Les entreprises doivent également permettre aux auditeurs d'examiner "l'ensemble des clients et des applications, ainsi que l'infrastructure backend et les services de base", a-t-il déclaré.
Qu'en est-il de l'Open Source?
Certains VPN qui n'ont pas eu leurs propres audits de sécurité tiers indépendants affirment qu'ils sont inutiles car leurs produits utilisent des outils et des bibliothèques open source audités.
Mais les experts disent que cela ne suffit pas.
"Ce qui n'est pas clair, c'est comment exactement ils les lient ensemble", a déclaré Camfield.
"Les ont-ils configurés selon les meilleures pratiques de l'industrie, ou même les meilleures pratiques cryptographiques? C'est quelque chose qui est extrêmement utile pour l'audit."
Les outils basés sur des outils audités et open source peuvent s'interfacer avec votre système de manière non sécurisée, être mis en œuvre de manière incorrecte, avoir un code mal configuré ou enregistrer ou stocker des comptes de manière incorrecte.
"Il y a bien plus que simplement" Oh, nous utilisons ces bibliothèques ouvertes ".
Eh bien, les avez-vous utilisés correctement? " Dit Camfield.
La portée d'un audit
Les audits ont généralement une portée, qui concerne exactement ce qui est audité, les méthodes utilisées et le degré de précision de la mission, ainsi que le nombre de personnes qui auditent l'application et leur durée.
"Si quelqu'un veut jouer les choses, il pourrait certainement y jouer en limitant l'audit aux choses qu'il sait qu'il va réussir", a déclaré Callas.
Un audit peut, par exemple, couvrir uniquement les applications mobiles ou les extensions de navigateur plutôt que le VPN complet que vous prévoyez d'utiliser.
Parfois, la compréhension de la portée peut nécessiter un peu de lecture entre les lignes.
Un audit peut masquer le fait que des éléments importants n'ont pas vraiment été audités, a déclaré Holmes.
"Par exemple, si quelqu'un vérifie l'interface graphique, est-ce que cela inclut réellement le protocole sous-jacent, ou la sélection de protocoles ou quels protocoles de chiffrement sont proposés et à quel point cela est-il configurable? Cela fait en fait une énorme différence."
Un audit éclatant avec une portée limitée ne vous en dit pas grand-chose sur la confidentialité et la sécurité d'un VPN.
Par exemple, une portée limitée peut uniquement permettre aux auditeurs de regarder le code source plutôt que de fouiller dans des systèmes VPN et des copies de (ou même de vrais) serveurs de production.
Votre code peut être incroyable, mais si vos serveurs principaux n’ont pas été inclus dans l’audit, il n’est pas réellement holistique ou utile sous quelque forme que ce soit, a déclaré Camfield.
Lors de l'évaluation des rapports d'audit et de leur portée, Holmes cherche également à savoir si les auditeurs mettent en œuvre des protocoles de construction reproductibles, "afin qu'ils puissent, à un degré plus élevé, prouver que ce que vous téléchargez et installez correspond à ce que les développeurs ont réellement prévu."
Recommandé par nos rédacteurs
Signaler les résultats
Les rapports d'audit sont des documents techniques qui décrivent les vulnérabilités trouvées dans le VPN qui a été évalué.
Un audit qui montre qu'un VPN a des bogues n'est pas nécessairement une mauvaise chose.
En fait, c'est en fait une bonne nouvelle lorsque les auditeurs découvrent des problèmes qui sont corrigés.
Mon point de vue sur toute sorte de bogues et de signalement est que la marque de ce qui fait une bonne entreprise est la façon dont elle traite les problèmes, ce qui comprend la rapidité avec laquelle ils les résolvent et le fait qu’ils essaient ou non de s’en sortir.
, A déclaré Callas.
Les rapports d'audit doivent inclure des informations sur les correctifs lors d'une mission de suivi lorsque les auditeurs sont revenus.
Les audits de sécurité ne reflétant qu'un moment précis, ils doivent être quelque chose dans lequel une entreprise investit périodiquement.
Vous n'êtes pas censé faire un audit une fois et ne plus jamais en avoir un, a déclaré Holmes.
Les VPN sont mis à jour assez fréquemment et des bogues de sécurité sont découverts tout le temps, donc le plus souvent, ce qui a été audité n'est pas l'outil que vous utilisez.
"Le parfait est l'ennemi du bien", a déclaré Camfield.
"Dans un monde parfait idéalisé, tout le code serait ouvert, les constructions seraient reproductibles (ce qui signifie que vous pouvez vérifier que l'open source que tout le monde peut voir est exactement ce qui a généré l'outil que vous utilisez réellement sur votre appareil) et chaque nouvelle version ferait l'objet d'un audit indépendant.
"
Les frais généraux et les restrictions qui entraîneraient le développement d'outils ne sont pas négligeables, a déclaré Camfield.
"Donc, je le vois vraiment comme, au moins faire quelque chose.
Bien sûr, c'est un instantané dans le temps, mais je préférerais de beaucoup voir tout le monde passer par un audit annuel ou un audit semestriel plutôt que rien."
Tous les utilisateurs potentiels de VPN ne prendront pas la peine d'examiner les audits avant de s'abonner.
Parfois, vous voulez simplement débloquer Netflix.
Mais si, par exemple, vous recherchez un VPN pour vous garder en sécurité et privé dans un environnement hostile, cela vaut probablement la peine de prendre ce genre de chose au sérieux.
Et quel que soit le type de consommateur de VPN que vous êtes, il ne peut jamais faire de mal d'être mieux informé.
