L’un des réseaux privés virtuels (VPN) les plus populaires au monde, n’est en réalité pas si privé que cela, selon une plainte déposée plus tôt cette semaine auprès de la Federal Trade Commission (FTC) aux États-Unis.
Le Center for Democracy & Technology (CDT), une organisation à but non lucratif qui défend la liberté d’expression et le respect de la vie privée, soutient que le VPN gratuit Hotspot Shield, un produit de la société AnchorFree Inc., se livre à des “pratiques commerciales injustes et trompeuses”, en promettant un “accès sécurisé, privé et anonyme à internet” alors qu’elle piste, collecte et partage des données utilisateurs avec des tiers.
Avec un peu de bon sens, on peut se douter que rien n’est vraiment gratuit dans ce bas monde !
Si un service est “gratuit”, à savoir que vous ne payez effectivement rien pour l’obtenir, vous payez en fait mais d’une autre manière. Dans le cas du produit Hotspot Shield, cela signifie que vous êtes obligés de regarder des publicités ou d’avoir au moins certaines de vos données personnelles, comme votre localisation, vos habitudes de navigation, l’historique de vos achats, etc…, collectées et vendues à des tiers, et ce à des fins marketing.
Mais ce constat est justement au cœur du débat qui est devenu rapidement une querelle publique entre le CDT et AnchorFree, qui déclare que Hotspot Shield compte plus de 500 millions d’utilisateurs. Le CDT soutient que si les utilisateurs “paient”, d’une certaine manière, un service avec leurs données personnelles, ces derniers devraient en être plus clairement informés.
Après tout, le principe même d’un VPN est bien résumé dans son acronyme, à savoir : “privé“. Un VPN est censé être un moyen de conserver votre identité et votre histoire de navigation secrets, et ce vis-à-vis de tout le monde !
D’ailleurs cette forme d’anonymat est bien mise en avant par AnchorFree. Parmi les captures d’écran accompagnant la plainte du CDT, on trouve une description de VPN Hotspot Shield sur iTunes/iOS App Store, qui dit : “Préservez votre vie privée et votre anonymat en ligne. Empêchez le suivi de votre adresse IP, identité et localisation par des sites web et des trackers en ligne. Profitez d’un anonymat complet”.
La société déclare également “qu’aucun historique (fichier log) n’est conservé. Hotspot Shield ne suit pas ou ne garde aucun historique de ses utilisateurs et de leurs activités. Votre sécurité et le respect de votre vie privée sont garantis ».
Sauf que ce cela ne correspond pas à ce qui est écrit en plus petit. La politique de confidentialité actuelle d’AnchorFree, entre autres, dit que :
- L’adresse IP ou les identifiants de périphériques uniques ne sont pas considérés comme des informations personnelles, ce qui ne manquera probablement pas de surprendre la plupart de leurs clients.
- Le service collecte les données de localisation, en partie pour l’optimisation des publicités.
- Le service utilise des cookies et des informations collectées automatiquement, afin de “fournir des publicités, du contenu et des informations personnalisés”.
- Le service peut “conclure des accords avec des entités non affiliées qui possèdent une technologie qui nous permet de personnaliser les publicités, ainsi que les divers messages marketing que les utilisateurs reçoivent lors de l’utilisation du service”.
- Le service divulguera des données personnelles aux forces de l’ordre, non seulement en réponse à un mandat ou à une citation à comparaître, mais aussi à des fins de “coopération” avec les forces de l’ordre ou les organismes gouvernementaux.
- Le service ne garantit pas qu’il sera en mesure de créer un VPN ou qu’il pourra utiliser une adresse IP proxy sur tous les sites web.
De plus, la plainte de la CDT affirme que Hotspot Shield a sciemment “injecté de manière active des codes JavaScript à l’aide d’iframes à des fins publicitaires et pour mieux suivre ses clients.
Le CEO d’AnchorFree, David Gorodyansky, qui a jugé les plaintes du CDT “sans fondement”, a déclaré à Naked Security dans un échange d’email :
Le respect de la vie privée et la confiance des utilisateurs sont cruciaux pour notre activité. Nous n’avons jamais divulgué ou vendu des données utilisateurs, et notre approche en matière de protection des données utilisateurs est de ne pas stocker de données relatives aux adresses IP des utilisateurs, ou relatives à des données personnelles identifiables (PII).
Sollicité pour expliciter la cohérence de cette affirmation avec la politique de confidentialité de l’entreprise, Gorodyansky a déclaré que “nous sommes en train de mettre à jour notre politique de confidentialité pour refléter la réalité avec laquelle nos systèmes fonctionnent, et la réalité est que beaucoup d’éléments [listés ci-dessus] ne sont pas suffisamment précis”.
Il est difficile d’estimer la fréquence d’apparition de telles déconnexions entre la situation réelle et la politique écrite. La FTC, tout en accusant réception de la plainte du CDT à propos de Hotspot Shield, a refusé de commenter s’il existait d’autres enquêtes en cours concernant de fausses déclarations au sujet des réseaux privés virtuels. Joanna Gruenwald Henderson de la FTC a déclaré :
Les enquêtes de la FTC ne sont pas publiques, et nous ne commentons pas les enquêtes, ni même l’existence d’une enquête.
Une partie du problème, bien sûr, est que pratiquement personne ne lit les conditions générales d’utilisation et les politiques de confidentialité, car elles sont en général rédigées dans un langage juridique sur des pages et des pages. La société finlandaise de sécurité F-Secure a fait une expérience en 2014 bien connue maintenant, en créant “de fausses conditions générales d’utilisation” qui déclaraient que ceux qui voulaient utiliser un service Wi-Fi “gratuit” devaient donner à l’entreprise leur premier né. Beaucoup de personnes ont accepté, bien évidemment, sans avoir lu auparavant le texte écrit en petits caractères !
Mais une autre réalité est que, comme c’est le cas avec n’importe quoi en ligne d’ailleurs, rien n’est véritablement sécurisé à 100%. Paul Ducklin de Naked Security, qui a élaboré un tutoriel en présentant les avantages et les inconvénients des réseaux privés virtuels il y a quelques années maintenant, a également rappelé aux utilisateurs dans une publication antérieure que la sécurité et la confidentialité des réseaux privés virtuels sont soumises à certaines restrictions.
Les réseaux privés virtuels peuvent être des “excellents outils” pour améliorer la confidentialité, l’anonymat et le secret”, a-t-il écrit, mais a également noté que le terme “privé” dans “réseau privé virtuel” signifie tout simplement que le VPN fourni une connexion comme si vous aviez un accès direct à votre réseau de destination.
“En d’autres termes, un VPN est implicitement privé, tout comme votre voiture familiale l’est, en étant classée comme un véhicule privé/léger, mais ne l’est pas dans le sens d’une confidentialité et d’un anonymat garantis”, a-t-il écrit.
Billet inspiré de When is a VPN not private? When you’re not paying for it, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.