Audits de sécurité indépendants des VPN en 2024 : qui a publié et qui n’a pas publié

Audits de sécurité indépendants des VPN en 2024 : qui a publié et qui n’a pas publié

La confiance est le produit central de tout service VPN. Vous acheminez votre trafic Internet via l’infrastructure d’un tiers et acceptez sa parole que vos données sont traitées de manière responsable. La manière la plus significative pour un fournisseur d’étayer cette affirmation est un audit de sécurité indépendant du VPN en 2024, un examen formel mené par une entreprise extérieure sans intérêt financier dans le résultat. Pourtant, tous les grands fournisseurs de VPN ne considèrent pas la transparence des audits comme une priorité, et l’écart entre ceux qui le font et ceux qui ne le font pas en dit long sur la façon dont ils prennent la responsabilité au sérieux.

Cet article décrypte ce à quoi ressemble un audit crédible, quels fournisseurs ont publié des résultats au cours des douze derniers mois environ, et comment utiliser cette information pour choisir un VPN.

Quels fournisseurs VPN ont publié des audits au cours des 12 derniers mois

Une poignée de fournisseurs maintient des cadences d’audit annuelles cohérentes. Proton VPN continue de publier chaque année des audits de non-conservation des journaux réalisés par des cabinets de sécurité externes, en diffusant des rapports détaillés plutôt que des résumés pour cadres qui dissimulent les résultats. ExpressVPN a également publié des rapports d’audit couvrant sa politique de non-conservation des journaux et l’implémentation de son protocole Lightway. Mullvad a subi des audits d’infrastructure et d’application, en publiant les résultats. NordVPN publie des audits périodiques via Deloitte concernant ses allégations de non-conservation des journaux.

Du côté plus récent, Guardian, la technologie qui alimente Brave VPN, a publié en mars 2024 un rapport d’audit de sécurité de phase 1, centré sur les interactions client-serveur et sa surface d’API publique, un périmètre relativement étroit mais techniquement spécifique.

De l’autre côté du bilan, plusieurs grandes marques commerciales de VPN n’ont soit publié aucun résultat d’audit récent, soit diffusé uniquement des résumés à visée marketing sans les rapports sous-jacents accessibles. Certains fournisseurs mentionnent des audits passés vieux de plusieurs années sans les mettre à jour, ce qui est presque aussi problématique que de ne pas en avoir du tout. Le marché des VPN évolue rapidement ; un audit de 2021 ne dit pas grand-chose de la base de code actuelle d’un produit ou de la configuration de ses serveurs.

Ce qu’un audit crédible devrait réellement couvrir

Tous les audits ne se valent pas, et un fournisseur peut techniquement prétendre avoir été audité tout en publiant un document qui n’offre pratiquement aucune assurance significative aux utilisateurs. Un audit crédible doit couvrir plusieurs domaines distincts.

Premièrement, la vérification de la politique de non-conservation des journaux : l’auditeur doit inspecter les configurations des serveurs, l’infrastructure dorsale et les systèmes de journalisation pour confirmer que le fournisseur ne stocke pas de métadonnées de connexion, d’horodatages, d’adresses IP ou d’enregistrements d’activité au-delà de ce que déclare sa politique de confidentialité.

Deuxièmement, la sécurité des applications : les applications clientes elles-mêmes, sur toutes les plateformes, doivent être examinées pour détecter les vulnérabilités, les fuites de données et les défauts d’implémentation du protocole. Les tests de fuite DNS, la fiabilité du kill switch et la gestion du WebRTC entrent tous dans cette catégorie.

Troisièmement, l’examen de l’infrastructure : comment les serveurs sont configurés, si une architecture en mémoire vive (RAM-only) est réellement en place là où elle est revendiquée, et comment les contrôles d’accès sont gérés.

Le cabinet d’audit compte également. Les rapports provenant de cabinets reconnus en cybersécurité, dotés de références vérifiables, ont plus de poids que les évaluations émanant d’entités peu connues sans réputation indépendante. Le rapport complet, y compris les éventuelles constatations signalées et la manière dont elles ont été corrigées, doit être accessible, et pas seulement un communiqué de presse annonçant un bulletin de santé vierge.

Les signaux d’alarme lorsqu’un VPN saute ou enterre son audit

Lorsqu’un fournisseur VPN n’a pas publié d’audit indépendant récent, il vaut la peine de se demander pourquoi. Certains petits services peuvent manquer de budget, ce qui est une contrainte légitime, mais ils devraient le dire clairement plutôt que de botter en touche. Les grands fournisseurs commerciaux qui pratiquent des prix d’abonnement compétitifs ont peu d’excuses financières pour ne pas réaliser cet exercice.

Enterrer un audit est un problème plus subtil. Certains fournisseurs placent les liens vers les rapports dans des recoins obscurs de leur site, ne publient qu’une lettre d’attestation au lieu d’un rapport technique complet, ou diffusent des résultats sans nommer le cabinet d’audit. Ces schémas suggèrent que l’audit a été réalisé à des fins marketing plutôt que pour une véritable responsabilité.

Un autre signal d’alarme est la fréquence insuffisante. L’environnement des menaces change constamment, comme l’illustrent des incidents de données tels que le piratage de la UK Biobank exposant 500 000 dossiers de santé. Les logiciels sont mis à jour, les configurations des serveurs évoluent et de nouvelles vulnérabilités apparaissent. Un audit unique réalisé il y a plusieurs années ne doit pas être considéré comme un blanc-seing permanent.

Les fournisseurs qui répondent aux questions sur les audits par un langage vague évoquant des « processus de sécurité continus » sans s’engager sur un calendrier de publication méritent également un examen attentif.

Comment utiliser la transparence des audits comme critère de sélection d’un VPN

Quand vous évaluez un VPN, considérez la transparence des audits comme un filtre plutôt que comme un verdict définitif. Un fournisseur disposant d’un audit récent, complet et publiquement accessible, réalisé par un cabinet crédible, franchit un seuil minimal de responsabilité. L’absence d’un tel audit ne signifie pas automatiquement que le service est peu sûr, mais cela signifie qu’on vous demande d’accorder plus de confiance avec moins de preuves.

Commencez par vérifier le site officiel du fournisseur pour une page dédiée aux audits de sécurité ou un centre de confiance. Cherchez le nom du cabinet d’audit, la date de l’audit et un lien vers le rapport complet. Si le résultat le plus visible est un billet de blog décrivant l’audit sans lien vers le rapport, creusez davantage avant d’accepter l’affirmation au pied de la lettre.

Il convient aussi de noter que le périmètre de l’audit importe autant que sa fréquence. Un audit de non-conservation des journaux ne vous dit pas à lui seul si l’application cliente laisse fuir des requêtes DNS ou si le kill switch fonctionne comme décrit. Cherchez des fournisseurs dont les audits couvrent de multiples dimensions du produit, et pas seulement l’affirmation la plus mise en avant dans leur marketing.

La transparence des audits n’est qu’une pièce d’une évaluation plus large. Les tests pratiques indépendants qui examinent comment les fournisseurs traitent les allégations de transparence dans la réalité constituent une couche supplémentaire utile. Notre test de Brave VPN est un bon exemple de la manière d’évaluer les engagements déclarés d’un fournisseur au regard des preuves techniques et opérationnelles disponibles.

Ce que cela signifie pour vous

Choisir un VPN sans vérifier son historique d’audit, c’est un peu comme acheter un détecteur de fumée en croyant sur parole l’emballage qu’il fonctionne. L’historique d’audit n’est pas une garantie de perfection, mais c’est ce qui se rapproche le plus d’une vérification indépendante à laquelle les consommateurs ont actuellement accès.

Avant de renouveler ou de souscrire un abonnement VPN, prenez dix minutes pour vérifier si le fournisseur a publié un audit tiers récent, qui l’a réalisé et si le rapport complet est accessible publiquement. Si ces trois questions n’obtiennent pas de réponses claires, c’est en soi une information importante.

Pour un contexte plus approfondi sur la manière dont chaque fournisseur gère la transparence, les affirmations de leur politique de confidentialité et leur implémentation technique, les tests pratiques de fournisseurs réalisés par vpn.social proposent des analyses détaillées qui vont au-delà de ce qu’un seul document d’audit peut couvrir.