PureVPN a récemment fait l'objet d'un audit indépendant indispensable de sa revendication "pas de journaux". Je dis indispensable à la fois parce que la transparence est quelque chose dont l'industrie VPN dans son ensemble a un besoin urgent, et les propres controverses de PureVPN dans le passé appelaient à un ménage en profondeur.
Après un certain nombre de VPN fiables comme ExpressVPN, NordVPN, TunnelBear et VyprVPN, PureVPN est maintenant le dernier fournisseur à recevoir la validation d'un auditeur pour renforcer davantage la confiance des utilisateurs.
Altius IT, la société d'audit de sécurité réseau basée en Californie, a résumé son inspection de 18 jours de la politique de non-journalisation de PureVPN en ces termes :
"[Altius IT] n'a trouvé aucune preuve de configurations système et/ou de fichiers journaux système/service qui, indépendamment ou collectivement, pourraient conduire à l'identification d'une personne spécifique et/ou de l'activité de la personne lors de l'utilisation du service PureVPN."
Cependant, il y a encore beaucoup d'ambiguïté autour des politiques de journalisation des VPN en général, ce que PureVPN a spécifiquement fait l'objet de critiques injustifiées au fil des ans. La vérité est qu'il est tout simplement impossible pour un VPN de fonctionner sans aucune trace de ses clients.
A ce titre, il est important de classer les logs en deux types: les logs ayant le pouvoir de porter atteinte à votre vie privée en ligne (logs d'utilisation) et les logs qui sont tout simplement inoffensifs quant à la préservation de votre vie privée (identifiants de compte).
Ce sont les premiers, c'est-à-dire les journaux contenant des informations personnellement identifiables (PII) telles que des noms, des adresses e-mail, des adresses IP personnelles, etc. qu'aucun VPN légitime n'a de stockage commercial.
L'audit indépendant que PureVPN a subi prouve qu'en ce qui concerne les PII, toutes les garanties de non-journalisation que l'entreprise a données aux clients sont parfaitement légitimes.
Compte tenu de l'histoire de PureVPN, cependant, cela pourrait soulever quelques sourcils parmi ceux qui connaissent déjà la marque, en particulier en ce qui concerne l'affaire du FBI qui s'est produite en 2017.
Nous pensons que cet audit a été le moment idéal pour PureVPN de se montrer clair et de remettre les pendules à l'heure concernant la position globale de l'entreprise sur la confidentialité des utilisateurs. C'est pourquoi nous avons contacté PureVPN avec quelques questions :
Q.1 Pourquoi PureVPN a-t-il attendu jusqu'à maintenant pour que cet audit indépendant soit entrepris? Est-ce un aveu silencieux que l'entreprise stockait des journaux auparavant ?
"Cet audit est une série d'étapes que nous prenons pour cimenter davantage notre engagement envers une véritable confidentialité.
Avant le 25 mai 2018, qui se trouve être également la date de la loi GDPR, nous suivions une politique de confidentialité différente. Cette politique nous a permis de coopérer avec les forces de l'ordre en cas de crimes graves tels que la pédopornographie, les activités terroristes, etc. Nous l'avons appelée politique "Zero Browsing Logs". Cette ancienne politique a été décrite et expliquée très clairement dans notre réponse à l'événement du FBI en octobre 2017.
Cependant, suite à la position d'Apple avec le cas de l'iPhone du FBI et avec l'avènement du GDPR, nous avons estimé que nous constatons un soutien mondial suffisant pour passer de la politique "Zero Browsing Logs" à la politique "Zero User Logs" ; la principale différence étant les horodatages et les adresses IP entrantes (d'origine) des FAI.
Ainsi, à compter du 25 mai 2018, nous suivons une version différente de la politique de confidentialité (politique de zéro journal avec absolument aucun journal de navigation, aucun horodatage individuel de connexion/déconnexion et aucune journalisation des adresses IP d'origine entrantes du FAI ou son association sous quelque forme que ce soit avec adresses IP VPN masquées). Depuis lors, PureVPN a subi une série d'audits axés sur différents aspects du service, depuis la sécurité, la confidentialité et la politique de journalisation.
Voici la dernière politique de confidentialité: Vous pouvez lire la politique de confidentialité de PureVPN ici :
https://vpn.inform.click/recommend-purevpn _
Q.2 Cet audit semble limité dans sa portée car il n'a pris en compte que l'aspect journalisation de votre service. Y a-t-il une raison pour laquelle l'audit n'a pas inspecté de manière holistique l'ensemble de votre infrastructure afin d'identifier les forces et les faiblesses sous-jacentes ?
« Il ne s'agit pas d'un audit à portée limitée. Il s'agit d'une vérification approfondie complète. Nous avons autorisé et provisionné tous les accès pour qu'ils puissent récupérer et inspecter les systèmes qu'ils voulaient à leur guise. Ils ont tout examiné, depuis nos serveurs VPN, nos configurations, nos services système et nos API. Ils ont également examiné nos bases de données et tracé l'intégralité des flux de données pour s'assurer qu'aucune information identifiable de l'utilisateur n'était stockée nulle part.
PureVPN a subi une série d'audits pour la sécurité, la confidentialité et les journaux. Nous continuons à engager de temps à autre des auditeurs indépendants réputés pour fournir de meilleurs services et assurances à nos clients dans plus de 140 pays à travers le monde. En plus d'être le premier à se conformer au GDPR et d'avoir la politique de confidentialité la plus transparente, PureVPN est le premier et le seul fournisseur à avoir un programme public payant de primes de bogues (Bugcrowd.com/purevpn) où plus de 90 000 fortes communautés de pirates informatiques testent en permanence et renforcer notre service. Nous nous efforçons jour et nuit d'offrir de plus en plus de valeur à des millions d'abonnés dans plus de 140 pays qui nous confient leur sécurité et leur confidentialité.
Q.3) Beaucoup de vos serveurs sont situés dans des pays qui peuvent avoir des exigences obligatoires en matière de conservation des données, comme les États-Unis. Comment garantissez-vous le respect de votre politique de « no logging » lorsque les utilisateurs sont connectés à ces serveurs ?
"Nous sommes un VPN basé à Hong Kong et il n'y a pas de loi obligatoire sur la conservation des données ici. De plus, nous choisissons avec soin les centres de données qui conviennent à notre politique de confidentialité. Toute non-conformité à nos exigences est en conséquence informée et réglée dans les contrats que nous concluons avec des centres de données tiers avant l'acquisition de services dans ces pays. »
Q.4) Quelle est la réponse de l'entreprise si vous recevez un mandat ou une ordonnance du tribunal pour divulguer les informations d'un client ?
« Nous avons ouvertement mentionné dans notre politique de confidentialité que :
PureVPN a spécifiquement choisi Hong Kong (HK) pour son siège social car il n'y a pas de "lois obligatoires sur la conservation des données" à Hong Kong. Nous ne sommes donc pas légalement tenus de stocker les données des utilisateurs et de les partager avec qui que ce soit. De plus, comme indiqué ci-dessus, nous n'avons aucune donnée utile à partager avec un organisme d'application de la loi d'un pays en particulier dans le monde. Même si nous recevons des citations à comparaître qui sont légalement confirmées par le tribunal de Hong Kong, nous ne serons pas d'une grande aide car nous n'avons presque rien de valeur à partager.
Q.5) Compte tenu de la situation actuelle à Hong Kong – la région dans laquelle vous êtes basé – et de la menace de la Chine pour la souveraineté de la région, comment cela pourrait-il affecter l'engagement de PureVPN à rester un VPN sans journal à l'avenir ?
« Nous en sommes conscients, mais pour le moment, nous ne voyons rien qui puisse avoir un impact sur PureVPN. Nous sommes constamment à l'affût ici et prendrons les mesures nécessaires lorsque le temps ou les circonstances l'exigeront.
Dernières pensées
PureVPN a certainement parcouru un long chemin. Le cabinet d'audit confirmant maintenant la réclamation de PureVPN en matière de journalisation, l'entreprise est prête à prendre un nouveau départ et à renforcer sa réputation d'entreprise qui respecte avant tout la vie privée de l'utilisateur.
C'est peut-être ce qui sépare les entreprises avant-gardistes et centrées sur le client de celles qui languissent inévitablement dans l'inutilité – un destin contre lequel PureVPN continue de faire des progrès significatifs. Vous pouvez également consulter nos avis VPN approfondis pour Hong Kong si vous recherchez un VPN dans le pays.