Bonjour à tous.

Voici une question que je me pose depuis quelques temps, d'autant que j'organise dans le cadre de mon travail des conférences sur le numérique et la parentalité, surtout à destination de "collégiens" (parents, profs, élèves...). Cela reprend pas mal de sujets, j'aborde (vulgarisation) un peu de technique pour que les professeurs et les parents comprennent le B.A.BA de la communication. Il y a une partie qui concerne le cyber harcèlement, les lois, etc. Je mets donc en parallèle le fait qu'on laisse des traces. (J'aime bien faire un tour sur notre Firewall pendant les démos, ça fait son effet)
Bref.

Je n'ai pas eu jusqu'à présent de réelle question concernant les VPN. J'aborde légèrement le sujet.

La question que je me pose : alors qu'on nous oblige aujourd'hui à être capable de retracer une info sur une connexion (vigipirate...), que cela soit des agents ou du public, les VPN viennent "contredire" ces actions.

Pour beaucoup, on y parle d'anonymat, de No log.

Bullshit ?

J'ai essayé de lire quelques éléments à ce sujet directement sur les sites des principaux VPN, j'ai l'impression que cela reste un poil flou... Que l'on nous vend le fait que le No Log est actif, tout en jouant sur quelques formulations...

D'ailleurs, le fait que la missive récente du gouvernement pour que des VPN bloquent des sites d'IPTV ou des sites de contenu adulte ait fait lever des boucliers de la part de certains VPN, expliquant que cela remet en cause leur fond de commerce (s'ils sont capables de bloquer, cela veut dire qu'il n'y a pas de No log...).

Voici mes questions, si certains sont calés pour y répondre :
le véritable No Log est-il possible ?
Si demain, le gouvernement se rend compte qu'une attaque terroriste est en train de se préparer, peut-il contacter le VPN pour lui fournir des infos ?
Si le VPN n'est pas dans la capacité de lui les fournir, qu'elles sont les sanctions possibles ?
Est-ce qu'un FAI peut bloquer l'usage d'un VPN particulier si l'Etat n'aime pas ses agissements ?

Je pourrais poser directement la question aux fournisseurs de VPN, mais je ne suis pas certains qu'ils aient intérêts à me répondre, surtout si la réalité est plus subtile que leur communication !

Vos avis ?

Bonjour, en ce qui me concerne, m'occupant de la partie légale du numérique au boulot, je peux te donner les réponses suivantes (je précise que je suis en Belgique et que les choses peuvent différer en France).

Certains services fournisseurs d'accès VPN sont considérés comme "bulletproof" (par exemple Mullvad ou NordVPN, pour citer deux exemples connus). Ils répondent invariablement aux forces de l'ordre qu'ils ne conservent pas de données d'identification ou de logs. Si, par exemple, la gendarmerie contacte ce genre de service sur réquisition de justice, ils ne communiqueront pas d'informations, ou alors seulement parcellaires.

Ceci étant dit, le fait qu'ils ne communiquent rien ne signifie pas qu'ils ne conservent pas de logs, simplement qu'ils ne les communiquent pas et, de toute façon, ils doivent au minimum avoir une adresse mail utilisée lors de la création du compte et des informations sur le mode de paiement. En ce qui concerne tes dernières questions :

• Pour moi, un véritable no-log pourrait s'envisager, même une anonymisation parfaite, pas vraiment

• Sur décision de justice, un magistrat peut et va ordonner aux forces de l'ordre compétentes de contacter le gestionnaire du VPN afin d'obtenir les informations relatives aux connexions et/ou à l'utilisateur.

• Les sanctions possibles pourraient aller jusqu'à une condamnation en justice et une interdiction du service dans le pays émetteur de la décision de justice. Ceci dit, internet n'ayant pas vraiment de frontières, c'est toujours compliqué à appliquer

• Un FAI pourrait tout à fait bloquer les adresses IP connues, mais toujours sur décision de justice, en tout cas en Belgique (mais je vois mal les choses se passer différemment dans un autre pays de l'UE).

Si tu veux des informations relatives à la législation sur la cybercriminalité, qui encadre une partie de ce que tu demandes ici, je t'invite à te renseigner sur la convention de Budapest.

J'espère que ça t'éclaire un peu.

Il y a 6 heures, mjklex a dit :

Vos avis ?

Je ne sais pas répondre sur l'interrogation des logs.

Mais je vois 2 dangers dans les VPN:

• La sensation d'être "protégé". Beaucoup croient les yeux fermés les élucubrations commerciales de VPN notamment en terme de protection des données personnelles/vie privée. Si la personne se logue, se connecte au travers du VPN: elle donne autant d'info sur elle aux services. L'usage d'un VPN en protégeant sa vie privé nécessite d'avoir des sessions/navigateurs voire machines différentes (une VPN, une non). Sinon, des signatures peuvent parfaitement passer d'un monde à l'autre par les mécanismes intrinsèque de l'OS, des applis.

  • Et les gens baissent leur garde...

• Les faux VPN. J'en ai vu une fois en repair café: le VPN avait carrément installé un certificat racine de confiance auto-généré. La classe: il faisait donc un man-in-the-middle permanent...

  • Je n'ai plus le nom exact mais il mimait NordVPN (genre NorthVPN ou NordeVPN).

pour la question des logs je t'invites à consulter la ref en la matière

https://thatoneprivacysite.xyz/

comme tu pourra le constater très peu de vpn sont réellement proche du no log. le no log complet au sens où les utilisateurs le pensent est quasi impossible, un utilisateur se connectant n'importe où laisse des traces.

Pour le No Log des VPN il faut définir ce qu'on entends par no log mais il y en a 2-3 vpn qui sont assez bon, malgré cela tous ont des infos rien que le fait de savoir si t'es connecté ou pas sur combien d'appareils etc. Le point en général crucial est savoir s'ils gardent un historique d'IP qui s'est connecté où avec quelle ip etc. Ceux qui ne gardent quasi rien vont savoir quand même, temps que tu es connecté ton ip mais vont l'effacer quand tu te déconnectes. Le point crucial étant que aucun historique soit conservé après déconnexion. Les VPN pouvant le faire sont forcement basé dans des pays qui ont des lois souples sans accord d'échange avec le reste du monde.

Donc un VPN No Log qui serait hébergé dans un pays des 5 ou 14 eyes est forcement du bullshit car ils ont obligations de conserver ces données et transmettre ces données.

NordVPN qui est hébergé à Panama est tranquille par contre Mullvad étant en Suède donc dans les "14 eyes" on peux légitimement se poser la question malgré qu'ils annoncent du No Log.

Un VPN ne rend personne magiquement anonyme, il faut bien étudier toute la chaîne, c'est à dire qu'il faut être quasiment un psychopathe si tu veux t'en approcher. rien que l'email que tu va utiliser pour créer ton compte au vpn doit être relié à rien d'autre, puis tu le paie en cryto par exemple et il ne faut que jamais tu te loggues sur un site depuis une machine que tu utilises pour autre chose. C'est comme ça que plein de hacker ce sont fait chopper, à un moment ou un autre ils font une erreur.

il faut tout dédoubler, pc, comptes de partout limite aussi ta personalité ou tes habitudes de consommation il faut faire attention à ne pas avoir de point commun à aucun endroit. Attention aussi aux identifiants de publicités, trackers divers et varié inclus dans des images d'1 pixel.