Les membres du gouvernement américain appellent à agir contre le marketing VPN trompeur.
Deux démocrates du congrès américain ont écrit une lettre (s’ouvre dans un nouvel onglet) à la Federal Trade Commission pour exhorter la présidente Lina Khan « à prendre des mesures coercitives contre les acteurs problématiques de l’industrie des réseaux privés virtuels (VPN) grand public », sur la base de ce qu’ils considèrent comme un problème sérieux : « la publicité trompeuse et les pratiques de collecte de données ».
La lettre, du sénateur Ron Wyden et de la représentante Anna G. Eshoo, fait suite à la décision de la Cour suprême dans Dobbs c. Jackson, qui a annulé les protections américaines contre l’avortement depuis des décennies. L’un des résultats de la décision Dobbs, écrivent les membres du Congrès, est que les VPN sont recommandés comme outil de confidentialité alors que les données de navigation, l’historique de localisation et même les applications de suivi des périodes pourraient être militarisées dans les États qui criminalisent l’avortement.
« Alors que la récente décision de la Cour suprême dans l’affaire Dobbs c. Jackson Women’s Health Organization a amplifié les inquiétudes concernant la confidentialité de la reproduction numérique, on dit de plus en plus aux personnes cherchant à avorter que l’installation d’un VPN est une étape importante pour se protéger lorsqu’elles recherchent des informations sur l’avortement dans les États qui ont interdit et l’avortement criminalisé », indique la lettre.
Critique du Congrès sur les pratiques VPN
Wyden et Eshoo affirment que le manque de surveillance de l’industrie du VPN, « les déclarations fausses et trompeuses sur leurs services » et « la vente de données d’utilisateurs et la fourniture de journaux d’activités d’utilisateurs aux forces de l’ordre » sont des préoccupations pressantes pour les demandeurs d’avortement vivant dans des États qui sont dans le processus de criminalisation.
La lettre fonde son argumentation sur un livre blanc détaillé de 2021 de Consumer Reports, qui a examiné 16 fournisseurs de VPN populaires pour la sécurité et la confidentialité des données. Une partie du rapport est dense et technique, tandis que d’autres sections plongent dans le langage marketing déroutant et trompeur que de nombreux VPN utilisent pour se gonfler. Un exemple populaire était le « cryptage de niveau militaire » – comme l’a souligné Consumer Reports, « il n’y a pas de norme VPN spécifique pour » l’armée « et ce terme est souvent un signal d’alarme pour les professionnels de la sécurité ».
L’étude de Consumer Reports est une preuve solide que les VPN ne sont, à tout le moins, pas des outils infaillibles pour l’anonymat en ligne. Il y a beaucoup de données sur des fournisseurs spécifiques à approfondir, mais voici quelques points particuliers qui m’ont marqué :
- Dans les conditions d’utilisation ou la politique de confidentialité de nombreux VPN, il n’y avait aucune preuve de procédures internes solides pour les audits ou pour empêcher l’accès non autorisé par les employés. Et certains VPN qui avaient des audits de sécurité tiers ne les ont pas mis à la disposition du grand public ou les ont menés de manière incohérente.
- Nous avons constaté que chaque société VPN que nous avons évaluée pourrait faire mieux lorsqu’il s’agit de s’engager à permettre aux utilisateurs d’obtenir les informations des utilisateurs publics et privés que la société détient, y compris les utilisateurs non couverts par le CCPA ou le RGPD.
- De nombreux VPN que nous avons testés pourraient s’améliorer en fournissant des périodes de conservation spécifiques pour toutes les données qu’ils collectent.
- Les consommateurs doivent savoir que même si de nombreux fournisseurs de VPN indiquent qu’ils ne conservent pas de journaux, cela ne peut généralement pas être vérifié et, dans de nombreux cas, des journaux ont été trouvés sur le système Windows local, qui comprenaient des noms d’utilisateur, des e-mails, des adresses IP et d’autres informations potentiellement sensibles.
- Non seulement les fournisseurs de VPN peuvent voir votre véritable adresse IP, mais les entreprises peuvent également utiliser de nombreuses autres méthodes pour suivre les utilisateurs, telles que les empreintes digitales de l’appareil, les empreintes digitales du navigateur, les cookies Web, les pixels de suivi, etc. Les sites Web demandent souvent des données qui peuvent identifier l’emplacement géographique des personnes, telles que les réseaux Wi-Fi, l’emplacement de l’appareil basé sur le GPS, l’identification de la tour cellulaire (ID de cellule CDMA ou GSM), et plus encore. Diverses entreprises collectent un large éventail de données, au-delà des adresses IP, et vendent ces informations à des courtiers en données. De nombreux risques contre lesquels les consommateurs utilisent les VPN pour tenter de se protéger sont déjà largement atténués grâce à l’utilisation du HTTPS. Et de nombreux risques, tels que l’ingénierie sociale, ne sont pas atténués par l’utilisation d’un VPN.
Consumer Reports a mis en évidence un cas de 2018 dans lequel VPN IPVanish a fourni des journaux de données utilisateur au Département américain de la sécurité intérieure, bien que son site Web ait affirmé qu’il ne conservait aucun journal. Mais d’autres cas ont prouvé que les VPN étaient véridiques sur le sujet, comme un procès pour piratage en 2018 dans lequel VPN Private Internet Access a témoigné qu’il ne pouvait produire aucune donnée de trafic en réponse à une assignation à comparaître.
Le fait est que s’abonner à presque tous les VPN comporte un certain degré de risque : vous croyez qu’ils ne conservent vraiment aucun journal, et cacher votre adresse IP n’est pas la protection de la vie privée garantie que certains marketing VPN prétendent être.
Si vous êtes déjà abonné à un VPN ou envisagez d’en utiliser un, les recommandations de Consumer Reports offrent une ventilation concise de ce qu’il faut rechercher et mettent en évidence trois VPN qui ont obtenu les meilleures notes en matière de confidentialité et de sécurité. Mais la question est maintenant de savoir si la FTC envisagera de réglementer la manière dont les VPN traitent les données des utilisateurs ou la manière dont ils sont commercialisés.
La lettre d’Eshoo et Wyden à la FTC demande à la commission de « prendre des mesures immédiates en vertu de l’article 5 de la loi FTC pour limiter les pratiques abusives et trompeuses en matière de données dans les entreprises fournissant des services VPN pour protéger les internautes cherchant à avorter ». La section 5, décrite ici, déclare de manière générale les « pratiques trompeuses » illégales qui peuvent induire les consommateurs en erreur et habilite la FTC à édicter des plaintes ou des sanctions pour ces violations. Mais même si la FTC se tourne vers les VPN, il faudra peut-être des mois ou des années avant que cela n’ait un effet réel.
La deuxième demande de la lettre peut avoir des avantages plus immédiats pour ceux qui cherchent à avorter : elle demande à la FTC de « développer une brochure pour les demandeurs d’avortement sur la meilleure façon de protéger leurs données, y compris un aperçu clair des risques et des avantages de l’utilisation du VPN ».
La présidente de la FTC, Lina Khan, n’a pas encore répondu spécifiquement à la lettre, mais la commission a publié une déclaration le 11 juillet indiquant qu’elle « s’engage à appliquer pleinement la loi contre l’utilisation et le partage illégaux de données hautement sensibles ».