Le vent du changement souffle sur l’industrie du VPN. Il n’y a plus de zones grises à masquer par les fournisseurs. Vous êtes soit un mauvais fournisseur sans journaux auquel les utilisateurs peuvent faire confiance, soit vous êtes condamné aux livres d’histoire. Il n’y a pas de maison de transition.

Eh bien, en mai 2020, HMA (L’artiste anciennement connu sous le nom de Hide My Ass!) est officiellement un fournisseur de bad ass ‘No Logs’. C’est vrai, HMA ne conserve aucun journal. Autrement dit, il ne conserve aucun journal d’importance. Examinons un peu cela.

[[post-object type= »divider » /]]

Selon Politique mise à jour de HMA, il n’enregistre plus aucun des éléments suivants:

• Votre adresse IP d’origine. En 2019, HMA a commencé à anonymiser le dernier octet de toute adresse IP connectée à ses serveurs (par exemple, 92.113.234.243 deviendrait 92.113.234.000).
• N’importe laquelle de vos requêtes DNS. HMA utilise des serveurs DNS auto-hébergés sans journal afin que les requêtes soient également protégées contre l’exposition à des tiers.
• Lorsque vous étiez connecté. C’est un gros problème. Bien que HMA enregistre toujours le jour où les utilisateurs se sont connectés, il ne collecte pas les horodatages des connexions.
• Exactement combien de données sont transférées. Encore une fois, il s’agit d’un changement important, car le transfert de données peut potentiellement être utilisé pour créer des images de l’activité, ce qui rapproche le HMA du Saint-Graal.
• Activité. C’est un peu évident, mais HMA indique clairement dans sa politique qu’il n’enregistre aucune activité utilisateur, y compris les sites auxquels vous vous connectez, les services que vous essayez, les applications que vous exécutez, les flux que vous regardez, etc.

Qu’y a-t-il dans une politique?

Au cœur de la prémisse des VPN grand public, l’utilisateur doit lui faire plus confiance qu’il ne fait confiance à son fournisseur de services Internet. L’utilisation d’un VPN pousse essentiellement la question de la confidentialité plus en amont. Plutôt que votre FAI (et par procuration, les autorités) soit votre passerelle vers Internet, vous les contournez et faites confiance à votre fournisseur VPN.

Maintenant, les fournisseurs VPN ne sont pas au-dessus de la loi. Ils sont obligés de se conformer si et quand les autorités de leur juridiction viennent frapper (ou bien la juridiction du serveur en question, mais c’est une conversation pour une autre fois). Ils peuvent traîner les pieds, mais ils n’ont finalement d’autre choix que de remettre tous les journaux qu’ils détiennent aux utilisateurs… à moins qu’ils n’aient pas de journaux à remettre, bien sûr.

C’est pourquoi la grande majorité ou les fournisseurs diffusent désormais «aucun journal» sur leurs pages de vente. Le concept est simple: si vous ne tenez aucun registre, vous n’avez rien à remettre aux autorités. Le problème est que lorsque vous décochez ces politiques de confidentialité, vous vous rendez compte que c’est un peu plus compliqué que «journaux» vs «pas de journaux». Le fait est qu’il est techniquement impossible de faire fonctionner un réseau VPN de qualité sans au moins une journalisation.

En fin de compte, la question est de savoir si ces journaux peuvent être utilisés pour peindre une image suffisamment précise pour identifier les utilisateurs sur le réseau. Ce qui est enregistré par un fournisseur est généralement enterré sur la 497e page de la politique de confidentialité, écrite dans un jargon juridique qui n’a aucun sens, même pour le lecteur le plus sophistiqué.

Quelle est la politique de non-journalisation de HMA?

HMA a un passé troublé en termes de connexions conservées… mais elle a toujours été assez explicite sur ce qu’elle a fait et n’a pas enregistré.

La nouvelle politique est rédigée en anglais simple et n’est pas seulement claire sur ce qu’elle ne consigne pas, mais elle précise également exactement ce qu’elle enregistre. Jetons donc un œil à cela aussi:

• Les dates auxquelles vous vous connectez. HMA dit que cela se fait exclusivement pour le dépannage et le service client. Comme mentionné ci-dessus, il ne suit pas les horodatages spécifiques, juste le jour et si c’était le matin (12 h) ou le soir (12 h).
• Une idée générale de la quantité de données transmises. Comme nous l’avons dit précédemment, les montants de transfert de données spécifiques ne sont pas enregistrés, mais la nouvelle politique dit qu’elle garde un onglet général sur la transmission des données. Ceci est fixé au premier chiffre. Donc, si vous transmettez / recevez 235 Mo, il en enregistre 300. Si vous transmettez / recevez 7 589 Mo, il en enregistre 7 000. Le fournisseur dit qu’il le fait pour planifier la capacité du réseau et pour prioriser les améliorations de son architecture réseau.

Et c’est tout. Donc, enlevez tout le mumbo jumbo – disons que vous avez demandé à HMA exactement ce qu’il savait de votre activité. Cela ne pourrait rien vous dire de plus que « une entité connectée dans l’après-midi du 24 juin et transmise entre 300 et 400 Mo de données. « 

Et il supprime toutes ces données en 35 jours. Pour récapituler, c’est non journalisation des adresses IP d’origine, non journalisation des requêtes DNS, non enregistrement des horodatages des connexions, et non enregistrement de la quantité exacte de données transférées.

Personne ne peut effacer le passé, mais il peut en tirer des enseignements et grandir. HMA a eu quelques problèmes au cours des années, mais la distance entre l’entreprise que nous connaissions autrefois et celle que nous voyons aujourd’hui n’est rien de moins que astronomique. Sa politique de confidentialité est claire sur ce qu’elle collecte et pourquoi, et son produit a toujours été difficile à critiquer. Son infrastructure de serveur éclipse de nombreux fournisseurs de premier plan et la dernière version du client comprend des fonctionnalités assez décentes comme IP Refresh.

La nouvelle politique de journalisation l’aligne sur les fournisseurs les plus fiables et ces réclamations sont actuellement vérifiées et examinées par un auditeur tiers (nous joindrons les résultats à cet article lorsque nous les verrons).

Nous réexaminerons le service de HMA à partir de zéro dans les semaines à venir avec un esprit ouvert et de l’espoir dans nos cœurs. Surveillez cet endroit.

Si vous souhaitez en savoir plus sur les modifications apportées par HMA à leur service, consultez leur article de blog récent.