En décembre 2019, i2Coalition – une voix de premier plan pour les sociétés d’hébergement Web, les centres de données, les bureaux d’enregistrement de domaines, les fournisseurs d’infrastructure cloud, les fournisseurs de services gérés et d’autres technologies Internet centrales – a lancé la VPN Trust Initiative (VTI).

L’avenir de l’industrie VPN

VTI est un consortium dirigé par le secteur d’entreprises VPN de premier plan, engagées à améliorer l’industrie des VPN pour les consommateurs et les VPN, en établissant un ensemble de directives transparentes pour la fourniture de services VPN conformément aux meilleures pratiques du secteur informées par des experts.

VTI veut essentiellement cultiver un environnement d’autorégulation pour l’industrie VPN qui permet aux consommateurs de vérifier rapidement et facilement si un service VPN est à la hauteur. Le message promu par VTI est que les VPN ne sont pas tous créés égaux:

Les VPN garantissent essentiellement que les flux de données entre les points de terminaison sont privés et sécurisés. Et si certains VPN protègent avec succès les utilisateurs, d’autres peuvent – accidentellement ou intentionnellement – exposer les utilisateurs à des risques plus importants. Les services VPN qui ne répondent pas aux demandes ou aux attentes des utilisateurs peuvent mettre en péril la sécurité tant professionnelle que personnelle.

Désormais, la coalition dirigée par ses membres a publié un ensemble de bonnes pratiques visant à établir ces principes de base du VPN. En suivant ces meilleures pratiques, les membres de la coalition bénéficieront d’une confiance accrue de la part des consommateurs, se distinguant du grand nombre de services VPN de cow-boy qui existent sur le marché – des services dont les études ont révélé qu’ils ne parviennent pas à assurer la confidentialité et la sécurité dans de nombreux domaines clés.

Au cours des dernières années, le nombre de fournisseurs de services VPN a grimpé en flèche. Du point de vue sociétal, il s’agit d’un virage positif, donnant aux gens la liberté de choisir comment et par qui leurs données doivent être traitées. Cependant, la croissance de l’industrie a également apporté un manque de clarté. Les fournisseurs de VPN fonctionnent de différentes manières, et tous n’appliquent pas nécessairement les meilleures normes lors du développement de leur service. VTI l’a compris et a cherché à créer un ensemble de principes: des lignes directrices sur lesquelles les services pourraient s’appuyer. Nous espérons que ces principes aideront l’industrie à devenir plus digne de confiance, transparente et sûre.

Tom Okman, co-fondateur de NordVPN

Cinq principes clés

Les cinq principes clés publiés cette semaine sont Un pas dans la bonne direction pour améliorer la confiance dans l’industrie VPN dans son ensemble. Et, même si cela permettra essentiellement aux membres du VTI – tels qu’ExpressVPN, NordVPN, Hide.me, VyprVPN, Surfshark, IPVanish et Ivacy – de se démarquer du reste du marché, il devrait également permettre des services plus récents et peut-être inférieurs à tirez leur bootstraps pour améliorer leurs services. Alors, quels sont les cinq principes qui ont été annoncés?

Le premier principe tourne autour Sécurité – une partie intégrante de tout service VPN. Le principe de sécurité stipule que «les VPN utiliseront les mesures de sécurité nécessaires, y compris des protocoles de cryptage et d’authentification solides, pour faire face aux risques de manière appropriée». En outre, il demande aux fournisseurs de services VPN de:

• Suspendre les authentificateurs compromis en cas d’incident de sécurité
• Utilisez l’authentification basée sur les jetons lorsque cela est possible
• Ne stockez jamais les noms d’utilisateur et les mots de passe en texte brut
• Aide à empêcher le partage des clés entre les utilisateurs

Il s’agit d’un ensemble de paramètres solides pour la mise en œuvre d’une sécurité fiable et robuste par n’importe quel VPN, un bon début.

Ensuite, VTI se concentre sur meilleures pratiques publicitaires. Il demande aux fournisseurs de VPN d’utiliser un langage clair et transparent. Il leur demande également de s’assurer de toujours faire des déclarations exactes qui ne sont pas trompeuses. Encore une fois, il s’agit d’un ensemble de normes important, car des études ont déjà révélé que certains fournisseurs de VPN trompent sciemment les consommateurs sur les niveaux de sécurité auxquels ils peuvent s’attendre, que ce soit à cause d’un cryptage inférieur ou mal implémenté – ou de fuites de données critiques survenant en raison de à l’application.

le intimité Le principe appelle tous les fournisseurs de VPN à indiquer clairement quels journaux ils conservent, pourquoi ils les conservent et pendant combien de temps. Les VPN sont également invités à «conserver aussi peu de données qu’ils le jugent nécessaire pour fournir le service, et à ne produire des données aux forces de l’ordre que lorsque la loi l’exige». Cette exigence semble un peu terne, étant donné que les VPN peuvent être des services sans journalisation qui n’ont inévitablement aucun enregistrement à remettre aux autorités.

Cela dit, il est possible que dans certains cas, les fournisseurs de VPN basés dans des pays qui ont des exigences de données obligatoires strictes puissent avoir besoin de conserver certains journaux, et dans ces cas, le principe indique clairement que ces services doivent être francs en ce qui concerne ces exigences et les risques potentiels qu’elle peut entraîner pour les consommateurs.

Les deux derniers principes tournent autour divulgation et transparence et la responsabilité sociale. Ils appellent les fournisseurs de VPN à renforcer la confiance au sein de l’industrie en prenant des mesures pour clarifier davantage leurs procédures. Cela se fait en publiant des rapports de transparence, en expliquant avec quels tiers ils peuvent travailler et pourquoi, et en soutenant la liberté d’expression et en contribuant aux initiatives open source qui sont au cœur de l’industrie VPN.

Conclusion

Dans l’ensemble, c’est un ensemble solide de bases cela permettra à l’industrie VPN d’améliorer son image aux yeux des consommateurs et des technologues. Il ne fait aucun doute que les nombreux écarts entre le nombre toujours croissant de VPN destinés aux consommateurs disponibles sur le marché prêtent à confusion.

L’absence de principes tels que ceux énoncés par VTI a permis à des services médiocres de se promulguer en grande partie sans opposition, et dans de nombreux cas, cela entraîne de graves risques pour les consommateurs qui sont aspirés.

Les principes de l’IVT commencent à créer un environnement d’autorégulation qui améliorera considérablement la responsabilité au sein du secteur. En conséquence, les VPN deviennent plus difficiles à cibler par les autorités gouvernementales, désireuses d’en voir le dos, en raison des vastes avantages de confidentialité qu’ils offrent aux membres clés de la société civile. Qu’il s’agisse d’activistes, de journalistes ou de dissidents politiques qui se battent pour un monde meilleur.

La confidentialité en ligne n’est pas seulement un privilège – c’est un droit humain fondamental pour chaque personne sur la planète. Les principes VTI représentent une avancée majeure pour l’industrie et nous sommes fiers de jouer notre rôle.

Sebastian Schaub, PDG et fondateur de Hide.me