La semaine a été difficile pour ExpressVPN. Tout d’abord, la société a annoncé qu’elle avait été rachetée par Kape Technologies, puis la nouvelle est tombée que son responsable des technologies de l’information et de la communication (CIO), Daniel Gericke, avait été accusé d’avoir enfreint les lois sur le piratage informatique alors qu’il travaillait pour les Émirats arabes unis sur le projet Raven, avant de rejoindre le service VPN.  

Cette dernière affaire a fait plus de bruit que la première, mais qu’est-ce que cela signifie pour vous en tant que client d’ExpressVPN ? Ou futur utilisateur du service ? Devriez-vous tout de même l’utiliser ? Nous tentons de répondre à ces questions ci-dessous.

Qu’est-ce que Kape Technologies ?

Kape est la nouvelle société mère de ExpressVPN. Elle possède déjà CyberGhost, Private Internet Access et ZenMate, trois autres services VPN bien connus. Elle est également propriétaire de l’antivirus Intego et de plusieurs autres sociétés spécialisées dans la sécurité et la confidentialité.

Kape s’appelait auparavant Crossrider et la raison principale de ce changement de nom était d’essayer de se dissocier de son passé plutôt méprisable dans lequel elle créait des extensions de navigateur et des “produits ad tech”, mieux connus sous le nom de technologies publicitaires. Ces derniers permettaient à des développeurs tiers de détourner les navigateurs web, de rediriger les utilisateurs vers des publicités et de collecter leurs données personnelles. Or, c’est le contraire de ce que vous souhaitez en tant que client d’un VPN ou d’un antivirus.

Selon Kape, l’entreprise ne produit plus de logiciels publicitaires et se concentre désormais entièrement sur les produits de sécurité grand public. Pourtant, elle compte toujours parmi ses marques des produits tels que Restoro, un outil d’optimisation pour PC qui se calque sur l’ancien outil Reimage, qui avait une très mauvaise réputation.

Celle de Restoro n’est guère meilleure. Certains antivirus le signalent comme un malware tandis que d’autres le considèrent simplement comme un PPI, programme potentiellement indésirable. Son site Web fait des déclarations trompeuses sur sa certification par McAfee et Norton, tandis que les avis des utilisateurs se plaignent d’un service clientèle médiocre et d’un produit de mauvaise qualité.

En quoi cela affecte-t-il ExpressVPN ?  

En théorie, il y a très peu de différence. La société applique déjà une politique de journalisation zéro (et a été auditée à plusieurs reprises pour le confirmer) et est allée plus loin en faisant vérifier ses applications pour s’assurer que personne ne pouvait y infiltrer de logiciels malveillants.

Ainsi, ExpressVPN ne sait pas ce que vous faites lorsque vous utilisez son service et n’enregistre aucune information sur le moment et la durée de votre utilisation.

La principale raison pour laquelle ExpressVPN n’est pas dans notre Top 5 des meilleurs services VPN est son prix élevé : il est environ deux fois plus cher que de nombreux rivaux.

Juste avant l’annonce officielle de l’acquisition par Kape, un porte-parole d’ExpressVPN nous a mis au courant de la nouvelle en déclarant que ExpressVPN continuera à fonctionner au jour le jour en tant que service indépendant, avec son équipe internationale existante et sa direction, y compris ses deux co-fondateurs et co-directeurs. Nous continuerons à maintenir nos engagements forts en matière de confidentialité envers nos utilisateurs, y compris notre politique de ne collecter aucun journal d’activité ou de connexion, et notre pratique établie d’audits indépendants par des tiers.

Cyberghost, PIA et ZenMate fonctionnent également comme des sociétés indépendantes.

Cependant, si vous creusez le site de Cyberghost, vous constaterez qu’elle se réserve le droit de partager des données personnelles avec Kape. Comme Kape est une société basée au Royaume-Uni, tout litige est traité selon le droit anglais. La situation est la même pour les utilisateurs de ZenMate. C’est un peu différent avec PIA, car cette société est basée aux États-Unis et c’est déjà une juridiction défavorable à la protection de la vie privée.

Le Royaume-Uni est l’un des cinq yeux et une juridiction à éviter lors du choix d’un VPN. Mais Cyberghost affirme que cela protège en fait les clients : le droit français est conforme au RGPD et, pour ce qui est de la juridiction, en cas de demandes d’information pour le service VPN, il relève toujours du droit roumain (car c’est là où Cyberghost est basé) qui est beaucoup plus favorable à la vie privée.

Ainsi, bien que ExpressVPN affirme qu’il sera indépendant, il est probable qu’il mettra à jour ses conditions générales et sa politique de confidentialité. Il y indiquerait qu’il pourrait lui aussi partager vos données avec sa nouvelle société mère. Et peut-être aussi avec ses sociétés sœurs.

Encore une fois, rappelez-vous qu’il n’y a aucune information enregistrée sur votre activité, les sites que vous visitez, les fichiers que vous téléchargez, en raison de la politique de zéro log. Les seules données personnelles sont donc les informations que ExpressVPN détient sur votre compte, telles que votre nom, votre adresse email et, éventuellement, vos données de paiement.

Qu’en est-il de Daniel Gericke ?

C’est le passé du CIO de ExpressVPN qui inquiète le plus. M. Gericke a travaillé sur le projet Raven, conçu pour aider les Émirats arabes unis à espionner leurs ennemis et rivaux ; il a été accusé d’avoir enfreint les lois américaines sur le piratage informatique avec deux autres anciens agents du renseignement américain (Marc Baier et Ryan Adams).

ExpressVPN affirme qu’il connaissait la plupart des antécédents de Gericke avant de l’embaucher en 2019 et que c’est en raison de ses antécédents qu’il a été recruté.

Dans un billet visant à apaiser les craintes des clients, l’entreprise ajoute qu’ils ne connaissent pas les détails des activités classifiées, ni d’aucune enquête avant sa résolution ce mois-ci.

Elle poursuit en disant qu’il est profondément regrettable que les récentes nouvelles concernant Daniel Gericke aient créé des inquiétudes parmi les utilisateurs et aient donné à certains des raisons de remettre en question leur engagement envers leurs valeurs fondamentales. Et que, même si l’expertise de Daniel et la façon dont elle nous a aidés à protéger nos clients sont appréciés, le Projet Raven n’est pas cautionné. La surveillance qu’il représente est complètement contraire à notre mission.

Elle déclare également que certains peuvent se demander : comment pouvons-nous inviter volontairement quelqu’un avec le passé de Daniel dans notre milieu ? La réponse est claire : nous protégeons nos clients. 
Et, pour faire ce travail efficacement, il faut exploiter toute la puissance de feu de nos adversaires. Les meilleurs gardiens de but sont ceux qui sont formés par les meilleurs attaquants. Quelqu’un qui a fait ses classes dans le domaine de l’attaque, comme Daniel, peut offrir des perspectives sur la défense qui sont difficiles, voire impossibles, à trouver ailleurs. C’est pourquoi il existe un précédent bien établi d’entreprises de cybersécurité qui embauchent des talents issus de l’armée ou des services de renseignement.

ExpressVPN a pleinement confiance en Gericke et affirme que ses systèmes sont conçus de telle sorte que même s’il était malhonnête, il n’aurait pas les autorisations nécessaires pour apporter des modifications aux serveurs VPN.

Tout le monde n’est pas aussi confiant. Edward Snowden n’a pas mâché ses mots dans son tweet :

Mais il n’a pas donné d’autres explications, se contentant de citer un tweet de Joseph Menn.

L’utilisation de ExpressVPN est-elle sûre ?

La question fondamentale que vous devez vous poser avant d’utiliser un service VPN est de savoir si vous faites confiance à la société à laquelle vous confiez toutes vos données.

Rappelez-vous qu’un VPN achemine tout le trafic Internet de votre appareil (sinon la totalité, du moins une partie) à travers un serveur Internet avant d’atteindre sa destination finale.

Bien qu’il soit chiffré, c’est seulement jusqu’à ce qu’il arrive sur le serveur. Il est décrypté avant d’être envoyé à Amazon, Netflix ou tout autre site web que vous visitez.

Une partie du trafic restera chiffrée, elle l’aurait été de toute façon, que vous utilisiez un VPN ou non, mais une autre partie ne le sera pas.
Êtes-vous sûr que votre fournisseur de VPN ne peut pas voir ces données, qu’il ne les stocke pas et ne les partage pas ?

C’est pourquoi les audits tiers sont si importants et que les services qui n'ont pas été audités vous demandent de leur faire confiance. Vous devez les prendre au mot.

Et cela nous amène à une autre question : pourquoi avez-vous besoin d’un VPN ?

Si vous essayez simplement de regarder des vidéos bloquées alors il y a de fortes chances que rien de tout cela n’ait vraiment d’importance. Vous ne vous fiez pas à la politique de confidentialité du VPN.

ExpressVPN s’en chargera très bien pour vous, même si son prix est plus élevé que celui de ses concurrents. Mais là encore, il est meilleur que la plupart de ses rivaux en matière de déblocage.

D’autre part, s’il vous est inconcevable que vos données tombent entre de mauvaises mains, alors vous avez fort intérêt à être certain que le VPN utilisé est aussi sûr qu’il le prétend.

Les services VPN ont tendance à faire des déclarations excessives. Vous verrez souvent qu’un VPN vous assure l’anonymat en ligne (ce n’est pas le cas) et qu’il est le plus rapide et le plus sûr du marché.

C’est pourquoi il est intéressant de noter cette partie de la politique de confidentialité d’ExpressVPN : “Bien que nous estimions que ces systèmes sont robustes, il est important de comprendre qu’aucune mesure de sécurité des données au monde ne peut offrir une protection à 100 %”.

Donc, s’il peut y avoir une réponse claire et nette à tout cela, c’est bien celle-là. Aucun VPN ne peut offrir une protection à 100 %, y compris ExpressVPN. Peut-être choisirez-vous de continuer à l’utiliser, peut-être déciderez-vous que c’est le moment de changer de service.

Rappelez-vous simplement que si vous dépendez fortement de la confidentialité et de la sécurité d‘un VPN alors il est peu probable qu’un service grand public soit à la hauteur.

Ceci est l'adaptation de l'article original paru sur notre site sœur Techadvisor.