Récemment j’ai eu une discussion assez intéressante avec un collègue en infosec concernant les données privées transitant via des VPN gratuits comme Psiphon, Rocket VPN, Robo VPN, VPN Master, Hola VPN… etc, et surtout Hotspot Shield qui est utilisé au Maroc que ce soi par des particuliers ou certains « professionnels », la question qui s’est posée est: est-il prudent d’utiliser Hotspot Shield?

Hotspot Shield Logo

Premièrement parlons du produit en lui même et de ce qu’il permet de faire. Hotspot Shield est un VPN gratuit, il permet de:

  • Cacher votre vraie adresse IP vis-à-vis des plates-formes que vous allez visiter.
  • Crypter les données entre l’appareil où Hotspot Shield est installé et les serveurs de Hotspot Shield, ce qui fait en sorte que votre fournisseur de services internet, votre gouvernement ainsi que tout autre organisme ayant la capacité de capturer votre trafic internet ne pourra pas savoir ce que vous faites.

Pour savoir si Hotspot Shield est fiable il faut étudier deux points:

  • Le business model du produit.
  • Les conditions d’utilisation.

Le business model de Hotspot Shield

Hotspot Shield existe en deux versions: la version gratuite et la version Elite (payante), en matière de fonctionnalité il n’y a pas une grande différence en plus du fait que dans la version gratuite le client du logiciel vous affiche des publicités.

Pensons logiquement:

Que gagne la société de ce produit en offrant ses services gratuitement? n’y a-t-il pas des coûts derrière? la plate-forme, les développeurs, les administrateurs, les commerciaux… etc, est ce que la pub est suffisante?

La réponse est OUI la publicité est suffisante quand elle est basée sur vos tendances, la société en question analyse votre trafic internet et vous propose des publicités adéquates.

Le plus dangereux ici est que cela veut dire qu’ils enregistrent ce que faites.

Les conditions d’utilisation de Hotspot Shield

En lisant les conditions d’utilisation de ce produit on peut facilement trouver que la société collecte les données des utilisateurs:

“Automatically Collected” Information. When you use our Service, we may automatically record certain information from your web browser by using different types of proprietary technology (such as cookies), which may include your IP address or unique device ID.

Que cette société utilise vos données afin de vous afficher des publicités ciblées:

We may use cookies and automatically-collected information we collect on our Service to: (i) provide customized advertisements, content, and information; (ii) monitor and analyze the effectiveness of Service and third-party marketing activities; and (iii) monitor aggregate site usage metrics such as total number of visitors and pages viewed.

Et que cette société même pour juste pour « coopérer » avec un organisme gouvernemental pourra leur livrer vos données:

AnchorFree may disclose any information, including Personal Information provided by you, if required to do so by law or in the good-faith belief that such disclosure is necessary to comply with state, federal, or international laws (such as export control, copyright or criminal laws), in response to a court order, judicial or other government subpoena or warrant, or to otherwise cooperate with law enforcement or other governmental agencies.

C’est la même chose pour Rocket VPN, dans leurs conditions d’utilisation ils stipulent transférer vos données personnelles non seulement à des organismes gouvernementaux mais aussi à des organismes tiers (vente de données):

You understand and agree that Liquidum may be required to disclose any personal information if required to do so by law or in the belief that such disclosure is reasonably necessary to avoid liability, to comply with legal process, including, but not to a subpoena, statute, search warrant, or court order, or to protect the property and rights of Liquidum or a third party, to protect the safety of the public or any person, or to prevent or stop activity Liquidum may consider to be, or to pose a risk of being, illegal, unethical or legally actionable. Note that Liquidum is not required to question or contest the validity of any search warrant, subpoena or other similar governmental request that it may receive.

Liquidum may also disclose information about you if it determines that such disclosure is reasonably necessary to enforce the terms and conditions of the Application or to protect its operations or users. Additionally, Liquidum may sell, transfer or otherwise share some or all of its assets, including your Personal Information, in connection with a merger, acquisition, reorganization or sale of assets or in the event of bankruptcy.

Est-il prudent d’utiliser des VPN gratuits?

Le seul cas où c’est acceptable d’utiliser ce genre de produits est quand vous voulez voir une vidéo non disponible dans votre pays, toute autre opération qui comporte un minimum de danger ne doit jamais se faire via ce type de services.

Dans le cas de Psiphon on vous le dit clairement dans leurs conditions d’utilisation:

Psiphon is designed to provide you with open access to online content. Psiphon does not increase your online privacy, and should not be considered or used as an online security tool.

Surtout n’utilisez pas ce genre de services pendant vos tests d’intrusions ou scans.

Laisser un commentaire