Plus de 30 VPN évalués côte à côte en matière de confidentialité et de sécurité
Un VPN est désormais une nécessité pour quiconque tient à sa vie privée en ligne. Ils empêchent les pirates informatiques, les gouvernements, les entreprises et les fournisseurs de services Internet de surveiller et de retracer l'activité Internet jusqu'à l'utilisateur. Tout le trafic Internet est crypté et tunnelisé via un serveur distant afin que personne ne puisse suivre sa destination ou son contenu.
Utiliser un VPN nécessite un certain degré de confiance dans les entreprises qui exploitent ces services. Ils pourraient – et certains l’ont fait – surveiller et analyser le trafic qui transite par leurs serveurs. Ces entreprises peuvent à leur tour être piratées, maltraitées ou contraintes de divulguer des informations privées sur les utilisateurs.
De nos jours, tout VPN digne de ce nom vante une politique de confidentialité « sans journaux » et un cryptage fort. L’accord général est que le fournisseur n’enregistre aucune information sur le contenu du trafic Internet des clients. Cela semble assez simple, mais« aucun journal de trafic » ne signifie pas nécessairement zéro journal.
La plupart des fournisseurs de VPN, même ceux qui se vantent de leur politique sans journalisation, stockent en fait les journaux de métadonnées sur leurs serveurs. Celles-ci peuvent inclure une série d’informations sur la nature des connexions VPN d’un client, mais pas sur leur contenu réel. Les horodatages, la bande passante consommée, la quantité de données utilisée et même l'adresse IP d'origine de l'utilisateur peuvent tous être enregistrés par le fournisseur VPN. Entre les mains du FBI ou d’un pirate informatique, ces informations pourraient être précieuses.
De même, les fournisseurs de VPNles normes de chiffrement ne sont pas toujours annoncées de manière simple.La plupart vous informeront qu'ils utilisent AES 256 bits ou 128 bits pour le cryptage du canal, mais peuvent omettre des informations sur la façon dont ce canal a été configuré, y compris l'échange de clés RSA et les détails d'authentification.
En fait, plusieurs facteurs au-delà d’une simple politique de non-journalisation et d’un cryptage de transfert fort peuvent affecter la confidentialité des utilisateurs de VPN. Dans cet article, nous irons au-delà des mesures de surface souvent annoncées pour approfondir les détails les plus fins qui sont souvent négligés. Gardez à l’esprit que nous dépendons toujours de l’honnêteté des fournisseurs quant aux mesures qu’ils prennent pour protéger la vie privée des utilisateurs. Par conséquent, faute de meilleure méthode, nous devons simplement les croire sur parole. Plus sur méthodologie ci-dessous.
Nous avons noté la protection de la vie privée de chaque fournisseur VPN sur 19 points possibles en fonction des critères suivants :
- Politique de journalisation du trafic (2 points) : aucun journal de trafic d'aucune sorte. Les journaux de trafic font référence aux enregistrements de l'activité des utilisateurs et du contenu qu'ils ont consulté lors de l'utilisation du VPN.
- Politique de journalisation des métadonnées (2 points) : nous nous intéressons principalement aux journaux qui contiennent l'adresse IP source des utilisateurs. Nous ne déduisons pas de points pour les journaux de bande passante ou d’horodatage, qui ne contiennent aucune information d’identification.
- Protocole VPN (1 point) : Doit utiliser un protocole VPN sécurisé tel que OpenVPN, L2TP, SSTP ou IKEv2.
- Cryptage de canal (1 point) : doit utiliser l'algorithme AES 128 bits ou supérieur.
- Protocole d'authentification (1 point) : doit être SHA256 ou supérieur. SHA1 présente des vulnérabilités, mais HMAC SHA1 est sans doute toujours sûr et ne souffre pas de collisions , donc les points sontpasdéduit pour HMAC SHA1.
- Échange de clés (1 point) : les clés RSA et DH doivent être de 2 048 bits ou plus.
- Secret de transmission parfait (1 point) : les clés de session ne peuvent pas être compromises même si la clé privée du serveur est compromise.
- Protection contre les fuites DNS (1 point) : la protection contre les fuites DNS doit être intégrée aux applications du fournisseur.
- Prévention des fuites WebRTC (1 point) : Fuite WebRTC la prévention doit être intégrée aux applications du fournisseur.
- Prévention des fuites IPv6 (1 point) : la prévention des fuites IPv6 doit être intégrée aux applications du fournisseur.
- Kill switch (2 points) : Un kill switch qui arrête le trafic lorsque la connexion VPN est interrompue est indispensable. Nous attribuons un point pour avoir un kill switch sur les applications de bureau (MacOS et Windows), et un point pour l'avoir sur les applications mobiles (iOS et Android).
- Serveurs DNS privés (1 point) : Le fournisseur doit exploiter ses propres serveurs DNS et ne pas acheminer les requêtes DNS via le FAI par défaut ou un fournisseur public tel qu'OpenDNS ou Google DNS.
- Serveurs (1 point) : Nous nous préoccupons principalement de savoir si les serveurs sont virtuels ou physiques. Les serveurs physiques sont préférés. Nous n'avons pas déduit de points selon qu'un serveur est détenu ou loué, car il y a des arguments à faire valoir pour les deux.
- Modes de paiement anonymes (1 point) : Accepter le Bitcoin comme moyen de paiement rapporte un point, mais nous avons également noté ceux qui acceptent les chèques cadeaux et autres crypto-monnaies.
- Politique de torrent (1 point) : Le téléchargement via BitTorrent doit être autorisé.
- Pays de constitution (1 point) : Un point est attribué si le VPN est constitué en dehors des 14 Yeux : Australie, Canada, Nouvelle-Zélande, Royaume-Uni, États-Unis, Danemark, France, Pays-Bas, Norvège, Allemagne, Belgique, Italie , la Suède et l'Espagne.
Nous avons présenté les performances de chaque VPN dans un grand tableau ci-dessous. Chaque VPN est noté et résumé plus en détail plus bas, sans ordre particulier.
| AirVPN | Non | Aucun | OpenVPN | AES 256 bits | HMAC SHA384 | AND-RSA 4096 bits | Oui | Oui | Oui | Oui | Oui, ordinateur de bureau uniquement | Oui | Loué | Physique | Dans la maison | Oui | Italie | Oui |
| BolehVPN | Non | Aucun | OpenVPN | AES-CBC 256 bits | HMAC SHA512 | RSA 4 096 bits | Oui | Oui | Non | Oui | Oui, sur toutes les plateformes | Oui | Loué | Mixte | Zendesk* | Oui | les Seychelles | Oui |
| CyberGhost | Non | Aucun* | OpenVPN | AES 256 bits | SHA256 | AND-RSA 2048 bits | Oui | Oui | Oui | Oui | Oui, sur toutes les plateformes | Oui | Mixte | Physique | Plateforme tierce | Oui | Roumanie | Oui |
| ExpressVPN | Non | Date, emplacement du serveur, quantité de données | OpenVPN | AES 256 bits | SHA512 | AND-RSA 4096 bits | Oui | Oui | Oui | Oui | Oui, sur ordinateur uniquement | Oui | Loué | Physique | Plateforme tierce | Oui | Îles Vierges britanniques | Oui |
| VPN d'oie | Non | Horodatage, système d'exploitation | IKEv2 | AES 256 bits | ? | AND-RSA 2048 bits | Oui | Non | Non | Non | Oui, sur ordinateur uniquement | Non | ? | ? | Chat en direct | Oui | Pays-Bas | Non |
| Cache mon cul ! | Non | Nom d'utilisateur, horodatage, quantité de données, adresse IP, IP du serveur | OpenVPN | AES 256 bits | SHA256 | Diffie-Hellman 2048 bits | Non | Oui | Non | Oui | Tout sauf Windows | Windows seulement | Mixte | Mixte | Zendesk | Oui | ROYAUME-UNI | Non |
| cacher.me VPN | Non | Aucun | OpenVPN | AES 256 bits | HMAC SHA256 | AND-RSA 8 192 bits | Oui | Oui | Oui | Oui | Oui, sur ordinateur uniquement | Oui | Loué | Physique | Plateforme tierce | Oui | Malaisie | Oui |
| Bouclier de point d'accès | Injection de publicité, cookies | Horodatage, bande passante, adresse IP | Hydre | AES 128 bits | ? | AND-RSA 2048 bits | Oui | Oui | Oui | Oui | Oui, sur ordinateur uniquement | Non | ? | ? | Plateforme tierce | Oui | États-Unis | Non |
| ibVPN | Non | Aucun | OpenVPN | AES-CBC 256 bits | HMAC SHA512 | RSA 2 048 bits | Oui | Oui | Oui | Oui | Oui, sur ordinateur uniquement | Oui | Mixte | Mixte | Plateforme tierce | Oui | Roumanie | Oui |
| IPVanish | Non | Non | OpenVPN | AES 256 bits | SHA512 | AND-RSA 2048 bits | Oui | Oui | Non | Oui | Oui, sur ordinateur uniquement | Oui | Possédé | Physique | Plateforme tierce | Oui | États-Unis | Non |
| Ivacy | Non | Aucun | IKEv2 | AES 256 bits | ? | AND-RSA 2048 bits | Oui | Oui | Oui | Oui | Windows seulement | Oui | ? | ? | Plateforme tierce | Oui | Singapour | Oui |
| Débloqueur Keenow | Non | Bande passante, horodatage, adresse IP | OpenVPN | AES-GCM 256 bits | SHA512 | ECDHE-RSA 2048 bits | Oui | Oui | Oui | Oui | Oui, sur toutes les plateformes | Oui | Loué | Mixte | Dans la maison | Oui | Israël | Oui |
| LiquidVPN | Non | Serveur, nombre de connexions, bande passante | OpenVPN | AES 256 bits | SHA512 | AND-RSA 4096 bits | Oui | Oui | Oui | Oui | Oui, sur ordinateur uniquement | Oui | Loué | Physique | Dans la maison | Oui | États-Unis | Oui |
| VPN taupe | Non | Aucun | Wireguard, OpenVPN | AES 256 bits | SHA512 | Diffie-Hellman 4096 bits | Oui | Oui | Non | Oui | Oui, sur toutes les plateformes | Oui | Mixte | Physique | Dans la maison | Oui | Suède | Oui |
| NordVPN | Non | Aucun | IKEv2, OpenVPN | AES 256 bits | SHA384 | AND-RSA 3072 bits | Oui | Oui | Oui | Oui | Oui, sauf Android | Oui | Loué | Physique | Plateforme tierce | Oui | Panama | Oui |
| Un VPN | Non | Bande passante consommée, horodatages, informations d'identification de l'utilisateur et adresse IP | OpenVPN | AES 256 bits | SHA384 | RSA4096 | Oui | Oui | Oui | Oui | Oui, sur toutes les plateformes | Oui | Loué | Mixte | Dans la maison | Oui | Hong Kong | Oui |
| Accès Internet Privé | Non | Aucun | OpenVPN | AES 256 bits | SHA256 | AND-RSA 4096 bits | Oui | Oui | Oui | Oui | Oui, sur toutes les plateformes | Oui | Loué | Physique | Dans la maison | Oui | États-Unis | Oui |
| VPN Privé | Non | Aucun | OpenVPN | AES 256 bits | SHA256 | AND-RSA 2048 bits | Oui | Oui | Oui | Oui | Windows seulement | Oui | ? | ? | Agent en direct | Oui | Suède | Oui |
| ProtonVPN | Non | Horodatage de connexion | OpenVPN | AES 256 bits | SHA512 | RSA 2 048 bits | Oui | Oui | Oui | Oui | Toutes plateformes sauf Android | Oui | Mixte | Physique | Zendesk | Oui | Suisse | Oui |
| PureVPN | Non | Horodatages, emplacement du serveur, FAI | L2TP | AES 256 bits | SHA256 | AND-RSA 2048 bits | Oui | Oui | Oui | Oui | Oui, sur toutes les plateformes | Oui | Loué | Mixte | Chat en direct | Oui | Hong Kong | Oui |
| VPN plus sûr | Non | Bande passante consommée, horodatages | IKEv2 | AES 256 bits | SHA256 | AND-RSA 4096 bits | Oui | Oui | Oui | Oui | Oui, sur toutes les plateformes | Oui | Mixte | Mixte | Plateforme tierce | Oui | Israël | Oui |
| Accélérer | Non | adresse IP | Coutume | ChaCha 256 bits | SHA256 | ? | Oui | Oui | Oui | ? | Oui, sous Windows et Android | Non | ? | ? | ? | Oui | États-Unis | Non |
| VPN fort | Non | Aucun | IKEv2, OpenVPN | AES 256 bits | SHA512 | AND-RSA 2048 bits | Oui | Oui | Oui | Oui | Oui, ordinateur de bureau uniquement | Oui | Possédé | Physique | Plateforme tierce | Oui | États-Unis | Non |
| Surffacile | « Données d'utilisation temporaires », adresse IP de destination | Bande passante, adresse IP, analyses dans l'application | OpenVPN | Poisson-globe 128 bits | SHA256 | RSA 1 024 bits | Oui | Oui | Oui | ? | Non | Oui | ? | ? | Zendesk | Oui | Canada | Oui |
| TigreVPN | Non | Quantité de données, horodatages | OpenVPN | AES 256 bits | SHA512 | RSA 4 096 bits | Non | Oui | Non | Non | Non | Oui | Mixte | Mixte | Plateforme tierce | Oui | Slovaquie | Oui |
| TorGuard | Non | Aucun | OpenVPN | AES 256 bits | SHA512 | AND-RSA 4096 bits | Oui | Oui | Oui | Oui | Oui, sauf Android | Oui | Mixte | Mixte | Dans la maison | Oui | États-Unis | Oui |
| Ours du tunnel | Non | Horodatage, bande passante, système d'exploitation | OpenVPN | AES 256 bits | SHA256* | DH-RSA 2048 bits | Oui | Oui | Oui | Oui | Oui, sauf iOS | Oui | Loué | Virtuel | Dans la maison | Non | Canada | Oui |
| VyprVPN | Non | Adresse IP, IP du serveur, horodatages de connexion, quantité de données | OpenVPN, Caméléon | AES-256-CBC | SHA256 | AND-RSA 2048 bits | Oui | Oui | Non | Non | Oui, sur ordinateur uniquement | Oui | Possédé | Mixte | Plateforme tierce | Oui* | Suisse | Non |
| scribe à vent | Non | Bande passante utilisée sur une période de 30 jours | OpenVPN | AES-256-GCM | SHA512 | AND-RSA 4096 bits | Oui | Oui | Oui | Oui | Oui, sur ordinateur uniquement | Oui | Loué | Physique | Dans la maison | Oui | Canada | Oui |
| Zenmate | Non | Adresse IP, système d'exploitation, horodatage | OpenVPN | AES 256 bits | SHA256 | RSA 2 048 bits | Oui | Oui | Oui | Oui | Oui, Windows uniquement | Non | ? | ? | Zendesk | Oui | Allemagne | Non |
ExpressVPN
Note : 18/19
ExpressVPN ne conserve aucun journal de trafic mais conserve certains journaux de métadonnées, notamment « les dates (et non les heures) de connexion à notre service, le choix de l'emplacement du serveur et la quantité totale de données transférées par jour ».
Les connexions OpenVPN cryptées avec AES-CBC 256 bits sont la valeur par défaut. Les certificats DHE-RSA de 4 096 bits sont identifiés par l'algorithme de hachage SHA-512. L’authentification HMAC et le secret de transmission parfait sont tous deux utilisés.
La protection contre les fuites DNS fonctionne mais peut vous obliger à désactiver IPv6 sur l'appareil client. Un kill switch, appelé « verrouillage réseau » dans le langage ExpressVPN, arrête tout le trafic Internet lorsque la connexion est interrompue de manière inattendue. ExpressVPN utilise ses propres serveurs DNS par défaut, mais les clients peuvent choisir d'utiliser les leurs. ExpressVPN dispose de l'une des protections contre les fuites les plus robustes disponibles, notamment la prévention des fuites WebRTC.
La société est constituée dans les îles Vierges britanniques, qui ne relèvent pas de la juridiction britannique. Il accepte Bitcoin comme moyen de paiement et dispose même d'un site .onion sur lequel les utilisateurs de Tor peuvent s'inscrire de manière anonyme. Le torrent est autorisé sur tous les serveurs.
ExpressVPN affirme recevoir des assignations à comparaître à l'occasion, mais comme il s'agit d'un fournisseur VPN sans journal, il ne possède pas d'informations permettant de lier une adresse IP ou un horodatage à un client.
ExpressVPN loue des serveurs physiques dans le monde entier. Les disques durs sont cryptés et une clé unique est utilisée sur chaque serveur.
Les clients interagissent avec ExpressVPN via SnapEngage et ZenDesk, mais la société affirme que ces fournisseurs externes n'ont pas accès aux informations client.
NordVPN
Note : 18/19
NordVPN ne conserve aucun journal sur les clients. Ni trafic ni journaux de session d'aucune sorte, ce qui en fait l'un des rares fournisseurs à appliquer une véritable politique de zéro journal.
Sous Windows et Android, le protocole OpenVPN inclut un cryptage AES 256 bits et des clés DH 2 048 bits.
Les applications MacOS et iOS utilisent le protocole IKEv2 par défaut. Une confidentialité de transmission parfaite est disponible sur le protocole IKEv2. L'option IKEv2 pour les Macbooks, iPhones et iPads utilise des clés DH de 3 072 bits, 256-AES-GCM et l'authentification SHA2-384. Ce sont les spécifications représentées dans le graphique et le tableau.
La protection contre les fuites DNS est activée par défaut et NordVPN exploite ses propres serveurs DNS que les utilisateurs peuvent éventuellement utiliser. Toutes les applications, à l'exception d'Android, incluent un kill switch spécifique au processus qui bloquera uniquement le trafic sur les applications spécifiées lorsque la connexion est interrompue. Alternativement, un deuxième coupe-circuit tout ou rien empêche les fuites de tous types dans tous les scénarios.
La société est constituée au Panama. Il accepte Bitcoin comme moyen de paiement. Le torrent est autorisé sur tous les serveurs. Les fonctionnalités de sécurité supplémentaires incluent un VPN à double saut, qui achemine la connexion de l'utilisateur via deux VPN au lieu d'un. Tor sur les serveurs VPN envoie votre trafic Internet via le réseau Tor après avoir quitté le serveur VPN.
NordVPN nous dit qu'il a reçu plusieurs demandes d'informations officielles, mais qu'il n'en a eu aucune à donner en raison de sa politique de non-journalisation. Dans au moins un cas, des serveurs ont été confisqués, mais NordVPN affirme qu'il n'y avait rien sur les serveurs qui pourrait incriminer les utilisateurs.
NordVPN affirme utiliser un modèle hybride pour l'acquisition de serveurs dans lequel certains sont loués et d'autres achetés. Tous les serveurs sont physiques.
NordVPN utilise des outils de newsletter et de chat en direct tiers pour faciliter le support client. Il indique que seules les adresses e-mail des clients sont disponibles pour ces fournisseurs externes.
VyprVPN
Note : 12/19
VyprVPN enregistre « l'adresse IP source de l'utilisateur, l'adresse IP VyprVPN utilisée par l'utilisateur, l'heure de début et de fin de la connexion et le nombre total d'octets utilisés ». Le plus troublant est l’adresse IP source de l’utilisateur, qui pourrait être liée à son identité via le FAI. Ces informations sont conservées pendant 30 jours. VyprVPN a déclaré à Comparitech : « Nous n'enregistrons pas le trafic d'un utilisateur ni le contenu des communications, et nous n'effectuons pas d'inspections superficielles et approfondies des paquets. »
Les connexions VyprVPN utilisent le protocole OpenVPN, le cryptage AES 256 bits, les clés RSA 2 048 bits avec une confidentialité parfaite et l'authentification SHA256.
Les serveurs DNS sont inclus dans le package et une protection contre les fuites DNS est intégrée. Un kill switch arrête tout le trafic Internet si la connexion est interrompue. Moyennant un supplément, les abonnés VyprVPN peuvent bénéficier du protocole « Chameleon », qui brouille les métadonnées OpenVPN afin qu'une inspection approfondie des paquets ne puisse pas les reconnaître.
La société est constituée en Suisse. VyprVPN a, dans le passé, adopté une position dure contre le torrenting et, dans certains cas, les utilisateurs ont signalé que leurs comptes avaient été désactivés ou résiliés pour cette raison. Cependant, depuis 2018, VyprVPN indique à Comparitech qu'il autorise le torrenting.
VyprVPN possède ses propres serveurs. C’est l’un des rares fournisseurs à posséder ses propres centres de données partout dans le monde plutôt que de louer des espaces de stockage auprès de services d’hébergement tiers.
Les systèmes d'approvisionnement, de facturation et de base de données de l'entreprise ont été développés et stockés en interne, mais l'entreprise s'associe à des tiers pour la messagerie électronique et l'assistance.
VPN fort
Note : 16/19
StrongVPN dit qu’il ne conserve aucun journal d’aucune sorte.
Les nouvelles applications de StrongVPN utilisent IKEv2 par défaut, mais indiquent que son option OpenVPN est plus sécurisée, nous avons donc utilisé les spécifications OpenVPN dans le tableau et le graphique. Les connexions OpenVPN utilisent le cryptage de canal AES-256-CBC, les clés Diffie Hellman RSA de 2048 bits, l'authentification SHA256 et une confidentialité de transmission parfaite.
Les connexions IKEv2 utilisent le cryptage de canal AES-256, les clés MODP Diffie Hellman de 8 192 bits, l'authentification SHA512 et une confidentialité de transmission parfaite.
La protection contre les fuites DNS, IPv6 et WebRTC fonctionne et StrongVPN exploite ses propres serveurs DNS. Un kill switch peut être activé dans les paramètres.
La société mère de StrongVPN est basée à San Francisco, en Californie. La société accepte les paiements Bitcoin. Le torrenting est toléré sur tous les serveurs.
La société possède tous ses propres serveurs physiques et ne loue pas à des tiers.
Les applications de bureau et mobiles incluent toutes deux une fonction de « brouillage » qui masque le trafic crypté pour le faire ressembler à du trafic normal et décrypté.
Strong VPN utilise des fournisseurs externes pour le courrier électronique. Les adresses e-mail et les préférences linguistiques sont stockées ; aucune information personnelle identifiable n’est conservée.
IPVanish
Note : 15/19
Hormis lors de la première inscription d’un compte, IPVanish ne conserve aucun enregistrement ni journal de l’utilisation du VPN par ses utilisateurs.
Il utilise par défaut un cryptage 256 bits sur le protocole OpenVPN, une authentification SHA512 et un échange de clé DHE-RSA 2048 bits avec une parfaite confidentialité de transmission.
La société exploite ses propres serveurs DNS et une protection contre les fuites DNS est intégrée, tout comme un kill switch. Il lui manque encore la prévention des fuites WebRTC.
La société est basée aux États-Unis. Bitcoin est un mode de paiement acceptable. Le torrenting est toléré sur tous les serveurs.
IPVanish est l'un des rares fournisseurs à posséder et à exploiter tout son matériel physique, plutôt que de le louer à un tiers.
Les utilisateurs peuvent spécifier la fréquence à laquelle ils souhaitent que leur adresse IP change et utiliser une fonction de « brouillage » pour masquer le trafic crypté.
IPV utilise des fournisseurs de messagerie externes et les seules informations disponibles sont les adresses e-mail des utilisateurs. Aucune information client n’est stockée ou accessible.
LiquidVPN
Note : 17/19
LiquidVPN n'enregistre aucun journal de trafic et des journaux de métadonnées assez minimes, y compris le dernier VPN connecté, le nombre total de connexions et la bande passante utilisée.
OpenVPN avec cryptage AES 256 bits est livré en standard, bien que d'autres protocoles soient disponibles. Cela est associé à des clés RSA 4 096 bits ultra-sécurisées et à une confidentialité de transmission parfaite. Les clés sont actualisées toutes les 30 minutes par défaut.
La société exploite ses propres serveurs DNS, qui peuvent également être utilisés comme service proxy DNS intelligent distinct (LiquidDNS). La protection contre les fuites DNS est efficace. Un kill switch, baptisé « Liquid Lock », fonctionne à la fois comme un kill switch et un pare-feu dans lequel les utilisateurs peuvent ajouter des adresses IP spécifiques à la liste blanche et autoriser le trafic LAN.
La société est basée aux États-Unis. Le torrenting est toléré sur tous les serveurs. Les utilisateurs peuvent choisir parmi trois « topographies » : adresse IP statique, partagée ou modulante. Lors de l’utilisation de la topologie « adresse IP modulante », l’adresse IP partagée de l’utilisateur change à chaque fois qu’il se connecte à un serveur Web différent.
LiquidVPN loue des serveurs nus dans des pays qui n'obligent pas les centres de données à surveiller ou à enregistrer le trafic.
Un canari de garantie est mis à jour chaque semaine sur son site Web, bien que LiquidVPN nous indique qu'il n'a reçu aucune assignation à comparaître ou autre demande officielle d'informations sur les clients au moment de la publication.
La messagerie électronique et le service client sont tous hébergés en interne sur les serveurs de l’entreprise.
Accès Internet Privé
Note : 18/19
PIA est l'un des rares fournisseurs VPN à ne conserver aucun journal, ni trafic ni métadonnées.
OpenVPN, le cryptage AES 256 bits, l'authentification SHA256 et les clés RSA 4 096 bits constituent la combinaison la plus solide possible, mais d'autres algorithmes et protocoles sont disponibles.
Un kill switch et une protection contre les fuites DNS peuvent tous deux être activés dans les paramètres. La société exploite ses propres serveurs DNS. La protection contre les fuites WebRTC et IPv6 est également intégrée. Un kill switch est disponible sur les applications de bureau et mobiles.
Les clients peuvent payer avec Bitcoin et certaines cartes-cadeaux.
Vers mars 2016, le FBI a envoyé une assignation à comparaître à PIA pour obtenir des informations sur un criminel présumé. La société n'a fourni aucune donnée utile selon le rapport du FBI. PIA affirme recevoir des assignations à comparaître et des ordonnances judiciaires, mais n'a aucun registre à fournir.
La société est basée aux États-Unis. Le torrent est autorisé sur tous les serveurs. La redirection de port est intégrée aux applications de bureau et mobiles.
Le courrier électronique est géré en interne, mais Zendesk fournit une assistance sur le portail d'aide. PIA nous a déclaré : « Bien que Zendesk ait la possibilité d'accéder aux adresses e-mail des clients, la politique de confidentialité de Zendesk les en empêche. C’est quelque chose que nous surveillons de près.
PureVPN
Note : 17/19
PureVPN enregistre les dates de connexion à un serveur, l'emplacement de ce serveur (pas l'adresse IP) et votre FAI. Les métadonnées du FAI pourraient être une préoccupation pour certains, car elles nécessitent la recherche d'une adresse IP et pourraient être considérées comme des informations d'identification. Nous avons donc réservé un point pour cela.
L2TP/IPSec crypté AES 256 bits est le protocole le plus puissant disponible dans l'application, bien qu'OpenVPN puisse être configuré manuellement dans une application tierce. SHA256 est utilisé pour l'authentification, soutenu par une clé DHE-RSA de 2048 bits.
La protection contre les fuites DNS et un kill switch sont intégrés à toutes les applications PureVPN. La société exploite ses propres serveurs DNS. Il prétend également empêcher les fuites WebRTC et IPv6.
PureVPN est basé à Hong Kong. Il accepte les Bitcoins, les cartes-cadeaux et une multitude d’autres systèmes de paiement en ligne. Le torrenting est autorisé sur tous les serveurs et l'application vous montrera même quels serveurs sont les mieux adaptés au partage de fichiers.
PureVPN loue un mélange de serveurs virtuels et physiques.
Pour le support client, PureVPN affirme utiliser « des services conformes au RGPD ». LiveChat est utilisé sur son site Web.
CacherMonCul
Note : 12/19
HideMyAss indique qu'il n'enregistre pas le contenu du trafic des utilisateurs, mais il admet avoir enregistré des journaux de métadonnées comprenant le nom d'utilisateur, l'horodatage, l'adresse IP source et l'adresse IP du serveur auquel il est connecté. La société déclare à Comparitech : « Nous enregistrons l'adresse IP que nous vous avons fournie pour accéder à nos serveurs. Ces informations sont conservées pendant 3 mois et constituent une obligation légale pour respecter les lois et réglementations locales. Nous ne pouvons pas voir à 100 % tout ce que vous faites en ligne avec cette adresse IP ni suivre aucune de vos activités. Après 3 mois, cette information disparaît à jamais.
Le cryptage AES-256 est utilisé avec le protocole OpenVPN, sécurisé avec une clé DH-RSA de 2048 bits. SHA256 est utilisé pour l'authentification. La confidentialité parfaite n’est pas prise en charge.
L'application dispose d'une protection intégrée contre les fuites DNS, mais seuls les utilisateurs Windows peuvent utiliser les serveurs DNS privés de HMA, dirigeant toutes les autres requêtes DNS via OpenDNS. La prévention des fuites WebRTC est également absente. L'application Windows n'a pas de kill switch mais permet la liaison IP. Le reste des applications est équipé de kill switch normaux.
HMA est basée au Royaume-Uni, qui vient d'adopter certaines des lois sur la surveillance Internet les plus intrusives au monde. La société accepte Bitcoin. Le torrenting est apparemment autorisé mais nous ne le recommandons pas.
Le service client est géré par un fournisseur tiers, Zendesk.
AirVPN
Note : 17/19
AirVPN applique une véritable politique de zéro journal et ne stocke donc aucune donnée de trafic ou de session.
Avec ses paramètres les plus sécurisés activés, l'application utilise OpenVPN, le cryptage AES-CBC 256 bits, HMAC SHA-1 ou HMAC SHA384 et des clés RSA 4 096 bits négociées toutes les heures et à chaque fois qu'une nouvelle connexion est établie. Cela garantit une confidentialité parfaite et le temps de saisie RSA peut être réduit.
Une protection contre les fuites DNS et un kill switch sont intégrés. AirVPN exploite ses propres serveurs DNS. Les fuites WebRTC et IPv6 sont également colmatées.
La société est constituée en Italie, un pays de 14 Eyes. Il accepte le bitcoin et plusieurs autres cryptomonnaies ainsi que les chèques cadeaux. Le torrent est autorisé sur tous les serveurs. L'application est dotée de fonctionnalités de sécurité robustes, notamment la redirection de port et le DDNS ; VPN sur SSH, SSL et Tor ; et l'obscurcissement.
AirVPN loue des serveurs physiques dans des centres de données approuvés.
AirVPN utilise un système interne de soumission de tickets et des forums pour le support client.
BolehVPN
Note : 17/19
BolehVPN n'enregistre aucun journal de trafic ou de session, à l'exception d'une exception : 'Nous pouvons activer temporairement les journaux pour identifier les abus de nos services (tels que le DoS ou le spam via nos serveurs).'
Par défaut, l'application utilise OpenVPN, le cryptage de canal AES 256 bits, les clés RSA 4 096 bits avec une confidentialité parfaite et l'authentification SHA-512 HMAC.
La société exploite ses propres serveurs DNS et l'application utilise une protection contre les fuites DNS. Un kill switch, appelé « lock down » dans les paramètres, est intégré. Malheureusement, les applications ne protègent pas encore contre les fuites WebRTC. Un kill switch est disponible sur les applications mobiles et de bureau.
La société est basée en Malaisie et constituée aux Seychelles. L'application BolehVPN permet aux utilisateurs d'acheminer de manière sélective le trafic via le VPN, de masquer le trafic et d'acheminer le trafic DNS. Les serveurs utilisent une infrastructure PKI décentralisée. Bitcoin et Dash sont tous deux acceptés comme moyen de paiement.
La société publie un mandat de souscription mensuel. En mai 2016, les autorités ont adressé à BolehVPN une demande d'informations sur l'un de ses serveurs allemands, à laquelle il n'a pas répondu, selon le mandat publié à l'époque.
BolehVPN affirme utiliser Zendesk pour traiter les requêtes d'assistance, mais offre la possibilité d'envoyer des messages cryptés PGP par courrier électronique.
VPN plus sûr
Note : 18/19
SaferVPN ne stocke aucun journal de trafic et a récemment réduit la quantité de métadonnées qu'il collecte, au profit des utilisateurs. Désormais, seuls les horodatages et la bande passante consommée sont enregistrés.
Le protocole OpenVPN utilise un cryptage AES 256 bits, des clés RSA 4 096 bits avec une confidentialité parfaite et une authentification SHA256.
La protection contre les fuites DNS fonctionne bien et SaferVPN exploite ses propres serveurs DNS. Les applications empêchent les fuites WebRTC et IPv6. Un kill switch est disponible sur les applications de bureau et mobiles.
La société est basée en Israël. SaferVPN accepte Bitcoin et quelques systèmes de paiement tiers. SaferVPN a assoupli sa politique de torrent et déclare désormais que l'utilisation de BitTorrent est autorisée.
SaferVPN déclare à Comparitech : « Nous sommes le seul fournisseur VPN à offrir une sécurité Wi-Fi automatique pour iOS, Android, Windows et Mac qui active automatiquement le VPN chaque fois que l'appareil est connecté à un Wi-Fi non sécurisé, même lorsque l'application est en arrière-plan. et n'est pas actif, ou le téléphone est en mode verrouillé.
Une plateforme tierce est utilisée pour le service client. Un mélange de serveurs physiques et virtuels constitue le réseau.
OursTunnel
Note : 15/19
TunnelBear collecte certaines métadonnées, notamment les horodatages, la bande passante utilisée et le système d'exploitation. Il ne stocke pas les journaux de trafic ni les adresses IP des utilisateurs.
OpenVPN est utilisé sur les ordinateurs de bureau, tandis que IKEv2 est privilégié sur les appareils mobiles pris en charge. AES-256-CBC est standard sur Windows et Android, tandis que AES-256-GCM est utilisé sur les applications Apple et iOS. L'authentification SHA256 est utilisée sur toutes les plateformessauf pour Windows, qui est bloqué avec le SHA1 obsolète. Les utilisateurs Windows doivent déduire un point supplémentaire pour cela.En fonction de votre appareil, l'application utilisera une clé Diffie Hellman de 2 048 bits (Windows), de 3 072 bits (MacOS, iOS) ou de 4 096 bits. La confidentialité parfaite est prise en charge sur OpenVPN.
La protection contre les fuites DNS est intégrée et TunnelBear utilise désormais ses propres serveurs DNS au lieu de ceux de Google. L'application comprend un kill switch baptisé « Vigilant Bear », qui a été mis à niveau pour gérer les fuites IPv6 et WebRTC.
TunnelBear est basé au Canada. Il accepte le Bitcoin. Le torrenting est interdit sur les serveurs TunnelBear et désactive les ports BitTorrent courants au lieu de la journalisation.
TunnelBear loue des serveurs virtuels plutôt que physiques.
Tout le support client et les e-mails sont gérés en interne.
CyberGhost
Note : 19/19
CyberGhost est la seule entreprise à obtenir un score parfait en 2018.Il ne conserve « aucun journal permettant une interférence avec votre adresse IP, le moment ou le contenu de votre trafic de données ». Cela le rend effectivement sans journalisation à la fois sur le front du trafic et des métadonnées. Même les détails de paiement et d’inscription ne sont pas enregistrés et les utilisateurs reçoivent des identifiants d’utilisateur anonymes. CyberGhost nous dit : « nous sommes conscients de la quantité de bande passante consommée, mais ce n'est pas par utilisateur, c'est uniquement dans son ensemble sur l'ensemble du serveur. »
Les connexions par défaut utilisent OpenVPN, le cryptage AES 256 bits, les clés DHE-RSA 2 048 bits avec une confidentialité de transmission parfaite et l'authentification SHA256.
Une protection contre les fuites DNS, IPv6 et WebRTC et un kill switch sont inclus dans toutes les applications. CyberGhost exploite ses propres serveurs DNS.
La société est basée en Roumanie. Il publie régulièrement des rapports de transparence pour garantir la confidentialité, ce qui agit comme une sorte de mandat d'arrêt. Le torrenting est toléré, mais la société encourage ses clients à utiliser des serveurs optimisés pour le P2P. CyberGhost accepte Bitcoin.
CyberGhost comprend également un outil anti-empreintes digitales qui empêche les annonceurs et autres entités d'identifier les utilisateurs par les caractéristiques de leur navigateur.
CyberGhost utilise uniquement des serveurs physiques, loués ou détenus par l'entreprise. Une plateforme tierce est utilisée pour le service client.
Un VPN
Note : 16/19
OneVPN indique qu'il ne stocke aucun journal d'activité, mais conserve des journaux de métadonnées, y compris les horodatages, les informations d'identification de l'utilisateur et l'adresse IP.
Par défaut, les connexions sont cryptées avec des clés AES 256 bits, SHA-384 et RSA 4 096 bits avec une confidentialité de transmission parfaite.
OneVPN affirme qu'il empêche les fuites DNS, WebRTC et IPv6, mais nous sommes sceptiques quant à la véracité de certaines de ces affirmations. Les kill switchs sont intégrés aux applications mobiles et de bureau.
L'entreprise loue des serveurs, qui sont un mélange de matériel physique et virtuel.
La société est basée à Hong Kong. Il accepte Bitcoin et certaines cartes-cadeaux comme moyen de paiement. Le torrent est toléré.
Un serveur de messagerie dédié appartenant à l'entreprise est utilisé pour communiquer avec les clients.
VPN Tigre
Note : 13/19
TigerVPN ne stocke pas les journaux de trafic mais enregistre le temps passé sur le VPN et la quantité de données transférées. Il enregistre également l’adresse IP de l’utilisateur lors du paiement, mais pas dans les journaux de session.
Les connexions OpenVPN utilisent un cryptage de canal AES 256 bits, des clés RSA 4 096 bits sans secret de transmission parfait et une authentification SHA512.
L’application TigerVPN n’a pas de kill switch. La société exploite ses propres serveurs DNS et une protection contre les fuites DNS est intégrée.
La société a son siège en Slovaquie, qui fait partie de l'Union européenne. Bitcoin est accepté. Le torrenting est toléré sur tous les serveurs.
TigerVPN affirme posséder des serveurs physiques dans la plupart des sites, mais a parfois recours à des instances virtuelles louées où il ne peut pas importer de matériel. Un représentant nous dit que ces machines virtuelles dédiées ne sont pas partagées avec d'autres clients et exécutent une version spéciale d'un logiciel sur mesure qui identifiera si quelque chose se passe avec le serveur. Aucune donnée n'est stockée sur ces machines.
L’entreprise n’a pas encore été confrontée à une assignation à comparaître ou à une ordonnance du tribunal. Si ça y est, TigerVPN consultera d’abord ses avocats. Mais comme les journaux ne contiennent pas d’adresses IP et que les adresses IP sont partagées, il n’y a aucune information d’identification sur les clients.
Le système de soumission de billets est fourni par un tiers. TigerVPN indique que les adresses e-mail et les identifiants de ticket internes y sont stockés, mais rien d'autre en ce qui concerne les données client.
SurfFacile
Note : 8/19
SurfEasy, basé au Canada, est un peu une boîte noire. La société n’a pas répondu à notre questionnaire de sécurité et il existe un manque de spécifications fiables et à jour pour le VPN.
La politique de confidentialité de Surfeasy est opaque, indiquant qu'elle accède et collecte l'utilisation globale de la bande passante, les données d'utilisation temporaires, le trafic Internet et de données, ainsi que les données de télémétrie intégrées à l'application. Cela inclut à la fois l’adresse IP d’origine et le site Web ou l’adresse IP de destination. Les données de télémétrie semblent faire référence à Google Analytics, qui s'exécute dans l'application. Bien que tout cela soit consulté et collecté, SurfEasy affirme qu ''aucune donnée de journal n'est conservée'. En fin de compte, nous avons décidé que SurfEasy ne répondait pas à nos normes de journalisation et il a perdu tous les points à cet égard.
Les spécifications de cryptage sont également difficiles à trouver, mais grâce à des sources secondaires, nous avons supposé que SurfEasy utilise Blowfish 128 bits avec des clés RSA 1024 bits, ce qui est obsolète et non sécurisé. Au moins, il utilise SHA256 pour l'authentification. Il semble avoir un secret transmis parfait.
La prévention des fuites DNS et WebRTC semble fonctionner comme prévu, même si nous ne sommes pas sûrs des fuites IPv6. Il n’y a pas encore de kill switch au moment de la rédaction. SurfEasy exploite ses propres serveurs DNS. Nous ne savons pas si les serveurs VPN sont physiques ou virtuels, ni s’ils appartiennent ou sont loués.
Le torrenting est autorisé, même si nous ne le recommandons pas sans plus de précisions sur la politique de journalisation et une mise à niveau du cryptage.
Le support est géré par un tiers.
Bouclier de point d'accès
Note : 8/19
Hotspot Shield ne stocke pas les journaux de trafic ni les adresses IP associées à l'activité des utilisateurs, mais il stocke les adresses IP pour servir des cookies de suivi et injecter des publicités dans les navigateurs des utilisateurs. Ces cookies peuvent être utilisés par des tiers pour diffuser des publicités, et Hotspot Shield déclare qu'il n'est pas responsable de la manière dont les tiers utilisent ses données. Pour cette raison, Hotspot Shield ne répond pas à nos normes de confidentialité. Le service VPN actuel enregistre les métadonnées, y compris les horodatages et la bande passante.
Hotspot Shield utilise le protocole Hydra VPN par défaut. Les connexions sont protégées par un cryptage AES 128 bits et une clé DHE-RSA 2048 bits avec une confidentialité de transmission parfaite.
La protection contre les fuites DNS semble fonctionner, bien que Hotspot Shield n'exploite pas ses propres serveurs DNS et demande aux utilisateurs d'opter pour Google DNS. L'application de bureau dispose d'un kill switch. L'application protège contre les fuites WebRTC et IPv6.
La société mère de Hotspot Shield, AnchorFree, est basée aux États-Unis. Le torrent est autorisé. Bitcoin est accepté.
Infos manquantes : authentification, serveurs physiques ou virtuels, service client
TorGuard
Note : 16/19
TorGuard ne conserve aucun journal d'aucune sorte.
Avec les paramètres les plus stricts possibles, les connexions OpenVPN utilisent le cryptage de canal AES 256 bits, les échanges de clés DHE-RSA 4 096 bits et l'authentification SHA512. La confidentialité parfaite est prise en charge et même indiquée sur l'application.
TorGuard exploite ses propres serveurs DNS. Une protection contre les fuites DNS et un kill switch spécifique au processus sont intégrés à l'application.
La société est basée aux États-Unis. La société accepte Bitcoin et de nombreuses autres options de paiement. Le torrent est autorisé. Les clients de TorGuard peuvent utiliser une fonctionnalité « furtive » qui masque le trafic pour aider à contourner les pare-feu qui utilisent l'inspection des paquets.
TorGuard possède des serveurs dans certains centres de données et les loue dans d'autres. La plupart sont physiques, mais ceux utilisés principalement pour le streaming sont virtuels car leurs adresses IP doivent être régulièrement modifiées.
La société affirme que son équipe juridique examine la validité de toutes les assignations à comparaître et ordonnances judiciaires dans sa juridiction. S'il est jugé valide, il explique simplement la nature des adresses IP partagées et le fait qu'aucun journal n'est stocké sur ses serveurs, il ne peut donc identifier aucun de ses utilisateurs.
Torguard utilise son propre personnel et ses propres serveurs pour toutes les transactions par courrier électronique avec les clients.
Taupe
Note : 17/19
Mullvad n'enregistre ni le trafic ni les journaux de métadonnées.
Les connexions OpenVPN utilisent le cryptage AES 256 bits, les clés DHE-RSA 4096 bits et l'authentification SHA512. Un secret de transmission parfait est intégré.
La société exploite ses propres serveurs DNS. Les utilisateurs de l'application bénéficient d'une protection contre les fuites DNS et d'un kill switch intégré, mais ne disposent pas de prévention des fuites WebRTC.
Mullvad est basé en Suède. Le torrent est autorisé. Bitcoin est accepté.
L’entreprise possède certains serveurs et en loue d’autres, tous physiques.
Mullvad nous dit qu'il n'a jamais reçu d'assignation à comparaître, mais que les autorités lui ont demandé comment des adresses IP spécifiques étaient utilisées. Il n'avait aucune information à donner.
Gmail est utilisé pour la correspondance par courrier électronique avec les clients. Il répertorie une clé PGP sur son site Web si les clients souhaitent envoyer des informations cryptées auxquelles Google ne peut pas accéder.
ProtonVPN
Note : 18/19
Un concurrent plus récent sur cette liste, ProtonVPN a pris un bon départ. Le service est proposé par la même équipe basée en Suisse qui crée ProtonMail, un service de messagerie sécurisé.
ProtonVPN ne conserve aucun journal de trafic ou de métadonnées, à l'exception des horodatages de connexion. Par défaut, les connexions utilisent le cryptage de canal AES 256 bits, l'authentification SHA512 et des clés RSA éphémères de 2 048 bits avec une confidentialité de transmission parfaite.
Les applications disposent d'une protection intégrée contre les fuites DNS, WebRTC et IPv6. ProtonVPN utilise ses propres serveurs DNS. Un kill switch est disponible sur toutes les plateformes sauf Androidl.
Proton VPN dispose d'une option « noyau sécurisé » disponible dans le client Windows natif. Les serveurs principaux sécurisés sont des serveurs physiques appartenant à Proton VPN. Nous n’avons aucune information sur la configuration du serveur principal non sécurisé.
Proton gère les paiements Bitcoin et les e-mails en interne. Cependant, les demandes d’assistance proviennent d’une adresse e-mail Zendesk et il n’est pas clair qui traite les paiements par carte de crédit. Proton affirme que les informations de carte de crédit sont cryptées et protégées par les lois suisses sur le secret bancaire.
Si vous souhaitez communiquer avec Proton sur un support plus privé que Zendesk, la société propose un formulaire d'assistance interne sur son site Web ainsi qu'une adresse e-mail utilisant son propre service de messagerie cryptée de bout en bout.
Les fonctionnalités de sécurité supplémentaires incluent un nom d'utilisateur et un mot de passe masqués pour les clients non natifs, la possibilité de se connecter à Tor au lieu du VPN du client et le mode principal sécurisé qui est essentiellement un double VPN via les serveurs sécurisés privés de Proton en Suisse ou en Islande.
VPN d'oie
Note : 11/19
GooseVPN ne stocke aucun journal d'identification, enregistrant uniquement la date à laquelle vous utilisez le service et le système d'exploitation de votre appareil.
Le cryptage AES 256 bits est utilisé par défaut, associé à des clés RSA 2048 bits avec une confidentialité de transmission parfaite.
L'oie fuit. Beaucoup. Les fuites DNS, WebRTC et IPv6 sont toutes présentes dans les applications, et un kill switch n'est disponible que sur les versions de bureau. Il utilise des serveurs DNS publics au lieu de serveurs privés.
LiveChat est un service tiers utilisé pour fournir une assistance client en direct.
Le torrenting est autorisé, mais nous ne le recommanderions pas sans un kill switch.
La société est basée aux Pays-Bas, un pays de 14 Eyes.
Infos manquantes : algorithme de hachage d'authentification, serveurs loués ou loués, serveurs virtuels ou physiques
Cachez-moi
Note : 18/19
Hide.me dit qu’il ne stocke aucun journal.
Les connexions sont protégées par un cryptage AES 256 bits, une authentification HMAC SHA256 et des clés DH 8 192 bits avec une confidentialité parfaite, tout cela suffisant pour protéger vos données.
Les applications incluent une protection contre les fuites DNS, WebRTC et IPv6. Le kill switch n'est disponible que sur les applications de bureau. Hide.me exploite ses propres serveurs DNS.
Hide.me loue des serveurs physiques pour son réseau.
La société est basée en Malaisie, qui n’est ni un pays à 5 yeux ni à 14 yeux. Le torrent est autorisé.
Le support client est géré via une plateforme tierce.
ibVPN
Note : 17/19
ibVPN dit qu'il ne conserve aucun journal d'aucune sorte.
Les connexions sont sécurisées avec un cryptage AES-CBC 256 bits, une authentification HMAC SHA 512 bits et des clés RSA 2048 bits avec une confidentialité de transmission parfaite.
Les applications empêchent les fuites DNS, WebRTC et IPv6. Les versions Windows et Mac bénéficient d'un kill switch, mais pas les appareils mobiles. ibVPN exploite ses propres serveurs DNS.
Les serveurs VPN sont un mélange d'infrastructures physiques et virtuelles, louées ou détenues par l'entreprise.
Une plateforme tierce est utilisée pour gérer le service client.
Le torrent est autorisé.
La société est basée en Roumanie, qui n’est pas un pays de 14 Eyes.
Ivacy
Note : 16/19
Ivacy dit qu'il ne stocke pas du tout les journaux.
Il utilise un cryptage AES 256 bits associé à des clés DHE-RSA 2048 bits pour une confidentialité parfaite.
Les applications bouchent les fuites DNS, WebRTC et IPv6. Malheureusement, seule l'application Windows dispose jusqu'à présent d'un kill switch. Ivacy exploite ses propres serveurs DNS.
Le support client passe par une plateforme tierce.
Le torrent est autorisé.
La société est basée à Singapour, en dehors des 14 Eyes.
Informations manquantes : hachage d'authentification, serveurs détenus ou loués, serveurs virtuels ou physiques
Débloqueur Keenow
Note : 16/19
Keenow est un peu difficile à évaluer car ses applications incluent à la fois un service proxy DNS intelligent et un VPN. Nous nous concentrerons sur ce dernier.
Keenow conserve une quantité préoccupante de journaux, y compris les horodatages de connexion, l'utilisation de la bande passante (téléchargement et téléchargement) et la véritable adresse IP de l'utilisateur. Cependant, il n'enregistre pas le contenu du trafic crypté.
Même si la politique de journalisation incite à faire une pause, les normes de sécurité sont strictes. Vous bénéficiez d'un cryptage AES-GCM 256 bits, de clés ECDHE RSA 2048 bits avec une confidentialité de transmission parfaite et d'une authentification SHA512.
Lorsque vous êtes connecté au VPN, vous êtes protégé contre les fuites DNS, WebRTC et IPv6. Un kill switch est disponible sur les applications mobiles et de bureau. Keenow exploite ses propres serveurs DNS.
Keenow loue un mélange de serveurs physiques et virtuels.
Tout le support client est géré en interne.
Le torrent est autorisé.
Keenow est constituée en Israël.
VPN Privé
Note : 16/19
PrivateVPN ne stocke aucun journal VPN.
Les normes de chiffrement cochent toutes les cases : AES 256 bits, authentification SHA256 et clés RSA 2048 bits avec une confidentialité de transmission parfaite.
La protection contre les fuites DNS, WebRTC et IPv6 est toutes intégrée aux applications. Malheureusement, le kill switch n'est disponible que sur le client Windows pour le moment.
LiveAgent est utilisé pour fournir un support client.
Le torrent est autorisé.
La société a son siège en Suède.
Infos manquantes : serveurs loués ou loués, serveurs virtuels ou physiques
Accélérer
19/10
Speedify emprunte un chemin différent de la plupart des VPN, en optant pour son protocole de « liaison de canal » sur mesure et le cryptage ChaCha avec authentification SHA256.
Les véritables adresses IP des utilisateurs sont enregistrées, mais aucun journal de trafic.
La protection DNS et WebRTC fonctionne, mais nous n'avons pas pu déterminer si Speedify dispose d'une protection contre les fuites IPv6. Un kill switch est disponible sur les applications Android et Windows. L'entreprise n'exploite pas ses propres serveurs DNS, optant plutôt pour des serveurs publics.
La société est basée aux États-Unis. Il n’accepte pas le Bitcoin ou d’autres crypto-monnaies. le torrenting est autorisé, mais nous l’éviterions en raison des adresses IP enregistrées.
Informations manquantes : serveurs loués ou possédés, serveurs virtuels ou physiques, service client, protection contre les fuites IPv6, échange de clés
scribe à vent
Note : 17/19
Windscribe enregistre uniquement la quantité de bande passante utilisée sur une période de 30 jours ; pas de journaux IP ou de trafic.
Le cryptage AES 256 bits protège vos données, combiné à l'authentification SHA512 et aux clés RSA 4 096 bits avec une confidentialité de transmission parfaite.
Les fuites DNS, WebRTC et IPv6 sont toutes prises en compte et Windscribe exploite ses propres serveurs DNS, mais le kill switch n'est disponible que sur le bureau.
Windscribe loue des serveurs physiques à utiliser dans son réseau.
L'entreprise est basée au Canada, un pays Five Eyes. Il accepte le Bitcoin et permet le torrenting. Le service client est géré en interne.
Zenmate
Note : 12/19
Zenmate enregistre l'adresse IP, le système d'exploitation et les horodatages de connexion de l'utilisateur.
Les connexions OpenVPN sont protégées par un cryptage AES 256 bits, une authentification SHA256 et des clés RSA 2048 bits avec une confidentialité de transmission parfaite. Les protections contre les fuites DNS, WebRTC et IPv6 sont toutes incluses, mais Zenmate utilise des serveurs DNS publics au lieu de serveurs privés.
Zendesk est utilisé pour le service client.
Le torrenting est autorisé, mais nous ne le recommandons pas en raison des adresses IP enregistrées. La société est constituée en Allemagne, un pays de 14 Eyes. Le Bitcoin n'est pas accepté.
Infos manquantes : serveurs loués ou loués, serveurs physiques ou virtuels
Méthodologie
Toutes les informations présentées dans cet article et le tableau qui l’accompagne ont été recueillies par divers moyens. Nous avons envoyé à chaque prestataire de cette liste un questionnaire qui a été utilisé pour remplir le tableau. Ensuite, nous avons cherché à compléter ce que nous pouvions en utilisant nous-mêmes les VPN. Nous nous sommes référés à notre propre expérience, critiques et articles. Enfin, nous avons passé au crible les sites Web, les bases de connaissances, les FAQ, les politiques de confidentialité et les fichiers de configuration manuelle fournis par chaque fournisseur VPN.
17 prestataires sur 30 ont répondu au questionnaire. Nous avons constaté que ceux qui bénéficient de la meilleure sécurité sont souvent les plus rapides à réagir, car ils n’ont rien à cacher. Tous les prestataires ont eu suffisamment de temps – plus d’un mois – pour répondre.
Quelques-uns n'ont pas répondu du tout. Si tel était le cas, nous recherchions des sources d’informations secondaires, telles que des avis externes et des messages de forum fiables. Nous comprenons que la sécurité est un processus continu qui nécessite des mises à jour régulières, c'est pourquoi nous avons exclu toute information de seconde main datant de plus d'un an et qui n'a pu être corroborée ailleurs.
À la fin,certains champs sont restés vides.Dans un tel événement,il faut supposer le pire et déduire des points.Ces champs sont marqués d'un point d'interrogation (?) dans le tableau. Nous serons bien entendu heureux de modifier cet article et le tableau si un fournisseur VPN souhaite nous fournir des informations après publication. En fait, nous l’encourageons.
Autres notes
- Les adresses IP partagées sont la règle plutôt que l’exception, nous supposons donc que tous les VPN de cette liste les utilisent. C’est une situation gagnant-gagnant pour les fournisseurs de VPN, car les adresses IP partagées sont moins coûteuses à gérer et offrent un plus grand anonymat aux clients. Très peu de fournisseurs commerciaux proposent même des adresses IP dédiées, et s’ils le font, cela coûte généralement plus cher.
- Nous n'avons pas déduit de points pour l'utilisation de serveurs loués, mais nous déduisons pour les serveurs virtuels ou cloud. Si posséder un serveur offre le plus grand contrôle, il offre également moins de flexibilité. Si un centre de données abaisse ses normes, il est beaucoup plus facile de simplement mettre fin à un bail et de louer un serveur dans un autre centre de données plutôt que de déplacer des serveurs physiques. Les serveurs virtuels et cloud, cependant, font appel à un tiers inconnu – le propriétaire du serveur physique – c'est pourquoi nous déduisons des points. Quelle que soit la sécurité d’une machine virtuelle, elle est bien plus vulnérable qu’une machine physique dédiée.
- Les prestataires externes de messagerie et de support client ont généralement accès à certaines informations client, même s’il ne s’agit que d’une adresse e-mail. C’est pourquoi nous déduisons des points pour leur utilisation. De plus, même si le personnel n’a pas accès aux informations client, celui-ci peut ne pas se rendre compte qu’il communique par l’intermédiaire d’un tiers et divulguer des informations privées.
- Les normes de chiffrement sont basées sur ce qui est vulnérable, pas nécessairement sur ce qui est le plus puissant. C’est pourquoi nous ne supprimons pas de points pour l’utilisation d’AES-128, par exemple. Même si AES-256 est plus puissant, les deux sont incassables pour le moment. Il en va de même pour les clés RSA et l'authentification. Les clés SHA1 et RSA 1 024 bits sont vulnérables, donc SHA256 (ou HMAC SHA1) et RSA 2 048 placent la barre haute. De nombreux VPN optent pour des mesures encore plus strictes, telles que les clés RSA de 4 096 bits et SHA512, mais ils n’obtiennent pas de points supplémentaires pour cela.
- Réponses aux assignations à comparaître, aux mandats ou aux avis de retrait DMCA : nous avons pris en compte si un fournisseur a déjà été confronté à des ordonnances judiciaires concernant des informations sur des clients et comment il a répondu, mais aucun point n'est attribué selon qu'il l'a fait ou non.
- L'efficacité des mandats canaris est une question très controversée, c'est pourquoi nous n'avons accordé aucun point pour en avoir un. Si un fournisseur VPN en possède un, nous en avons pris note.
