Proton Technologies est une entreprise qui est spécialisée dans la sécurité. L’un de ses produits phares est ProtonVPN, qui est d’ailleurs le premier produit qu’il a proposé au public. Depuis, l’entreprise a proposé plusieurs produits et fonctionnalités. En janvier 2017 par exemple, ProtonMail a annoncé qu’il était désormais possible de se connecter à ProtonMail directement via le réseau Tor. Le fournisseur a expliqué que cette mesure vise à lutter contre la censure parrainée par l’État et a rappelé les récentes initiatives dans le monde pour bloquer les communications chiffrées et étendre la surveillance.
« Récemment, de plus en plus de pays ont commencé à prendre des mesures actives pour surveiller ou restreindre l’accès aux services de protection de la vie privée, coupant l’accès à ces outils essentiels. Nous nous rendons compte que la censure de ProtonMail dans certains pays n’est pas une question de “si”, mais une question de “quand ?”. C’est pourquoi nous avons créé un service caché Tor (ou un site en oignon) pour ProtonMail afin de fournir un accès alternatif à ProtonMail qui est plus sûr, privé et résistant à la censure », a déclaré l’équipe ProtonMail.
En juin de la même année, l’entreprise a lancé un nouveau service de VPN baptisé ProtonVPN afin de lutter contre les menaces de plus en plus grandissantes qui pèsent sur la liberté des internautes au sein de la toile. Proton Technologies a noté qu’au cours des six mois avant ce lancement, ces menaces ont occasionné l’abrogation des règles édictées sous l’ère de l’administration Obama et visant à protéger la vie privée des internautes lors de leur navigation sur Internet. « En se servant de ProtonVPN, les internautes seront désormais en mesure de surfer sur la toile en toute quiétude. En effet, les utilisateurs pourront naviguer sur la toile sans crainte d’être pistés, échappant ainsi à une pléthore de mesures prises par certains gouvernements ou autres pour censurer ou bloquer certains accès ». L’équipe a indiqué qu’elle travaille en étroite collaboration avec des experts qui sont sous la coupole de structures comme le CERN (Conseil Européen pour la Recherche Nucléaire) et le MIT (Massachusetts Institute of Technology).
« Durant l’année dernière, nous avons assisté à plusieurs campagnes visant à restreindre la liberté des utilisateurs sur Internet », a déclaré Andy Yen, cofondateur de Proton Technologies. Pour lui, il était donc plus que jamais nécessaire que les utilisateurs disposent d’outils assez robustes pour défendre la vie privée, la sécurité et la liberté en ligne. Poursuivant son argumentaire, Andy Yen a expliqué que la meilleure façon de s’assurer que le chiffrement et les droits de confidentialité ne sont pas entravés est de mettre à la disposition du public les outils adéquats tout en veillant à une large diffusion de ces derniers. « C’est donc pour cette raison que nous nous sommes engagés à créer une version gratuite de ProtonVPN qui sera à la disposition des utilisateurs », a assuré Yen.
Il faut noter que l’année dernière l’entreprise a reçu de l’UE deux millions d’euros pour le développement d’une suite de services chiffrés :
« Notre entreprise a toujours été engagée dans la recherche comme héritage de notre passé scientifique. Qu’il s’agisse de concevoir des bibliothèques cryptographiques open source, de moderniser des normes existantes ou d’en développer de nouvelles, la recherche et le développement ont toujours représenté une grande partie de nos dépenses. Nous sommes heureux d’annoncer que le programme Horizon 2020 de la Commission européenne, qui a distribué près de 80 milliards d’euros dans toute l’Europe pour encourager la recherche scientifique et l’innovation technologique, a reconnu notre contribution à l’économie européenne et nous accordera 2 millions d’euros pour poursuivre notre mission.
« La Commission européenne a des exigences spécifiques concernant l’utilisation des fonds et ce financement est principalement destiné à la construction de technologies pour ProtonDrive car l’Union européenne souhaiterait voir une expansion de l’offre de produits Proton pour améliorer notre compétitivité mondiale. Alors que 2 millions d’euros ne semblent peut-être pas beaucoup dans le grand schéma de ce que nous essayons d’accomplir, ils nous seront très utiles. Ce financement accélérera sans aucun doute nos efforts de développement de ProtonDrive et nous aidera à booster la valeur de la communauté existante ».
Toutes les applications ProtonVPN sont désormais open source et auditées
Cette fois-ci, l’éditeur veut aller un peu plus loin. Dans un souci de transparence, il a publié en open source le code ses applications ProtonVPN sur Windows, macOS, Android et iOS mais a également fourni les rapports d’audit :
« Nous sommes heureux d’être le premier fournisseur VPN à ouvrir des applications open source sur toutes les plateformes (Windows, macOS, Android et iOS) et à subir un audit de sécurité indépendant. La transparence, l’éthique et la sécurité sont au cœur de l’Internet que nous voulons construire et la raison pour laquelle nous avons construit ProtonVPN en premier lieu.
« Nous avons lancé ProtonVPN en 2017 pour fournir aux utilisateurs de ProtonMail un service VPN fiable, qui était de plus en plus nécessaire compte tenu de la montée de la censure sur Internet. Le VPN en particulier était un domaine qui avait grandement besoin d’être amélioré. Des études ont révélé que plus d’un tiers des VPN Android contiennent en fait des logiciels malveillants, de nombreux VPN souffrent de failles de sécurité importantes et de nombreux services VPN gratuits qui prétendent protéger la confidentialité vendent secrètement des données utilisateur à des tiers. En général, il y a également un manque de transparence et de responsabilité concernant les opérateurs de services VPN, leurs qualifications en matière de sécurité et leur conformité totale aux lois sur la confidentialité comme le RGPD.
« ProtonVPN a changé cela en offrant un niveau inégalé de transparence et de responsabilité. Nous avons fait les choses différemment depuis le début: nous avons une politique stricte de non-journalisation, nous sommes basés en Suisse, réglementés par certaines des lois de confidentialité les plus strictes au monde, nous avons une solide expérience en matière de sécurité et nous avons même ouvert notre technologie pour inspection par Mozilla.
« Rendre toutes nos applications open source est donc une prochaine étape naturelle. En tant qu’anciens scientifiques du CERN, la publication et l’examen par les pairs font partie intégrante de notre philosophie. Nous publions également les résultats d’audits de sécurité indépendants couvrant l’ensemble de nos logiciels ».
Pourquoi est-il important d’utiliser un VPN open source ?
Andy Yen explique que :
« Lorsque vous choisissez d’utiliser un réseau privé virtuel, vous placez une confiance extraordinaire en ce fournisseur de services. Voici pourquoi:
« Lorsque vous n’êtes pas connecté à un VPN, votre trafic Internet non chiffré (c’est-à-dire celui qui n’est pas protégé par TLS) peut être intercepté par votre fournisseur WiFi, par votre fournisseur de services Internet (ISP), par des hackers surveillant le réseau local, ou par les autorités gouvernementales de votre juridiction. Votre adresse IP (c’est-à-dire l’identité de votre appareil et votre situation géographique) est également exposée, y compris aux sites Web que vous visitez, qui peuvent utiliser ces informations pour vous suivre sur Internet. Même le trafic chiffré peut être surveillé pour observer les sites Web que vous visitez, et votre adresse IP restera exposée.
« Lorsque vous vous connectez à un VPN, votre trafic Internet est chiffré entre votre appareil et le serveur VPN, le protégeant ainsi de la surveillance du réseau local. Même vos recherches DNS (les noms des domaines Web que vous visitez) sont protégées. Et votre adresse IP est masquée pour aider à protéger votre identité et votre emplacement. Cependant, le fournisseur VPN devient effectivement votre FAI en ce sens qu’il peut voir votre activité de navigation, votre adresse IP et votre emplacement. C’est pourquoi le choix d’un service VPN fiable est si important.
« Une application VPN a donc beaucoup d’accès privilégiés à votre appareil et à votre activité en ligne. Le code open source permet aux chercheurs en sécurité et à la communauté mondiale de la sécurité d’inspecter la façon dont nous implémentons le chiffrement et la façon dont nous traitons vos données, ce qui vous donne plus de certitude que nous adhérons à notre politique de confidentialité stricte. Le code open source assure la sécurité grâce à la transparence, ce qui signifie que, comme le code est soumis à un examen minutieux, les vulnérabilités potentielles sont rapidement repérées et corrigées. Cela réduit le risque d’une vulnérabilité de sécurité dans une application VPN vous mettant en danger.
« En revanche, le code propriétaire repose sur la “sécurité par l’obscurité”, ce qui signifie que les vulnérabilités sont moins susceptibles d’être découvertes. Ou pire, ces vulnérabilités ne peuvent être connues que d’acteurs malveillants qui les exploitent secrètement sans que les utilisateurs n’en soient conscients.
« En ce qui concerne les logiciels de confidentialité et de sécurité en ligne, nous pensons que les logiciels libres et open source sont meilleurs pour la sécurité et offrent une meilleure responsabilité à notre communauté d’utilisateurs. L’open source est depuis longtemps au cœur de Proton, et nos logiciels open source vont des clients ProtonMail aux bibliothèques de chiffrement fondamentales, telles que OpenPGPjs, qui alimentent aujourd’hui une fraction importante des applications chiffrées sur le Web, au service de dizaines de millions d’utilisateurs. Nous nous engageons à ouvrir tous nos logiciels destinés aux clients ».
Et d’assurer :
« Une autre qualité unique de ProtonVPN est notre engagement à faire inspecter nos logiciels par des chercheurs indépendants en sécurité avant de les publier. Auparavant, Mozilla a examiné nos implémentations, notre structure organisationnelle et notre technologie dans le cadre de leur diligence raisonnable pour un partenariat avec nous.
« Depuis lors, nous avons lancé des audits plus approfondis axés sur la sécurité pour tous nos clients. Nous avons retenu les services de SEC Consult, une firme de sécurité de premier plan, pour effectuer les audits. Bien que de tels audits soient coûteux et prennent du temps, nous pensons qu’il s’agit d’une étape critique qui doit aller de pair avec l’open sourcing de notre code. À l’avenir, nous continuerons à effectuer des audits sur une base continue pour avoir des contrôles indépendants continus sur la sécurité de nos applications ».