L'alliance des états Five Eyes

5/9/14 eyes VPN Juridiction

🎤 Cet article est disponible sous forme de podcast sur les plateformes Spotify, Google Podcast, Apple Podcast & Amazon Music.

0:00 / 0:00
Les juridictions VPN sont-elles vraiment importantes ?

Les nations les plus puissantes du monde ont passé un accord entre eux, partager des secrets de renseignements entre eux, on appelle ça l’Alliance Five Eyes (5 yeux), Nine Eyes (9 yeux) et Fourteen Eyes (14 yeux).

Les pays impliqués dans ces accords travaillent ensemble pour collecter des données de surveillance de masse afin de se les partager entre eux. Ils collectent des informations comme votre activité de navigation, les appels téléphoniques, les messages texte, les documents électroniques, l’historique de localisation et bien plus encore.

En termes de confidentialité, on peut dire que ce sont les pires endroits pour fonder une société VPN ou même si vous n’utilisez pas de VPN pour naviguer sur Internet. Si votre VPN est basé dans l’un de ces pays, il peut être soumis à des lois sur la surveillance intrusive, la conservation / partage des données et donc être contraint de les remettre aux autorités.

Sommaire

Définition d'une juridiction VPN

C’est le pays dans lequel il est légalement basé ou incorporé. Le système juridique de ce pays aura une incidence sur les lois et les règles de confidentialité auxquelles le VPN est soumis.

Le niveau de surveillance et de contrôle que les gouvernements exercent sur l’utilisation d’Internet varie d’un pays à l’autre. Une juridiction intrusive ou dangereuse peut être en mesure de forcer un fournisseur de VPN à surveiller, collecter ou partager des données sur ses clients même si ce dernier indique le contraire sur son site, comme nous avons pu le voir avec IPVanish qui est un cas parmi tant d’autres.

La juridiction d’un VPN est différente de l’emplacement de ses serveurs. La plupart des VPN ont des serveurs dans des dizaines de pays, mais chaque VPN n’en a qu’une seule. Il s’agit du pays dans lequel l’entreprise est légalement basée.

Les serveurs VPN sont soumis aux lois du pays dans lequel ils sont physiquement situés. Les autorités de ce pays sont légalement autorisées à saisir le serveur pour y examiner le contenu. Toutefois, si ces autorités peuvent saisir le serveur lui-même, elles ne peuvent pas contraindre la société VPN à partager des informations, car elle est basée dans un autre pays. C’est pourquoi la politique de journalisation d’un VPN est tout aussi importante qu’une bonne juridiction.

En fonction de la mesure dans laquelle votre propre pays réglemente l’internet, vous voudrez peut-être choisir un VPN situé en dehors de ce dernier. Il est également judicieux de choisir un pays qui dispose de lois strictes en matière de protection de la vie privée et qui n’est pas impliquée dans des accords internationaux de partage de données comme les US par exemple.

Comment les juridictions affectent-elles les utilisateurs de VPN ?

Si vous utilisez un VPN pour vous protéger, c’est que vous pensez déjà qu’il ne faut pas faire confiance à n’importe qui, allant du site web que vous visitez à votre gouvernement.

L’utilisation d’un VPN basé dans un pays qui n’est pas pour la protection des données ajoute simplement une partie indigne de confiance. Il pourrait être contraint de transmettre aux autorités des informations sur vous, qui pourraient ensuite être partagées avec d’autres en vertu d’accords de partage de renseignements.

Vous devez faire vos recherches pour savoir si vous vous engagez sur la bonne voie, vous devez donc connaître :

  • Votre emplacement physique
  • L’emplacement du serveur VPN que vous avez choisi
  • Le siège social de votre VPN

Si l’un de ces lieux est soumis à des lois invasives, il peut faire l’objet de recherches injustifiées et d’atteintes à la vie privée au nom de la « sécurité ».

Bien qu’importante, la juridiction n’est qu’un des nombreux facteurs à prendre en compte lors du choix d’un VPN. L’importance de ce facteur dépend du niveau de protection dont vous avez besoin, si vous cherchez à vous protéger de la surveillance ciblée, le choix d’un VPN bien placé ne sera probablement pas suffisant pour vous protéger. Les agences nationales de renseignement ont accès à de vastes ressources (hacking, social-engineering…).

La confiance est également un facteur important. Un VPN peut toujours mentir à ses clients et coopérer avec les autorités, même s’il opère dans une juridiction « sûre ». Cela dit, cette dernière est toujours importante si la confidentialité est un de vos points d’honneur. Vous pourriez être vulnérables aux problèmes suivants :

1/ Surveillance et conservation des données

Les agences nationales de renseignement comme la NSA, le GCHQ ou encore la DGSE ont le pouvoir de forcer les organisations nationales à enregistrer, partager et décrypter des informations privées.

Aux États-Unis, le Patriot Act a donné naissance à de nouveaux pouvoirs de collecte de données fédérales. Ces lois donnent aux autorités le pouvoir de contraindre une entreprise légitime à devenir un outil de collecte pour les agences de l’État. Un système similaire s’applique à la France, l’État d’urgence, voici un récapitulatif crée par Arte Info.

Les demandes faites peuvent être accompagnées d’une interdiction de communiquer la demande, ce qui rend illégal pour l’entreprise de révéler ce qu’elle est obligée de faire. Certaines sociétés VPN publient des mandats canari pour tenter de résoudre ce problème, ce que nous aborderons plus loin dans ce guide.

En 2013, le service de messagerie sécurisée Lavabit a été ciblé par le FBI dans le but de recueillir des informations sur Edward Snowden. Lavabit à reçu une demande du FBI qui exigeait la clé SSL privée de Lavabit. Cela permettait d’accéder aux communications en temps réel de tous les clients de la plateforme, et pas seulement ceux de Snowden. Le fondateur de la société, a remis les clés de chiffrement et a mis fin au service simultanément. Les autorités américaines ont ensuite menacé Levison de l’arrêter, arguant que ses actions violaient l’ordonnance du tribunal.

Etat Urgence US vs EU
Comparaison entre Patriot Act aux US et l’État d'urgence en France par Arte Info

HideMyAss, un fournisseur de VPN basé au Royaume-Uni, a également reçu une ordonnance du tribunal l’obligeant à collecter des données et à les partager avec les autorités dans le cadre d’une enquête criminelle. Cette information n’a été révélée qu’après les poursuites judiciaires.

Il ne s’agit là que d’exemples de cas qui ont été rendus publics. Il est fort probable qu’il existe d’autres exemples dont nous n’avons pas encore connaissance.

Les accords de surveillance internationaux tels que les Alliances des Cinq, Neuf et Quatorze Yeux (voir Quarante et un Yeux) permettent aux membres de profiter des informations de surveillance de masse que les autres membres apportent.

Les pratiques de partage des renseignements de ces pays ont de vastes implications pour les utilisateurs d’Internet et les VPN en particulier. Il est raisonnable de supposer que si l’une de ces nations obtient l’accès à vos infos, celles-ci peuvent être partagées avec d’autres.

Si une loi étendant les capacités de surveillance électronique est adoptée dans l’un de ces pays, c’est comme si la même loi était adoptée dans tous les pays participant à l’accord.

3/ Emplacements des serveurs virtuels et serveurs loués

Certains VPN louent leurs serveurs dans des data centers afin de réduire les coûts opérationnels. L’exploitation d’un réseau international de serveurs est ainsi beaucoup moins coûteuse que la possession directe des serveurs.

Bien que cela puisse réduire les frais généraux d’un fournisseur de VPN, cela peut être problématique en termes de confidentialité. Les serveurs VPN loués appartiennent au data center qui les loue. Il est possible que ce dernier conserve des journaux de votre activité, quelle que soit la politique de journalisation de la société VPN.

En fonction de sa juridiction, les autorités locales peuvent également obliger l’hôte du serveur à conserver ou à partager les informations utilisateurs, la politique de journalisation de la société VPN est donc inutile. Les autorités locales peuvent s’adresser directement à l’hôte du serveur pour saisir ce dont elles ont besoin.

Choisir une juridiction sûre pour son VPN

Juridiction VPN

Si vous souhaitez vraiment rester anonymes ou simplement dans la confidentialité, nous vous recommandons de choisir un VPN basé en dehors des alliances Five, Nine ou Fourteen Eyes (ou encore Forty-one Eyes). Les pays impliqués dans ces alliances sont beaucoup plus susceptibles de participer à des programmes invasifs de surveillance, de rétention et collecte de renseignements. Il est également probable que les nations les plus puissantes de ces alliances soient en mesure de forcer les autres membres à se connecter ou à coopérer d’une autre manière.

Lorsque vous évaluez un VPN, vérifiez les points suivants :

  • Aucun lien avec les pays membres de l’Alliance des 5 / 9 / 14 (& 41) yeux. Certains gouvernements sont politiquement obligés ou liés à des pays plus puissants et envahissants. Ces liens internationaux pourraient mettre en péril la confidentialité de vos infos.
  • Un historique de mandats et d’assignations à comparaître. Évitez les pays et les gouvernements ayant des antécédents de censure en ligne ou de poursuites fondées sur le contenu des journaux de navigation de leurs citoyens (comme les US par exemple).
  • Des lois strictes en matière de confidentialité et de neutralité du réseau. Bien que les lois sur la neutralité du réseau n’affectent pas directement votre vie privée, elles impliquent que le gouvernement entretient des relations avec les FAI et les fournisseurs de télécommunications qui pourraient nuire au consommateur.

Qu’est-ce qu’un « Havre de confidentialité » ?

Il est généralement recommandé de choisir un VPN basé dans un pays considéré comme un « havre de confidentialité » comme les Îles Vierges britanniques, le Panama, les Seychelles, les îles Caïmans, la Suisse et la Malaisie. Un pays est considéré comme tel si son environnement juridique et politique est favorable à l’idée de la confidentialité en ligne. Ils prennent rarement part à des accords obligatoires de surveillance, de conservation ou de partage des données, et ils se targuent souvent de posséder certaines des lois les plus strictes du globe en matière de protection de la vie privée.

De nombreuses sociétés VPN choisissent d’enregistrer leurs activités dans ces pays pour s’assurer que leur service reste aussi privé et sécurisé que possible, vous avez notamment ExpressVPN, NordVPN, et Surfshark.

Il existe également certains VPN qui ont prouvé qu’ils étaient dignes de confiance malgré le fait qu’ils opèrent dans un pays de l’alliance. Private Internet Access (PIA), par exemple, n’a pas pu fournir d’informations au gouvernement américain dans une affaire judiciaire officielle, malgré une assignation à comparaître.

Il existe une poignée de VPN véritablement sans logs qui ont passé des tests en situation réelle ou ont été audités par des tiers. Un VPN situé offshore ajoute simplement une protection supplémentaire, car il y a moins de chances qu’il puisse être contraint de remettre ce que demandent les autorités.

1/ Les VPN ont-ils besoin d'un mandat canari ?

Un « warrant canary » ou mandat canari est un terme familier désignant une déclaration publiée régulièrement et destinée à prouver qu’un fournisseur de services n’a pas été contacté par une agence gouvernementale ou contraint de partager les données de ses clients.

Les demandes telles que les « US National Security Letter » (NSL) sont généralement accompagnées d’une ordonnance de non-divulgation qui empêche l’entreprise cible, de révéler le fait qu’elle a été compromise. Le but d’un mandat canari est de contourner ces restrictions légales et d’avertir ses utilisateurs que leurs données ne sont peut-être plus sûres, sans violer techniquement l’ordonnance du tribunal de ne pas le faire.

Les témoins de mandat fonctionnent généralement en informant les utilisateurs qu’il n’y a pas eus de mandat ou d’assignation à comparaître à une certaine date. Si le canari n’est pas mis à jour ou s’il est complètement supprimé, on peut supposer que l’interdiction de parole est entrée en vigueur et que l’hôte a reçu une demande légale.

NordVPN Warrant Canary
NordVPN Warrant Canary

De nombreux VPN choisissent de maintenir un warrant canary pour aider à convaincre qu’ils sont dignes de confiance. Cependant, ce n’est pas parce qu’un VPN maintient ce dernier que le service est privé ou sécurisé. De même, de nombreux services fiables et réputés choisissent de ne pas maintenir un warrant canary par principe, car leur efficacité est encore contestée.

Certains experts affirment que les gouvernements peuvent contraindre les entreprises à le maintenir même si elles ont été compromises, ce qui le rend inutile. Il est également possible qu’un service compromis évite de changer le mandat canari pour ne pas perdre de clients. En ce sens, ce n’est rien d’autre que du théâtre marketing de la part d’entreprises qui ne se soucient pas vraiment de la vie privée des utilisateurs. Malheureusement, il n’y a aucun moyen de savoir avec certitude si un changement de canari est un véritable indicateur d’une décision de justice. Il faut alors se fier à des spéculations pour décider de la signification d’un mandat canari manquant ou modifié.

Nous recommandons de le considérer comme une fonctionnalité bonus, une fois que vous avez identifié un VPN autrement digne de confiance, plutôt que de rechercher spécifiquement un VPN qui en possède un.

Alliance des Five Eyes, Nine Eyes & Fourteen Eyes

La plupart des gens pensent à la NSA lorsqu’on parle de surveillance massive. En réalité, quasi tous les pays ont leur propre agence de renseignements. Ces agences se concentrent sur l’application de la loi, la collecte de données et le contre-espionnage en interceptant les signaux électroniques et les communications en ligne. Qui plus est, elles travaillent souvent ensemble.

Les alliances Five Eyes (5 yeux), Nine Eyes (9 yeux) et Fourteen Eyes (14 yeux) sont trois des plus importants accords de renseignement internationaux, il est donc préférable de ne pas choisir un VPN qui siège parmi eux.

5/9/14 eyes VPN Juridiction

1/ Alliance Five Eyes

5 Eyes

C’est un accord de partage de renseignements qui remonte à la Seconde Guerre mondiale et à l’accord UKUSA, conçu à l’origine comme un « partenariat » entre les États-Unis et le Royaume-Uni. Le traité a vu le nombre de ses membres et sa portée augmenter. Les nations membres, travaillent désormais ensemble pour collecter, analyser et partager des renseignements tant au niveau national, qu’international.

Bien que les pays de l’alliance Five Eyes aient convenu de ne pas s’espionner mutuellement en tant qu’adversaires, des documents divulgués par Edward Snowden ont révélé que les nations surveillent leurs citoyens respectifs et partagent ces renseignements entre elles.

Outre le partage d’infos entre eux, les membres du groupe Cinq Yeux collaborent également pour envoyer et faire appliquer des avis de conservation des données. Cela signifie qu’une nation peut faire pression sur une autre pour qu’elle remette les journaux des utilisateurs de VPN relevant de sa juridiction.

Voici quelques exemples de pays « Five Eyes » et de leurs lois anti-privacy :

Royaume-Uni : Le gouvernement britannique a adopté en 2016 l’Investigatory Powers Act, qui oblige les FAI et les télécoms britanniques à enregistrer l’activité de navigation, les journaux de connexion et les messages de leurs utilisateurs. Ces datas sont stockées pendant 12 mois et sont accessibles aux agences gouvernementales britanniques et aux tiers sans mandat.

États-Unis : Le gouvernement américain est un leader mondial en matière de surveillance de masse et de collecte de données. Les autorités sont aidées en cela par les télécoms, les entreprises technologiques et les fournisseurs de services Internet, comme le montre le programme PRISM.

En 2006, il a été révélé que le gouvernement américain effectuait une surveillance sans mandat de ses citoyens en mettant sur écoute tout le trafic passant par les liens internet d’AT&T. Depuis mars 2017, les FAI américains ont également le pouvoir d’enregistrer l’activité des utilisateurs et de vendre ces informations à des fins lucratives.

Australie : L’Australie a mis en œuvre des lois sur la collecte de données similaires à celles britanniques. La loi oblige les FAI à surveiller et à enregistrer les métadatas des utilisateurs. Ces données sont stockées pendant deux ans et sont accessibles aux autorités sans mandat. La police peut également forcer les entreprises à partager l’accès aux messages cryptés à l’insu de l’utilisateur.

Le système d'espionnage ECHELON

Les nations des Cinq Yeux utilisent le système ECHELON, un réseau de stations d’espionnage conçu pour l’espionnage à l’échelle mondiale.

Ce dernier peut intercepter les datas envoyées par téléphone, télécopie et ordinateur. Les stations peuvent suivre les comptes bancaires, et même intercepter celles envoyées vers et depuis les relais satellites. Ce qui est reçu est stocké dans des bases de données qui peuvent conserver des millions d’enregistrements sur les individus.

Bien que les preuves se multiplient depuis près de 30 ans, les États-Unis nient toujours l’existence du système, tandis que le gouvernement britannique reste toujours évasif. Malgré ces dénégations, divers lanceurs d’alerte ont confirmé la vérité en documentant certains aspects du projet.

2/ Alliance Nine Eyes

9 Eyes

L’existence de l’Alliance des neuf yeux s’est fait connaître à la suite des révélations d’Edward Snowden en 2013. Il s’agit essentiellement d’une extension de l’accord Five Eyes qui coopère pour recueillir et distribuer des informations de surveillance de masse.

Bien que les quatre nations supplémentaires ne disposent pas de programmes de surveillance intérieure aussi étendus que ceux des États-Unis, du Royaume-Uni ou de l’Australie, elles coopèrent néanmoins entre elles et avec eux.

3/ Alliance Fourteen Eyes

14 Eyes

Le nom officiel de l’alliance des Quatorze Yeux est le SIGINT Seniors of Europe (SSEUR), qui existe sous différentes formes depuis 1982. Conçue à l’origine pour échanger des renseignements militaires, elle a été élargie pour inclure des informations de surveillance sur les citoyens ordinaires.

La réunion SIGINT Seniors se tient chaque année et réunit les dirigeants des agences SIGINT, notamment le BND (Service de renseignement Allemand), la NSA (US), la DGSE (France) et le GCHQ (UK). Ces réunions offrent un espace aux leaders mondiaux du renseignement pour discuter de la coopération et du développement.

Le SIGINT Seniors of the Pacific est une entité similaire qui a été créée en 2005. Les États membres comprennent tous les pays du Nine Eyes ainsi que l’Inde, la France, Singapour, la Thaïlande et la Corée du Sud. D’autres pays notables, dont Israël et le Japon, travailleraient également en étroite collaboration avec l’alliance des 14 yeux et la NSA.

4/ L'Union Européenne

European Union

L’Union européenne est un ensemble de nations européennes souveraines. C’est l’une des plus grandes et des plus puissantes unions politiques et économiques mondiales, et elle est également problématique en termes de surveillance et de confidentialité des données.

Bien que les politiques de coopération de l’Union européenne soient loin d’avoir la même portée ou d’être aussi invasives que celles des Alliances des cinq, neuf et quatorze yeux, les États membres de l’UE concluent toujours des accords de partage des données.

Il existe quelques exceptions à cette règle. En 2009, la Cour constitutionnelle de Roumanie (CCR) a jugé que les exigences de l’UE constituaient une violation du droit à la vie privée des citoyens roumains.

Cela fait de la Roumanie un havre de paix pour la protection de la vie privée des utilisateurs parmi les pays de l’UE, et explique pourquoi des VPN comme CyberGhost peuvent choisir d’y baser leurs opérations.

5/ Organisation de coopération de Shanghai (SCO)

Shanghai Cooperation Organisation

Le SCO, appelé aussi le pacte de Shanghai, se concentre principalement sur la sécurité nationale de ses membres et s’efforce généralement de lutter contre l’extrémisme sous ses diverses formes.

Au cours des dernières années, les activités de l’organisation se sont étendues à une coopération militaire accrue, au partage des renseignements et à la lutte contre le terrorisme. Il est fort probable que les pays membres du SCO collectent et partagent des données de la même manière que les alliances de renseignement occidentales.

6/ Pays hautement censurés

Pays hautement censurés

Certains pays interdisent l’utilisation des VPN et envahissent la vie privée de leurs citoyens sans tenir compte des accords internationaux. Les pires contrevenants en matière de restriction d’Internet sont la Chine, les Émirats Arabes Unis, la Turquie, la Russie, Oman, l’Irak et la Biélorussie, bien que cette liste soit loin d’être exhaustive.

Il est très peu probable que vous trouviez un VPN ou un serveur VPN qui soit physiquement basé dans l’un de ces pays, il vaut la peine d’être vigilant. Pour approfondir votre connaissance sur la légalité des VPN et les restrictions sur leur utilisation, vous pouvez lire notre guide dédié aux lois sur les VPN.

Testez votre anonymat/sécurité sur le Web

Voici un outil qui vous permet d’avoir un résumé des autorisations et informations visibles par un site Web. Si vous essayez de cacher ou modifier vos informations, faites le test avant de lancer votre VPN et protections PUIS après avoir lancé votre VPN pour être sûr qu’aucune information ne vous correspond réellement.

Comparaison des VPN

Nous avons vérifié les VPN les plus populaires du marché, nous avons constaté qu’un nombre important de fournisseurs sont basés dans des juridictions susceptibles de mettre en danger ses utilisateurs.

Après analyse, on constate que :

  • 54 % des VPN sont basés dans un État membre de l’Alliance des cinq, neuf ou quatorze yeux. Ces pays sont indiqués en rouge.
  • 33 % des VPN sont basés dans l’UE ou dans un pays soupçonné d’avoir des liens avec un autre gouvernement envahissant. Ces pays sont indiqués en orange.
  • 13 % des VPN sont basés dans des juridictions « sûres », hors de portée des gouvernements violant la confidentialité ou des accords internationaux de partage de données. Ces pays sont indiqués en vert.

Le tableau suivant répertorie les VPN que nous avons vérifiés. Il vous indique leur juridiction s’ils maintiennent ou non un mandat canari.
PS : Si vous recherchez un VPN spécifique, utilisez Ctrl+F pour trouver le fournisseur que vous recherchez ou utilisez la barre de recherche.

VPN Juridiction Mandat Canari / Warrant Canary
AceVPN US Non
AtlasVPN US Oui
Betternet VPN US Non
Confirmed VPN US Non
Hotspot Shield US Non
HideIPVPN US Non
IPVanish US Non
KeepSolid VPN Unlimited US Non
McAfee Safe Connect US Non
Norton Secure VPN US Non
PersonalVPN US Non
Private Internet Access US Non
Slick VPN US Oui
Speedify US Non
StrongVPN US Non
SwitchVPN US Non
TorGuard US Non
Touch VPN US Non
VPN Tunnel US Non
VPN 360 US Non
VPNHub US Oui
Webroot WiFi Security VPN US Non
HideMyAss (HMA) UK Non
VPN99 UK Non
AzireVPN Suède Non
Mullvad VPN Suède Non
PrivateVPN Suède Non
Ivacy Singapour Non
HotspotVPN Singapour Non
Snap VPN Singapour Non
Turbo VPN Singapour Non
VPN Proxy Master Singapour Non
Kaspersky Secure Connection Russie Non
AirVPN Italie Non
Hola VPN Israël Non
Avira Phantom VPN Allemagne Oui
mySteganos Online Shield Allemagne Non
ZenMate Allemagne Non
DefenceVPN Canada Oui
Psiphon Canada Non
SurfEasy Canada Non
TunnelBear Canada Non
Windscribe Canada Non
Celo VPN Australie Non
Goose VPN Pays-Bas Non
HotVPN Belize Non
IVPN Gibraltar Oui
TigerVPN Slovaquie Non
Bitdefender VPN Roumanie Non
CyberGhost Roumanie Non
VPN.ac Roumanie Non
VPNShazam Palestine Non
CactusVPN Moldavie Non
SecurityKiSS VPN Irlande Non
BlackVPN Hong Kong Non
DotVPN Hong Kong Non
Hidester VPN Hong Kong Non
Le VPN Hong Kong Non
SkyVPN Hong Kong Non
VPNSecure Hong Kong Non
VPN.ht Hong Kong Oui
X-VPN Hong Kong Non
Yoga VPN Hong Kong Non
ZoogVPN Grèce Oui
F-Secure Finlande Non
Avast SecureLine VPN République Tchèque Oui
AVG Secure VPN République Tchèque Non
VPNArea Bulgarie Non
Perfect Privacy Suisse Oui
ProtonVPN Suisse Oui
VPNBook Suisse Non
VyprVPN Suisse Non
PureVPN Îles Vierges Britanniques Non
Anonymous VPN Seychelles Non
Astrill Seychelles Non
BolehVPN Seychelles Oui
FrootVPN Seychelles Non
Trust.Zone Seychelles Oui
VeePN Panama Oui
NordVPN Panama Oui
Hide.me Malaisie Non
FastestVPN Îles Caïmans Non
ExpressVPN Îles Vierges Britanniques Non
SurfShark Îles Vierges Britanniques Oui
Retour en haut