J'examine les VPN pour PCMag et cela signifie que je passe beaucoup de temps à essayer d'expliquer aux gens que je ne suis pas réellement rémunéré ou que je travaille activement contre la sécurité des autres. Pourquoi? Parce que la culture autour des VPN et de la commercialisation de certains de ces produits est devenue incroyablement toxique.
Permettez-moi d'abord de dire que, d'une manière générale, mes interactions avec les fournisseurs de VPN ont été positives. Je crois sincèrement que la plupart des fournisseurs de l’espace VPN fabriquent réellement le meilleur produit possible et essaient de le faire correctement par leurs clients. Pourtant, j’ai vu des éclats de mauvais comportement, petits et grands, dans l’ensemble du secteur.
(Note de la rédaction: IPVanish et StrongVPN sont la propriété de j2 Global, la société mère de l'éditeur de PCMag, Ziff Davis. Nous en parlerons plus en détail ci-dessous.)
Combattre sale
D'après mon expérience de travail avec les VPN, je peux affirmer avec certitude qu'il existe une culture de sabotage et de paranoïa chez certains fournisseurs. Les vidages anonymes d'informations accablantes sur un fournisseur de réseau privé virtuel sont imputés à un autre fournisseur de réseau privé virtuel. Des conseils suggèrent que la propriété de l'entreprise est liée à la mafia russe ou à une autre opération criminelle. Les commentateurs citent un site de révision de réseau privé virtuel comme exemple de rectitude, tandis que d'autres affirment que ce même site est géré secrètement par un fournisseur de réseau privé virtuel avec un agenda. Quand il y a tant de désinformation et de contre-désinformation (qui peuvent aussi être de la désinformation), il est impossible de dire qui dit la vérité.
Neil Rubenking travaille pour PCMag depuis que je suis en vie et je lui ai demandé s'il avait vu quelque chose de similaire couvrant des produits antivirus. Il n'a pas. Ces entreprises se coupent parfois les unes contre les autres et sont parfois accusées de tricherie, mais les principaux acteurs sont suffisamment intelligents pour se rendre compte que la stabilité de leur marché dans son ensemble dépend de leur perception en tant qu'acteurs de confiance.
En outre, il existe toute une industrie de la responsabilisation des fournisseurs d’antivirus. L'AMTSO (organisation de normalisation des tests anti-programmes malveillants, dont Rubenking est membre du conseil consultatif) a défini des directives et publié des outils permettant à tout utilisateur de vérifier que son logiciel antivirus est efficace. Il existe également une industrie de testeurs antivirus telle qu'AV-Test, AV Comparatives et d’autres qui vérifient non seulement le fonctionnement de ces produits, mais en quantifient le fonctionnement. D'autres chercheurs fournissent en direct des programmes malveillants que Rubenking peut utiliser pour vérifier par lui-même que les logiciels antivirus respectent leurs promesses.
Ce type de communauté n'existe pas encore pour les VPN. Il n'est pas particulièrement facile de vérifier si les VPN font réellement quelque chose. Comment pouvons-nous savoir qu'un VPN empêche réellement un fournisseur de services Internet ou un pirate informatique de déterminer votre identité ou d'intercepter votre trafic? Comment pouvons-nous vérifier que chacun des serveurs et des applications de l'entreprise est configuré correctement? Comment pouvons-nous être sûrs que la société ne vend pas nos données ou n'injecte pas d'annonces dans notre trafic Web? Même vérifier qu'un produit VPN donné est en train de chiffrer votre trafic est difficile et prend du temps.
Voici un autre exemple: Fin avril, le registre a publié un article sur le trafic inhabituel en provenance de NordVPN qui ressemblait à du trafic de botnet. La société a fourni diverses explications, essentiellement liées à un comportement attendu destiné à dissimuler les activités des utilisateurs. Cela a du sens, mais les options pour vérifier cette affirmation sont limitées. Par ailleurs, comment puis-je savoir que les accusations elles-mêmes ne proviennent pas d'une autre société VPN avec un agenda? Lorsque la confiance est érodée, même les hypothèses de base sont remises en question.
Comment est-ce arrivé?
Les VPN ne sont pas nouveaux, mais ils ont été utilisés dans la plupart des cas dans un contexte d'entreprise et non de consommateur. La grande exception concernait les dissidents politiques opérant dans des pays dotés de politiques Internet restrictives. Puis tout à coup, des dizaines de nouveaux joueurs sont apparus et ont poussé leurs produits plus durement que jamais. Cette prolifération de masse et les pratiques douteuses qui ont suivi sont le résultat de l’alignement de forces uniques.
Premièrement, les services de streaming tels que Netflix offraient une alternative convaincante au piratage de films et d’émissions de télévision. Une fois que les gens ont découvert qu'ils pouvaient utiliser un VPN pour débloquer encore plus de contenu légal en usurpant leur emplacement, tout le monde en voulait un. J'ai en fait des données pour sauvegarder cela. Selon les enquêtes de PCMag, la majorité des personnes utilisent un VPN pour accéder à du contenu en streaming en ligne. Selon certains acteurs du secteur des réseaux VPN, c'est peut-être la véritable raison pour laquelle les gens achètent des VPN, et tout le reste ne fait que parer les fenêtres pour lui donner un air de légitimité.
Deuxièmement, la montée mondiale de la politique d'extrême droite a suscité un intérêt croissant pour les VPN. Les personnes qui se trouvaient dans des lieux qui ne se préoccupaient généralement pas de la vie privée ou de la censure avaient soudainement raison de se procurer un VPN. Aux États-Unis, en particulier, l’effondrement de nos règles de neutralité de l’Internet, la monétarisation de l’activité des utilisateurs par les FAI et l’inquiétude généralisée à l’égard de la surveillance dans un monde post-Snowden n’ont pas aidé.
Troisièmement, et enfin, l’argent. Démarrer une petite entreprise VPN est comparativement bon marché. Grâce aux serveurs cloud et aux protocoles VPN open source, il est assez facile de mettre en service quelques serveurs. Enfer, j'ai fait mon propre VPN et c'était le travail de peut-être 30 minutes. À l’heure actuelle, le mien n’avait qu’un seul serveur et non les milliers de serveurs répartis sur plusieurs sites proposés par les principaux acteurs, mais le faible obstacle à l’entrée a certainement facilité l’entrée sur le marché des mauvais acteurs.
Le problème pour les entrepreneurs VPN ne construit pas le produit, il oblige les gens à l'acheter. C’est là que le marketing par affiliation entre en jeu. Wikipedia définit le meilleur du marketing par affiliation: "dans lequel une entreprise récompense un ou plusieurs affiliés pour chaque visiteur ou client amené par ses propres efforts de marketing." Si vous vous demandez pourquoi il existe 10 millions de sites avec des URL combinant "VPN" et "Review", ou pourquoi chaque site, de CNet à Wirecutter, a commencé à analyser les VPN, en raison du marketing d'affiliation.
Comme mentionné ci-dessus, La société mère de PCMag, j2 Global, vient d'établir une connexion au marché des réseaux VPN avec l'achat d'IPVanish et de StrongVPN le mois dernier. Et comme CNET, Wirecutter, Tech Radar, The Verge et bien d’autres encore, PCMag participe également à un programme de commerce affilié. Mais nos analystes (c’est moi) sont salariés et ne reçoivent aucune réduction de l’argent généré par nos critiques. De plus, nous gardons intentionnellement l'ignorance des accords commerciaux entre nos employeurs et nos fournisseurs et appliquons une politique d'intégrité éditoriale stricte. Cela signifie que je teste de manière approfondie les VPN, que je publie des critiques avec des notations basées sur les résultats de tests réels et que mes éditeurs soutiennent mes conclusions et les défendent, quelle que soit l'influence du fournisseur. Parfois, les entreprises ne sont pas d'accord avec nos critiques, souvent, cela les incite à améliorer leurs produits.
Ce n'est pas nécessairement vrai pour les autres sites, et une bonne partie des sites de révision VPN semblent être des fermes de marketing d'affiliation avec des préoccupations douteuses en matière d'intégrité éditoriale. En publiant du contenu optimisé pour le référencement, ces sites volent des pages vers les yeux et gagnent de l'argent pour les affiliés.
Pour être clair: il existe de bonnes critiques VPN de sites tels que PCMag qui s'appuient sur leur réputation d'autorité. D'autres ne sont que des publications vides, trafiquant des analyses bâclées, ou, pire encore, peut-être purement payantes. Les programmes d'affiliation peuvent permettre un mauvais comportement. Dans le cas des VPN, cela rend encore plus difficile le filtrage des informations contradictoires sur un produit donné.
Nous avons eu un soupçon de pourriture dans cette industrie récemment lorsque mon collègue Michael Kan a enquêté sur TheBestVPN.com. Ce site, dirigé par une personne dont les noms changent sans cesse, a agressivement cherché des liens vers d’autres sites pour remonter dans le classement, ce qui lui a valu d’augmenter le nombre de visiteurs et le montant des fonds affiliés. Ses efforts ont été extrêmement fructueux, grimpant dans les résultats de recherche et gagnant des liens même avec PCMag. Maintenant, nous ne savons pas si le contenu produit sur TheBestVPN (ou l'une de ses autres incarnations) est faux, mais cela n'a pas l'air beau si le propriétaire (et peut-être l'unique employé) ne peut pas mettre son nom sur le travail ou le défendre. quand on pose des questions.
Faites confiance mais vérifiez
Le journalisme de consommation est confronté à ce problème tout le temps. Seul le fournisseur sait ce que sont réellement ses processus, et cela reste vrai sauf si des informations sont divulguées, que les forces de l'ordre s'impliquent ou que des tiers intelligents et dignes de confiance vérifient. Je pense que les entreprises VPN le savent et cela a contribué à la prolifération de produits VPN légitimes et factices.
Dans mon propre travail, ma solution a été de demander directement aux sociétés VPN leurs pratiques et leurs politiques. Bien sûr, ils peuvent me mentir (et certains le font probablement), mais s’ils doivent mentir, ils risquent de se faire mentir. Ce dont nous avons besoin maintenant, c'est d'un moyen de faire cette capture.
Les sociétés de réseaux privés virtuels ont ici la possibilité de réparer leur propre secteur. Si les principaux acteurs se réunissaient, s'accordaient sur un ensemble de principes techniques et éthiques et fournissaient des méthodologies pour vérifier ces principes, la quasi-totalité de ces problèmes disparaîtraient. Je pense que l'industrie se rapproche de cet avenir, car de plus en plus de sociétés font appel à des tiers testeurs pour auditer leurs produits et publier les résultats.
Il est temps de nettoyer l'industrie
Je crains que la confusion et le vitriol qui entourent les VPN ne rendent le marché insoutenable. Toutes les entreprises, et en particulier les entreprises de sécurité, doivent compter sur les clients qui se considèrent comme de bons acteurs. Leur réputation est leur affaire. Lorsque les clients ne font plus confiance à un produit, ils ne l'utilisent pas et, lorsqu'ils ne font pas confiance à un secteur, ils l'abandonnent. Envisagez à nouveau les sociétés antivirus. Les pratiques abusives et l'ingénierie bâclée des années 90 ont amené un public qui se méfiait de toute cette catégorie de produits – et à juste titre. Lorsque le public a le plus besoin de protection, l’industrie n’a pas répondu à ces attentes et a payé un lourd tribut. Il y a encore des gens qui achètent les «sociétés d'antivirus qui fabriquent les virus», une école de complot.
De même, lorsque les sociétés VPN financent, directement ou indirectement, de faux sites de critiques, génèrent des informations erronées et dépendent de l'opacité pour vendre leurs produits, elles empoisonnent la confiance des consommateurs. Au fur et à mesure que l'atmosphère autour des VPN devient plus toxique, plus de clients seront frustrés et abandonneront complètement. Et c'est dommage, car à l'ère d'Internet, tout le monde a besoin d'un VPN. Plutôt que de viser le fond, l'industrie doit faire preuve de prudence maintenant, avant qu'il ne soit trop tard.