Étant donné que la section « Learn » de TalkRights propose des contenus rédigés par des bénévoles de l’ACLC ainsi que des entretiens avec des experts qui s’expriment en leur propre nom, les opinions qui y sont exprimées ne reflètent pas nécessairement les politiques ou les positions de l’ACLC. Pour consulter les publications officielles, les rapports clés, les prises de position, la documentation juridique et les dernières actualités concernant le travail de l’ACLC, rendez-vous dans la section « In Focus » de notre site web.
La grande majorité du temps passé sur un ordinateur ou un smartphone est consacrée à la navigation sur Internet : consultation de sites web, visionnage de vidéos en ligne, utilisation des réseaux sociaux, etc. L’historique de navigation d’une personne peut révéler certaines de ses informations les plus personnelles, notamment son orientation sexuelle et ses opinions politiques. Malgré notre souci de préserver la confidentialité de notre activité sur Internet, une grande partie de celle-ci peut être enregistrée ou surveillée à des degrés divers par les fournisseurs d’accès à Internet (FAI), les forces de l’ordre et les sites web mêmes que nous visitons. Heureusement, les réseaux privés virtuels (VPN) peuvent ajouter une couche supplémentaire de confidentialité lors de la navigation sur Internet. Cet article explique le fonctionnement des VPN et examine leurs implications en matière de confidentialité.
QU’EST-CE QU’UN VPN ET COMMENT FONCTIONNE-T-IL ?
Pour comprendre le fonctionnement d’un service VPN, il est utile de commencer par comprendre les principes de base d’une connexion Internet classique. [1] Un ordinateur se connecte à Internet via un modem souvent fourni par l’un des FAI, comme Rogers ou Bell. Chaque FAI attribue une série unique de chiffres, appelée adresse IP, à chacun des modems de ses clients. Un FAI est en mesure de remonter de l’adresse IP d’un modem jusqu’au client sous le nom duquel ce modem est enregistré. Une adresse IP peut également être utilisée par n’importe qui pour localiser approximativement un appareil connecté à Internet.
Nos interactions avec un site web consistent généralement en l’envoi, par notre modem, de requêtes électroniques visant à recevoir des informations stockées sur le serveur du site web. Ce processus comporte plusieurs étapes. Tout d’abord, une requête initiale est envoyée depuis notre appareil à notre FAI, qui achemine ensuite cette requête vers le serveur web hébergeant les informations. Après avoir reçu la requête, le serveur web renvoie les informations à votre adresse IP. Les informations transmises tout au long de ce processus peuvent être surveillées et enregistrées par le FAI.[2] Le serveur web peut également conserver une trace des informations qu’il envoie à une adresse IP donnée.
Un service VPN fait essentiellement office d’intermédiaire sécurisé entre notre FAI et le serveur du site web.[3] Lorsqu’un service VPN est activé, notre FAI connecte notre appareil à un serveur VPN. Contrairement à une connexion Internet classique, toutes les informations qui transitent entre le serveur VPN et votre appareil sont chiffrées et ne peuvent pas être déchiffrées par le FAI. Cette connexion sécurisée est appelée « tunnel VPN ». Lorsque vous utilisez un VPN, une requête chiffrée est acheminée par le FAI directement vers le serveur VPN, et non vers le serveur web. Après avoir reçu la requête, le serveur VPN envoie sa propre requête en utilisant une nouvelle adresse IP pour récupérer les informations auprès du serveur du site web. Du point de vue du serveur web, c’est l’adresse IP du VPN — et non celle de l’utilisateur final — qui demande les informations. Le serveur VPN crypte les informations reçues du serveur du site web et les renvoie à votre adresse IP. Non seulement le FAI est incapable de décrypter ces informations, mais comme les informations cryptées sont envoyées directement du VPN à votre appareil, le FAI ignore également de quel site web proviennent ces informations.
CONSÉQUENCES EN MATIÈRE DE PROTECTION DES DONNÉES
L’utilisation d’un VPN lors de la navigation sur Internet a trois principales implications en matière de confidentialité. Premièrement, afin de se conformer à la Loi sur le droit d’auteur, les FAI canadiens conservent un enregistrement temporaire de chaque adresse IP qu’ils attribuent à un modem.[4] De plus, un FAI est en mesure de conserver un enregistrement des sites Web visités et du contenu téléchargé par une adresse IP, bien que l’ampleur de ces pratiques ne soit pas claire et qu’il soit peu probable qu’un FAI surveille activement l’activité Internet de ses clients. Néanmoins, les informations transmises via une connexion Internet standard peuvent être surveillées et mises à la disposition des forces de l’ordre sur présentation d’un mandat. En utilisant un service VPN, votre activité sur Internet sera cryptée et ne pourra pas être déchiffrée par le FAI. Du point de vue d’un FAI, l’adresse IP attribuée au modem d’un client ne fait que recevoir des données cryptées provenant d’un serveur VPN. Il convient toutefois de noter que, tout comme un FAI est généralement en mesure de surveiller les informations reçues d’un serveur web, le service VPN est capable de surveiller de la même manière les informations demandées qu’il reçoit du serveur web. Ces informations ne sont cryptées et renvoyées depuis le serveur VPN vers votre appareil qu’ultérieurement. Néanmoins, de nombreux VPN ont pour politique expresse de ne pas enregistrer l’activité Internet d’un utilisateur (mais assurez-vous de lire et de bien comprendre cette politique lorsque vous choisissez un VPN !).
Deuxièmement, contrairement aux États-Unis, les fournisseurs d’accès à Internet canadiens ne sont pas autorisés à partager les informations personnelles d’un client, telles que son historique de navigation, avec des tiers sans son consentement explicite. Cependant, les lois sont souvent susceptibles d’évoluer, et il est tout à fait possible qu’à l’avenir, les FAI puissent partager ces informations sans consentement.[5] Étant donné qu’un VPN garantit le chiffrement de l’activité Internet d’un utilisateur, les FAI ne pourront pas vendre d’informations concernant l’historique de navigation d’un client.
Enfin, les sites web conservent eux-mêmes une trace des adresses IP qui se connectent à leur site. L’adresse IP permet à son tour à ces sites web de localiser approximativement l’appareil de l’utilisateur. En utilisant un service VPN, c’est l’adresse IP du VPN — et non celle de l’utilisateur — qui demande les informations au serveur web, masquant ainsi efficacement l’identité de l’utilisateur final.
Tout comme nous sommes en droit d’attendre que notre courrier reste confidentiel vis-à-vis des facteurs ou que nos conversations téléphoniques restent confidentielles vis-à-vis des opérateurs de télécommunications, nous devrions pouvoir compter sur la confidentialité de notre activité sur Internet. Bien que l’on ne sache pas exactement dans quelle mesure un FAI surveille et enregistre l’activité Internet d’un utilisateur, le fait que les FAI se montrent souvent peu ouverts et peu transparents quant à leurs pratiques est préoccupant. Pour ceux qui sont soucieux de la protection de leur vie privée et souhaitent que leur activité sur Internet reste confidentielle, un VPN est un outil utile pour ajouter une couche supplémentaire de confidentialité lors de la navigation sur Internet.
[1] Pour plus d’informations, voir Shuler, Rus. « Comment fonctionne Internet ? », Pomeroy IT Solutions, 2002, web.stanford.edu/class/msande91si/www-spr04/readings/week1/InternetWhitepaper.htm.
[2] Les sites web qui utilisent un protocole de chiffrement tel que HTTPS chiffrent les données échangées entre le site et l’appareil de l’utilisateur. Cependant, contrairement à un service VPN, le chiffrement HTTPS n’empêche pas votre FAI d’enregistrer que votre adresse IP a visité le site. Il reste en mesure de constater que votre appareil est connecté au site web.
[3] Pour plus d’informations, voir Tyson, Jeff et Stephanie Crawford. « Comment fonctionnent les VPN ». HowStuffWorks, 14 avril 2011, https://computer.howstuffworks.com/vpn.htm
[4] La législation actuelle ne précise pas clairement si les fournisseurs de services VPN canadiens sont tenus de conserver les journaux d’adresses IP. De nombreux VPN ont pour politique explicite de ne pas conserver de trace des adresses IP de leurs clients.
[5] Pour plus d’informations sur le récent vote du Sénat américain visant à abroger une décision de la FCC interdisant aux FAI américains de vendre les données de leurs clients à des tiers, voir Fung, Brian. « À quoi s’attendre maintenant que les fournisseurs d’accès à Internet peuvent collecter et vendre l’historique de votre navigateur Web ». The Washington Post, 29 mars 2017, http://www.washingtonpost.com/news/the-switch/wp/2017/03/29/what-to-expect-now-that-internet-providers-can-collect-and-sell-your-web-browser-history/?utm_term=.603c26013a26.
Pour plus d’informations sur la situation au Canada, voir Braga, Matthew. « Non, votre fournisseur d’accès à Internet canadien ne peut pas vendre vos données comme aux États-Unis ». CBCnews, CBC/Radio Canada, 31 mars 2017, http://www.cbc.ca/news/technology/us-fcc-internet-privacy-legislation-marketing-ads-canada-1.4046512.
À propos de l'Association canadienne des libertés civiles
L’ACLC est une organisation indépendante à but non lucratif qui compte des sympathisants dans tout le pays. Fondée en 1964, l’ACLC est une organisation nationale de défense des droits de l’homme qui s’engage à défendre les droits, la dignité, la sécurité et les libertés de toutes les personnes au Canada.
À l'attention des médias
Pour toute remarque complémentaire, veuillez nous contacter à l’adresse suivante : media@ACLC.org.
Pour suivre l'actualité en direct
N’hésitez pas à consulter régulièrement cette page ainsi que nos réseaux sociaux. Vous pouvez nous retrouver sur Instagram, Facebook, Twitter et Blue Sky.
