vpn

NordVPN est-il sûr ? Audits de sécurité, chiffrement et analyse de confidentialité

NordVPN est-il sûr ? Résultats d'audits indépendants, l'incident serveur de 2018, analyse de la juridiction panaméenne, protocoles de chiffrement et tests du coupe-circuit.

VPN.com Editorial Team · ·9 min de lecture

NordVPN est-il sûr ?

Oui. NordVPN utilise le chiffrement AES-256, opère sous la juridiction panaméenne favorable à la confidentialité et a passé plusieurs audits indépendants, notamment une vérification complète de l’absence de journaux par Deloitte. Un seul incident serveur en 2018 n’a exposé aucune donnée utilisateur. NordVPN a répondu en migrant l’intégralité de son infrastructure vers des serveurs uniquement en RAM, renforçant considérablement sa posture de sécurité.

Cette page traite la sécurité en profondeur. Pour les performances générales du service et les tarifs, consultez notre avis sur NordVPN.

L’incident serveur de 2018 : ce qui s’est réellement passé

En mars 2018, un tiers non autorisé a accédé à un seul serveur NordVPN en Finlande. L’attaquant a exploité un outil de gestion à distance laissé actif par le fournisseur du centre de données. NordVPN n’a pas installé cet outil. C’est le centre de données qui l’a fait, sans en informer NordVPN.

L’attaquant a accédé au serveur lui-même. Il n’a pas accédé aux identifiants des utilisateurs, à leur activité de navigation ni aux informations de leur compte. Le serveur ne contenait aucun journal d’activité, car la politique de non-conservation des journaux de NordVPN signifiait qu’il n’en existait aucun à dérober.

NordVPN a découvert la faille lors d’un audit interne et l’a divulguée publiquement en octobre 2019. Ce délai a suscité des critiques. L’entreprise a reconnu ce manque et s’en est servi comme catalyseur pour apporter des changements majeurs à son infrastructure.

Comment NordVPN a répondu

NordVPN a immédiatement résilié son contrat avec le centre de données finlandais. L’entreprise a ensuite lancé trois grandes initiatives :

Migration vers des serveurs uniquement en RAM. NordVPN a migré l’intégralité de son réseau vers des serveurs sans disque (uniquement en RAM). Ces serveurs ne peuvent pas stocker de données de façon permanente. Chaque redémarrage efface tout. Même la saisie physique d’un serveur ne permet d’obtenir aucune information utile.

Programme de récompenses pour les bugs. NordVPN s’est associé à HackerOne pour permettre à des chercheurs en sécurité indépendants de sonder en permanence ses systèmes. Les chercheurs reçoivent des récompenses pour avoir découvert des vulnérabilités avant les attaquants.

Programme d’audits indépendants. NordVPN s’est engagé à réaliser régulièrement des audits de sécurité par des tiers. Cela a créé une responsabilité externe continue plutôt qu’une simple assurance ponctuelle.

L’incident de 2018 a touché un seul serveur sur des milliers. Aucune donnée utilisateur n’a fuité. Mais NordVPN l’a traité comme une raison de reconstruire son infrastructure de fond en comble. Cette réponse compte davantage que l’incident lui-même.

Calendrier des audits de NordVPN

Les affirmations de confiance sans vérification ne signifient rien. NordVPN s’est soumis à plusieurs audits indépendants réalisés par des entreprises de cybersécurité reconnues.

Audit de sécurité applicative par VerSprite

VerSprite a effectué une évaluation de sécurité des applications de NordVPN. L’audit a examiné les clients VPN à la recherche de vulnérabilités, de faiblesses dans le code et de vecteurs d’attaque potentiels. VerSprite a trouvé des problèmes typiques des logiciels complexes. NordVPN les a corrigés. Ce processus a établi une base pour les tests de sécurité applicative continus.

Évaluation de l’infrastructure par Cure53

Cure53, une entreprise de sécurité basée à Berlin, a réalisé un audit au niveau de l’infrastructure. Son équipe a examiné les configurations des serveurs de NordVPN, l’architecture réseau et les systèmes backend. Cure53 a identifié des axes d’amélioration et confirmé que l’infrastructure principale fonctionnait de manière sécurisée. NordVPN a publié les résultats publiquement.

Vérification de l’absence de journaux par Deloitte (2022)

Cet audit est le plus significatif pour les utilisateurs soucieux de leur confidentialité. Deloitte, l’un des cabinets des Big Four, a conduit un examen complet des affirmations de NordVPN concernant l’absence de journaux. Deloitte a inspecté les configurations des serveurs, examiné les contrôles techniques et interrogé le personnel. NordVPN a publié les résultats de l’audit Deloitte publiquement.

La conclusion : l’infrastructure serveur de NordVPN fonctionne conformément à sa politique de non-conservation des journaux. L’entreprise ne stocke pas les horodatages de connexion, la durée des sessions, les adresses IP, les données de navigation ni la consommation de bande passante.

Transparence continue

NordVPN publie régulièrement des rapports de transparence détaillant les demandes de données gouvernementales. Ces rapports montrent systématiquement le même résultat : NordVPN n’a aucune donnée à transmettre. Les rapports couvrent également les demandes de retrait, le statut du canari de mandat et les lettres de sécurité nationale.

La juridiction panaméenne protège la vie privée des utilisateurs

La société mère de NordVPN, Tefincom S.A., opère sous la loi panaméenne. Cela compte pour trois raisons concrètes.

Aucune obligation de conservation des données. Le Panama n’a aucune loi obligeant les fournisseurs de VPN à stocker l’activité des utilisateurs ou les données de connexion. De nombreux pays européens et nord-américains imposent des périodes de conservation de 6 à 24 mois. Le Panama, non.

En dehors des alliances de partage du renseignement. Le Panama est en dehors des accords de surveillance des Five Eyes, Nine Eyes et Fourteen Eyes. Ces alliances partagent des données de renseignement entre les nations membres. Un VPN basé aux États-Unis, au Royaume-Uni, au Canada ou en Australie est exposé à une divulgation potentiellement contrainte. NordVPN ne l’est pas.

Effet pratique sur les demandes de données. Les agences étrangères chargées de l’application de la loi ne peuvent pas contraindre une entreprise panaméenne à produire des documents via leurs propres systèmes juridiques. Elles doivent passer par les tribunaux panaméens. Et même dans ce cas, NordVPN ne conserve aucun journal à produire. La juridiction ajoute une barrière structurelle en plus de la barrière technique.

Chiffrement AES-256 et options de protocoles

NordVPN chiffre tout le trafic avec AES-256. C’est le même standard de chiffrement que le gouvernement américain utilise pour les informations classifiées. Aucune attaque connue ne peut forcer brutalement AES-256 dans un délai pratique. Les estimations actuelles suggèrent que cela prendrait des milliards d’années avec la puissance de calcul existante.

Protocole NordLynx

NordLynx est le protocole par défaut de NordVPN. Il s’appuie sur WireGuard, qui offre des vitesses élevées grâce à un code source allégé de 4 000 lignes. WireGuard seul présente une limitation en matière de confidentialité : il nécessite de stocker des adresses IP statiques sur le serveur.

NordVPN a résolu ce problème avec un système de double NAT (traduction d’adresses réseau). Le double NAT attribue une adresse d’interface dynamique à chaque session. Lorsque la session se termine, l’adresse disparaît. Cela permet d’obtenir les gains de vitesse de WireGuard sans compromettre la confidentialité.

Les benchmarks de performance montrent que NordLynx atteint des vitesses supérieures à 730 Mbps sur des connexions gigabit. La latence reste faible. Le protocole gère le streaming, les jeux et les téléchargements volumineux sans engorgements.

OpenVPN

OpenVPN reste disponible pour les utilisateurs qui préfèrent un protocole éprouvé. Il fonctionne aussi bien en TCP qu’en UDP. Le TCP offre une fiabilité pour les réseaux restrictifs. L’UDP offre des vitesses plus élevées pour une utilisation générale. Le code source open-source d’OpenVPN a été audité en profondeur par la communauté de sécurité depuis deux décennies.

IKEv2/IPsec

IKEv2/IPsec fonctionne bien sur les appareils mobiles. Il se reconnecte rapidement lors des bascules entre les réseaux Wi-Fi et cellulaires. NordVPN l’associe au chiffrement AES-256. Ce protocole convient aux utilisateurs qui changent fréquemment de réseau.

Le coupe-circuit empêche les fuites de données lors des coupures

Les connexions VPN peuvent tomber. Quand c’est le cas, le trafic non protégé peut s’échapper vers votre FAI. Le coupe-circuit de NordVPN empêche cela.

Le coupe-circuit surveille en permanence votre connexion VPN. Si le tunnel tombe, il bloque instantanément tout le trafic internet. Aucune donnée ne quitte votre appareil jusqu’à ce que le VPN se reconnecte. NordVPN propose deux modes de coupe-circuit :

Coupe-circuit au niveau des applications. Celui-ci bloque l’accès à internet pour des applications spécifiques lorsque le VPN se déconnecte. Les autres applications continuent de fonctionner normalement.

Coupe-circuit au niveau du système. Celui-ci bloque tout le trafic internet à l’échelle de l’appareil. Rien ne passe sans le VPN. C’est l’option la plus sécurisée pour les tâches critiques en matière de confidentialité.

La protection contre les fuites DNS maintient les requêtes privées

Les requêtes DNS traduisent les noms de domaine en adresses IP. Sans protection, ces requêtes peuvent fuiter vers votre FAI même lorsque vous êtes connecté à un VPN. NordVPN achemine toutes les requêtes DNS via ses propres serveurs DNS chiffrés.

Cela empêche votre FAI de voir quels sites web vous visitez. Cela bloque également les fournisseurs DNS tiers d’enregistrer vos habitudes de navigation. Les tests indépendants de fuites DNS confirment systématiquement que la protection de NordVPN fonctionne comme annoncé.

La protection contre les menaces bloque les malwares et les traqueurs

La protection contre les menaces opère au niveau du réseau. Elle bloque les domaines malveillants connus avant qu’ils ne se chargent. Elle supprime les paramètres de suivi des URL. Elle identifie et stoppe les téléchargements de malwares.

La protection contre les menaces fonctionne même lorsque vous n’êtes pas connecté à un serveur VPN. Elle fonctionne comme une couche de sécurité autonome sur les plateformes prises en charge. AV-TEST, un institut de sécurité indépendant, a certifié les capacités de blocage des malwares de la protection contre les menaces.

La fonctionnalité analyse les fichiers lors du téléchargement. Elle vérifie les URL par rapport à des bases de données de menaces constamment mises à jour. Elle bloque les publicités intrusives qui servent souvent de vecteurs de diffusion de malwares.

Foire aux questions

NordVPN a-t-il été piraté ?

Pas de la façon dont la plupart des gens l’imaginent. En 2018, un attaquant a accédé à un seul serveur loué en Finlande via l’outil de gestion à distance du centre de données. Les systèmes centraux de NordVPN, les bases de données utilisateurs et l’infrastructure d’authentification n’ont jamais été compromis. Aucun identifiant utilisateur ni aucune activité de navigation n’ont été exposés. NordVPN a répondu en migrant vers des serveurs uniquement en RAM, en lançant un programme de récompenses pour les bugs et en s’engageant à réaliser des audits indépendants réguliers.

NordVPN conserve-t-il des journaux ?

Non. Deloitte a vérifié la politique de non-conservation des journaux de NordVPN en 2022 lors d’un audit complet. NordVPN n’enregistre pas les horodatages de connexion, la durée des sessions, les adresses IP, les données de bande passante ni l’activité de navigation. L’infrastructure de serveurs uniquement en RAM rend le stockage persistant physiquement impossible. Même si un serveur était saisi, il ne contiendrait aucune donnée utilisateur récupérable.

NordVPN est-il fiable ?

NordVPN étaie ses affirmations par des vérifications indépendantes plutôt que par des promesses marketing. Plusieurs audits de VerSprite, Cure53 et Deloitte confirment ses pratiques en matière de sécurité et de confidentialité. La juridiction panaméenne fournit une protection structurelle de la vie privée. Le programme de récompenses pour les bugs invite à un examen externe continu. Les rapports de transparence documentent chaque demande de données et l’incapacité de NordVPN à y répondre faute de données.

NordVPN peut-il voir mes données ?

L’infrastructure de NordVPN est conçue pour empêcher cela. Les serveurs uniquement en RAM ne conservent rien entre les redémarrages. Le système de double NAT du protocole NordLynx garantit qu’aucun enregistrement d’adresse IP persistant n’existe. Les requêtes DNS sont acheminées via les serveurs DNS privés de NordVPN, qui n’enregistrent pas les requêtes. L’architecture technique élimine la capacité de surveiller ou de stocker l’activité des utilisateurs, pas seulement la politique.

Comment NordVPN se compare-t-il aux autres VPN en matière de sécurité ?

NordVPN se situe dans le premier rang pour la sécurité vérifiée de façon indépendante. Peu de concurrents égalent la fréquence de ses audits. L’infrastructure uniquement en RAM le place aux côtés d’ExpressVPN et de ProtonVPN dans cette catégorie. Son protocole NordLynx offre une solution unique aux limitations de confidentialité de WireGuard. La fonctionnalité de protection contre les menaces ajoute une couche de sécurité que la plupart des VPN n’ont tout simplement pas.

Pour les utilisateurs soucieux de leur confidentialité qui pèsent leurs options, consultez notre comparatif des meilleurs VPN pour la confidentialité. Commencez par l’avis sur NordVPN pour avoir une vue d’ensemble, puis vérifiez les tarifs NordVPN avant d’acheter.