Responsabilité sociétale des entreprises
Question 1 : Quel est le nom légal complet et le nom public du service VPN ainsi que de toute société mère ou de portefeuille ?
NymVPN est exploité par Nym Technologies SA, une entreprise suisse dont le siège est à Neuchâtel, en Suisse. L'entreprise est détenue en privé par ses cofondateurs, Harry Halpin et Alexis Roussel, sans sociétés mères ni sociétés holding. D'autres co-fondateurs sont des actionnaires minoritaires de la société.
Ni Nym Technologies SA, ni Harry Halpin, ni Alexis Roussel n'ont de propriété ou d'intérêts économiques dans d'autres entreprises de VPN. Harry Halpin a été précédemment président du conseil d'administration du LEAP Encryption Access Project (un VPN centralisé pour les activistes des droits humains), un poste qu'il a quitté.
NymVPN est uniquement géré par Nym Technologies SA, sans l'implication d'aucune autre entreprise ou partenaire.
Question 2 : L'entreprise, ou d'autres entreprises impliquées dans l'exploitation ou la propriété du service, détient-elle des parts dans des sites web d'évaluation de VPN ?
Non.
Question 3 : Quel est le modèle économique du service (c'est-à-dire, comment le VPN génère-t-il des revenus) ?
Modèle économique** : NymVPN génère des revenus exclusivement par le biais d'abonnements VPN, qui incluent à la fois l'accès VPN décentralisé (dVPN) et mixnet. L'entreprise ne s'engage pas à vendre les informations des utilisateurs ou à utiliser les données des clients à d'autres fins que l'exploitation du service VPN.
Nous envisageons de créer des versions d'entreprise de notre mixnet pour des partenaires potentiels. Nym Technologies SA a reçu un petit montant de revenus provenant de l'intégration du mixnet avec d'autres projets, y compris:
- une subvention du programme de subventions de la communauté ZCash, pour intégrer le mixnet avec les portefeuilles ZCash;
- Des subventions R&D du programme Next Generation Internet de la Commission européenne, pour permettre des formats de paquets mixnet et des technologies de identifiants anonymes.
Pratiques de journalisation des données
Question 4 : Le service stocke-t-il des données ou des métadonnées générées pendant une session VPN (de la connexion à la déconnexion) après la fin de la session ? Si c'est le cas, quelles données ?
- Appareil utilisateur : Pendant la phase alpha et à des fins de débogage, certaines données de connexion peuvent être enregistrées dans les journaux de l'application et stockées sur l’appareil de l’utilisateur. Ces journaux sont régulièrement supprimés. À mesure que les applications NymVPN deviennent plus stables, Nym vise à rendre ces journaux moins verbeux. Les utilisateurs peuvent consulter les données via le menu Paramètres > Journaux dans leur application NymVPN (note : ces journaux sont stockés localement sur l'appareil de l'utilisateur et ne sont pas partagés avec Nym ou des tiers).
- Rapports de crash anonymisés : Les utilisateurs ont la possibilité de partager volontairement des rapports de crash anonymisés pour aider à améliorer NymVPN. Ces rapports sont conçus pour s'assurer qu'ils ne contiennent aucune information permettant d'identifier des utilisateurs individuels. Par conception, aucune autre donnée sur les activités en ligne de l'utilisateur n'est accessible à Nym Technologies SA.
- Opérateurs de nœud : En tant que VPN décentralisé, les serveurs de NymVPN sont exploités par des opérateurs indépendants. Par conception, les opérateurs de passerelle d'entrée peuvent avoir accès à l'adresse IP d'un utilisateur (mais pas à son activité en ligne), et les opérateurs de passerelle de sortie peuvent voir l'activité en ligne (mais ne peuvent pas la lier à l'adresse IP d'un utilisateur). Selon nos Termes et Conditions des Opérateurs et Validateurs de Node, les opérateurs s'engagent à ne pas 'collecter, surveiller, enregistrer, enregistrer, stocker, retenir, ou de transmettre à toute tierce partie des informations Nym Node ou toute information ou donnée relative aux activités des utilisateurs finaux de NymVPN ou des Services VPN'.
Pour plus de détails, veuillez vous référer à notre [Déclaration de confidentialité des applications] (/en/vpn-privacy-statement).
Question 5 : Est-ce que votre entreprise stocke (ou partage avec d'autres) toutes les données de navigation et/ou d'activité du réseau, y compris les recherches DNS et les enregistrements de noms de domaine et de sites Web visités ?
Voir la question 4.
Recherche DNS: NymVPN ne gère pas de service DNS. En conséquence, les recherches DNS sont gérées par le fournisseur DNS par défaut ou par celui configuré par l'utilisateur.
Question 6 : Avez-vous un processus clair pour répondre aux demandes légitimes de données de la part de la police et des tribunaux?
NymVPN est exploité par Nym Technologies SA, une entreprise suisse, et adhère à la législation suisse. Nous maintenons un conseiller juridique pour répondre à toutes les demandes de maintien de la loi.
Par conception, en tant que service VPN décentralisé, NymVPN ne conserve aucune donnée liée aux activités en ligne des utilisateurs. Bien que NymVPN ait accès aux données de paiement des utilisateurs, celles-ci ne sont pas corrélées à leurs comptes VPN via l’intégration basée sur « zk-nyms » (preuve zero-knowledge).
Comme Nym est décentralisé, il est possible que les demandes de données des forces de l'ordre et des tribunaux soient envoyées à des nœuds décentralisés de notre réseau.
Pratiques de sécurité
Question 7 : Que faites-vous pour vous protéger contre l'accès non autorisé aux flux de données clients via le VPN ?
Audit: NymVPN s'engage à offrir des avantages en matière de confidentialité et de sécurité de premier ordre à ses utilisateurs. Le code source de NymVPN est entièrement open source, sous licence GPLv3 et l'Apache Software Foundation, et est disponible pour que tout le monde puisse l'auditer. En juillet 2024, NymVPN et d'autres technologies Nym essentielles ont été audités par la société de test de pénétration réputée Cure53. Nym Technologies a également subi plusieurs autres [audits de sécurité] (/en/trust-center/independently-audited) liés à son mixnet et à sa cryptographie.
Programme de récompense de bogues (Bug bounty) / divulgation de vulnérabilités : À partir de décembre 2024, NymVPN prévoit un programme de divulgation de vulnérabilités pour que les chercheurs en sécurité signalent des problèmes, qui doit être lancé au premier trimestre 2025. Ce programme sera mis en ligne une fois que les résultats de l'audit de Cure53 auront été traités et publiés.
Protocoles cryptographiques : Guidé par les meilleurs experts en sécurité, en confidentialité et en cryptographie, NymVPN s'appuie sur des protocoles cryptographiques de pointe, notamment y compris (pour le mode mixnet) :
- AES128 pour une communication sécurisée entre les clients et les nœuds d'entrée, ainsi que pour le chiffrement de l'en-tête Sphinx;
- BLAKE3 pour la dérivation de clés au format de paquet Sphinx;
- Lioness pour le chiffrement de la charge utile Sphinx.
Et (pour le mode WireGuard) :
- ChaCha20 pour le chiffrement symétrique ;
- Poly1305 pour authentification;
- BLAKE2s pour le hachage.
Pratiques de sécurité- Mise à jour du logiciel : Les applications pour les utilisateurs finaux de NymVPN et les binaires de l'opérateur sont mis à jour régulièrement pour garantir l'installation des correctifs et l'amélioration de la sécurité.
Contrôle des serveurs et sécurité physique : Nym Technologies SA n'exploite pas les serveurs VPN, s'appuyant plutôt sur des opérateurs de nœuds indépendants. Nym Technologies SA assure également l’utilisation d’outils internes modernes et gérés de manière sécurisée et applique des politiques de sécurité strictes des employés, y compris l’authentification multi-facteurs.
Question 8 : Quels autres contrôles le service utilise-t-il pour protéger les données utilisateur ?
Voir la question 7.
Contexte
À la suite de discussions lors de la conférence sur les droits de l'homme de RightsCon en 2018, le Centre pour la démocratie et la technologie (CDT, une organisation à but non lucratif réputée dédiée à la promotion des droits civils et des libertés civiles dans l'ère numérique, et d'éminents fournisseurs de VPN ont reconnu un manque significatif de confiance et de transparence au sein de l'industrie VPN.
En réponse, le CDT a élaboré une liste de [8 questions standardisées] (https://cdt.org/insights/signals-of-trustworthy-vpns-questions-for-vpn-services/) portant sur (1) la responsabilité des sociétés, (2) les pratiques de collecte de données, et (3) les pratiques de sécurité, permettant aux fournisseurs de VPN de démontrer leur engagement envers la fiabilité et une réputation positive.
Dans notre engagement à assurer la transparence totale de nos produits et de nos opérations, nous partageons nos réponses aux 8 questions posées dans le questionnaire Signals of Trustworthy VPN.
Dernière mise à jour : 4 décembre 2024