La nouvelle est tombée comme une bombe pour ceux qui opèrent dans l’industrie des réseaux VPN, qui, comparé à d’autres comme l’hébergement Web, ressemble plutôt à un cottage où tout le monde se connaît..

Il y a 10 jours, l'utilisateur de Reddit, 8obhex, a écrit un article explosif sur un document de plainte pénale (PDF) qui faisait allusion au fait que Highwinds Network Group, maintenant détenu par StackPath, et la société à l'origine du célèbre VPN IPVanish, conservaient les journaux malgré leur non-respect. politique de journalisation.

La suite a été un torrent de commentaires qui a brusquement pris fin lorsque le compte 8obhex et neuf commentaires connexes ont été supprimés. La fureur subséquente provoquée par la divulgation a forcé Lance Crosby, le PDG de la société, à faire une déclaration officielle sur Reddit..

Techradar Pro a abordé StackPath avec neuf questions, dont Jeremy Palmer, vice-président des produits et du marketing de la société, a répondu à huit d'entre elles..

1. Des documents judiciaires récemment publiés sur Reddit (IPVanish_Summons.png) suggèrent qu'en 2016, IPVanish a répondu à une citation à comparaître en transmettant des informations sur les activités d'un utilisateur, notamment les temps de connexion, l'utilisation éventuelle de protocoles spécifiques et les temps de déconnexion. Ces enregistrements sont-ils un résumé complet et exact de ce qui s’est passé ou pouvez-vous fournir des informations générales supplémentaires??

Comme cela s’est produit avant l’acquisition de Highwinds Network Group par StackPath, nous n’avons pas de détails supplémentaires sur cette affaire. L'ancienne équipe juridique et de direction est partie depuis longtemps. Il serait impossible pour moi de spéculer sur ce qui aurait pu se passer.

2. IPVanish a prétendu avoir un strict “pas de journalisation” politique depuis de nombreuses années. La réponse du tribunal suggère que cela était faux. Quelles informations ont été enregistrées par le service en 2016? Si vous ne savez pas ce que faisait la direction précédente, quelles mesures avez-vous prises pour le déterminer??

StackPath a procédé à une vérification préalable et à un audit indépendant avant l’acquisition. Il n'y avait aucune trace de journaux en cours de stockage. Nous avons effectué une vérification interne pour nous assurer que notre politique actuelle est conforme à nos pratiques. Comme notre PDG, Lance Crosby, a déclaré: "Sans exception, IPVanish ne le fait pas, et ne va pas enregistrer ni stocker les journaux de nos utilisateurs en tant que société StackPath."

3. IPVanish a aujourd'hui à peu près la même politique de confidentialité. Alors que cela ne semble pas être vrai il y a deux ans à peine, pourquoi les clients potentiels devraient-ils croire maintenant à ces demandes de journalisation zéro??

C'est une société complètement différente, avec une nouvelle équipe de direction et juridique. La sécurité et la confidentialité sont notre mission principale. Nous avons beaucoup investi dans la nouvelle équipe et dans la nouvelle infrastructure afin de garantir la confidentialité de nos clients..

4. Les documents judiciaires suggèrent qu'en 2016, IPVanish rendrait les documents presque aussitôt qu'ils auraient été demandés. Quelle est votre politique actuelle en matière de réponse aux demandes d'application de la loi, aux assignations à comparaître ou aux décisions judiciaires??

Ces documents judiciaires ne sont pas apparus avec diligence. Nous avons d'abord entendu les détails de cette affaire lorsque l'histoire a éclaté sur Reddit.

Jeremy Palmer, StackPath

Notre équipe juridique vérifiera la légitimité et la compétence de l'enquête. Notre réponse à ces demandes est simplement que nous n'avons aucune information à fournir, ce qui est absolument vrai..

5. Si le rapport sur Reddit vous a révélé l'existence de cet incident pour la première fois, comment pourriez-vous dire d'emblée que IPVanish ne se connecte plus? N'auriez-vous pas eu à faire une revue complète d'abord?

Avant cette histoire, nous avions passé plusieurs mois à nous préparer à la législation de l'UE sur les RPGP. Nous avons effectué des audits complets de nos systèmes et processus au cours de cette période. Nous avons également mis à jour notre politique de confidentialité pour être plus facile à comprendre et plus transparente..

6. Votre processus de diligence raisonnable fin 2016 ou début 2017 a-t-il permis de découvrir les documents judiciaires de 2016? A quel moment avez-vous découvert ces documents de 2016?

Ces documents judiciaires ne sont pas apparus avec diligence. Nous avons d'abord entendu les détails de cette affaire lorsque l'histoire a éclaté sur Reddit.

7. Si vous l'aviez découvert avant le rapport Reddit, pourquoi n'avez-vous pas divulgué cette information publiquement, l'incident étant en contradiction directe avec la longue tradition d'IPVanish “pas de journaux” politique.

Voir la réponse ci-dessus

8. Vous avez effacé le rapport en disant qu'il n'était pas sous votre surveillance. Mais depuis l’acquisition de l’équipe Highwinds, n’y at-il aucun ingénieur de longue date capable de répondre de ce qui s’est passé exactement?

StackPath n’a pas acquis l’ensemble de l’équipe technique de Highwinds. L'équipe actuelle n'a pas de détails supplémentaires sur le cas.

9. Que fait StackPath aujourd'hui pour se protéger contre le risque de saisie du serveur et enregistrer les données (même involontairement) sur le disque dur ou la mémoire système?

Nous disposons de nombreuses couches de sécurité physique et numérique pour le service VPN. Toutes les données de trafic transitant par notre réseau sont cryptées et illisibles par quiconque, y compris par nous..