Le marché conflictuel des VPN : le cas NordVPN



 

Destinés initialement à un usage professionnel pour permettre l’échange sécurisé de données au sein d’une entreprise lorsque les collaborateurs sont connectés sur un réseau extérieur, les Virtual Private Networks, ou VPN, ont depuis plusieurs années su se faire une place hors de l’univers professionnel. Le grand public prend en effet de plus en plus conscience, que ce soit au travers des régulières et massives fuites de données ou des grandes affaires telle Wikileaks, que les informations personnelles qu’il échange en ligne ne sont pas à l’abri d’une récupération par des tiers, qu’il s’agisse d’états, d’entreprises ou autres. Face à ce risque, ou aux blocages géographiques que peuvent rencontrer certains contenus, l’utilisation d’un VPN apparaît aujourd’hui comme un moyen de se prémunir contre une interception, une limitation ou un détournement des données, notamment dans le contexte actuel de remise en cause de la neutralité du net

Un marché en expansion


Pour des raisons ludiques, politiques ou purement sécuritaires, une part grandissante des utilisateurs d’internet a recours à un VPN. En 2018, environ 26% d’entre eux déclarait utiliser ces services. Si les entreprises les proposant ne communiquent pas facilement sur leur nombres d’abonnés cette tendance global est néanmoins visible au travers de l’évolution de la taille du marché : de 15,46 milliards de dollars en 2016, il était estimé à 20.6 milliards en 2018 et est en augmentation constante. Le marché pourrait atteindre les 54 milliards d’ici 2024. Face à de tels enjeux, nombre d’acteurs se côtoient sur ce sujet. On citera notamment des entreprises toujours plus nombreuses à proposer ces services, les états dont certains cherchent à contrôler les flux de données, et les hackers qui, soit par défi, soit par intérêt, cherchent à trouver les failles de ces tunnels sécurisés et les exploiter. 

Les ténors du secteur s’efforcent aujourd’hui de mettre en avant leurs services face aux concurrents de plus en plus nombreux, notamment auprès des jeunes générations qui sont davantage sensibilisées aux problématiques de sécurité informatique et donc davantage consommatrices de ces outils. Afin d’atteindre ce public, et compte tenu de la nature même du produit proposé, l’essentiel de la communication se fait aujourd’hui sur la toile, et l’e-réputation y tient donc une place fondamentale. C’est ce qu’a bien compris NordVPN. 

Leader actuel du marché mondial, l’entreprise NordVPN a été créée en 2012 et est basée au Panama, état sans réglementation concernant la conservation des données qui lui permet de garantir un service sans conservation des logs. Elle possède plus de 5000 serveurs dans 60 pays. En phase de croissance, NordVPN cherche à apparaître comme la référence en la matière. Pour ce faire, elle mène aujourd’hui une grande offensive marketing, notamment par l’intermédiaire de très nombreux sponsoring de contenu sur YouTube dont le fameux PewdiePie avec son audience de plus de 100 millions d’abonnés, afin de marquer les esprits qui se familiarisent peu à peu avec le concept de VPN. Ce nouveau marché numérique, à l’instar de ses alter-ego physique, n’échappe aux affaires diverses telles que celles qui concernent aujourd’hui NordVPN. 

L'affaire NordVPN révélée par un hacker


Le 20 octobre 2019, un hacker indique sur tweeter que le fournisseur de service a été victime d’un piratage. Dès le lendemain l’entreprise confirme dans un journal spécialisé. D’après NordVPN, un unique serveur sous-traitant était concerné, et a depuis été écarté. Les données récupérées pendant cette période ne mettraient d’ailleurs pas en péril le fonctionnement du service car n’auraient pas permis la mise en place d’un suivi des données des utilisateurs. Commence dès lors pour la firme une vaste opération de minimisation de l’incident sur fond de polémiques : l’affaire est alors vieille depuis plus d’un an et demi et l’entreprise au courant depuis plusieurs mois sans l’avoir signalé à ses clients. Des révélations supplémentaires sur des fuites de données viennent d’ailleurs s’ajouter aux précédentes et plonger un peu plus le doutes sur la gestion de l’entreprise. 

Compte tenu de la présence médiatique de NordVPN, c’est envers celui-ci que se concentre les critiques et la dégradation de l’image. Mais il apparaît malgré tout que d’autres fournisseurs, concurrents du premier, étaient aussi concernés, sans que leurs propres images aient été écornées car jouissant d’une renommée moindre. C’est notamment le cas de TorGuard, qui était également utilisateur du serveur concerné par la fuite. 

Une manœuvre de guerre informationnelle ?


TorGuard est notable dans sa concurrence avec NordVPN par les démêlés en cours entre les deux entreprises. En effet ce fournisseur dit avoir été victime, début mai 2019, d’un chantage à la faille de sécurité de la part de son concurrent qui le menaçait de révéler des informations dommageables à son encontre si TorGuard ne poussait pas un influenceur proche de la marque à retirer ses commentaires négatif contre NordVPN. Le concurrent du leader mondial a intenté une action en justice à l’encontre de son concurrent suite à cette affaire. C’est donc dans un contexte de conflit ouvert entre les deux entreprises que sont arrivées les révélations d’octobre 2019 concernant la faille de sécurité. Si les deux fournisseurs sont concernés, il faut néanmoins remarquer que seul l’image de NordVPN a été entachée, et que seul celui-ci a véritablement dû se défendre. 

Dans un contexte où l’e-réputation est maîtresse et de marché de niche s’ouvrant au grand public, NordVPN a en partie payé le prix de sa campagne de communication massive : l’amalgame a été fait entre tous les VPN et celui-ci en particulier. Le grand public et les médias généralistes ont associé immédiatement le nom du fournisseur de service avec la faille découverte, même sans être nécessairement en mesure de comprendre les risques réels associés et en réalité limités. 

De son côté, TorGuard n’a pas eu à mener une telle campagne pour conserver son image et s’est contenté d’indiquer que son réseau était bien sécurisé. L’entreprise a même pris la peine d’indiquer que cette même brèche était celle qui était concernée par l’affaire judiciaire entre les deux fournisseurs, rappelant ainsi subtilement que son concurrent était au courant de la faille sans en avoir informé ses clients et a au contraire préféré l’utiliser comme une arme commerciale. NordVPN ayant été informé de la faille en avril et le chantage ayant eu lieu en mai, il est probable que le leader mondial a su faire le lien entre sa propre brèche et celle affectant son concurrent, et a voulu l’utiliser pour perpétuer sa stratégie de communication en faisant taire les voix discordantes. Si rien ne laisse à penser que les révélations du 20 octobre 2019  auraient été orchestrées par TorGuard, l’entreprise a su néanmoins s’en servir pour rebondir sur l’affaire l’opposant à son concurrent et contribuer à la dégradation de son image, conformément à la stratégie que NordVPN lui reproche justement d’employer et qui a été à l’origine de leur conflit judiciaire. 

En attendant les suites de cette affaire et de pouvoir juger sur le long terme des conséquences de ces révélations, on pourra apprécier la subtilité de TorGuard qui, dans un tweet apparemment anodin sur l’actualité et le blocage des VPN par le Turkménistan, a su relancer le débat par rapport à son concurrent en associant ce dernier à l’interdit en question, indice que dans le monde des VPN, la guerre continue. 

 

Arnaud Laborde