Microsoft a récemment fait la promotion de la fonctionnalité « VPN » Edge Secure Network intégrée à Edge sur la plate-forme sociale. Microsoft affirme que cette fonctionnalité est basée sur la « technologie VPN » qui crypte le trafic dans le navigateur pour aider à résister aux écoutes, au suivi et aux attaques malveillantes de tiers, et améliore la confidentialité en ligne en masquant les adresses IP des utilisateurs.
La fonctionnalité, appelée Edge Secure Network VPN, est intégrée au navigateur Edge et peut théoriquement remplacer l'installation de certains VPN tiers, mais il existe un plafond de trafic mensuel de 5 Go. Les utilisateurs doivent cliquer sur le menu à trois points dans le coin supérieur droit d'Edge, sélectionner « Plus d'outils » et entrer « Réseau sécurisé », puis cliquer sur « Obtenir un VPN gratuitement » et se connecter avec un compte Microsoft personnel pour l'activer. Une fois le quota gratuit épuisé, la protection par cryptage sera suspendue et sera réinitialisée lors du prochain cycle de facturation ; afin d'économiser du trafic, les scénarios à large bande passante tels que Netflix, Hulu, HBO et d'autres médias de streaming vidéo sont exclus du tunnel crypté. De plus, cette fonctionnalité n'est actuellement pas prise en charge sur les appareils d'entreprise ou gérés et n'est pas disponible dans certaines régions.
En termes de sélection de serveur, Edge Secure Network VPN ne permet pas aux utilisateurs de spécifier manuellement des nœuds ou des pays/régions. En réponse aux questions des utilisateurs, Microsoft a confirmé que le service se connectera automatiquement aux serveurs géographiquement « les plus proches » et n'ouvrira pas la possibilité de changer manuellement de région. Microsoft a également déclaré que cette fonctionnalité possède un certain degré « d'intelligence » et sera automatiquement activée lors de l'accès à un site Web qui n'est pas entièrement crypté ou dans un environnement réseau considéré comme à haut risque (comme le Wi-Fi public). Les utilisateurs peuvent également l'ajuster dans les paramètres pour l'activer dans davantage de scénarios de navigation ou l'activer uniquement à la demande. Dans la description officielle, Microsoft positionne Edge Secure Network comme une « protection de base » intégrée et ne prétend pas explicitement qu'il peut remplacer complètement les services VPN indépendants traditionnels. Cependant, il utilise toujours des termes tels que « protection mensuelle gratuite des données VPN » et « utilisation de la technologie VPN » dans sa rhétorique marketing.
Cette publicité a rapidement suscité le scepticisme technique de la part du chercheur en confidentialité Sooraj Sathyanarayanan, qui travaille actuellement dans l'équipe du navigateur Brave et se préoccupe depuis longtemps des problèmes de confidentialité et de sécurité. Sooraj publié le
Selon l'analyse de Sooraj, Edge Secure Network est essentiellement un tunnel de trafic au niveau du navigateur, et non un réseau privé virtuel au niveau du système. Cela signifie que seules les requêtes réseau générées par le navigateur Edge seront envoyées dans le canal crypté, tandis que les autres applications du système, les services d'arrière-plan, les clients de messagerie, les mises à jour du système d'exploitation et même les requêtes DNS continueront à passer par le chemin réseau habituel et ne seront pas protégés par cette fonctionnalité.
Il le définit comme l'architecture proxy HTTP CONNECT construite sur le proxy de confidentialité Cloudflare, conçue pour protéger les sessions de navigation au sein d'Edge, plutôt que d'établir un tunnel crypté de bout en bout pour l'ensemble de l'appareil. En revanche, de nombreux outils VPN commerciaux acheminent uniformément tout le trafic réseau d'un appareil vers une sortie cryptée et fournissent des fonctionnalités telles qu'un « kill switch » et la sélection de la région du serveur.
Les chercheurs ont également souligné qu'Edge Secure Network fonctionne par défaut dans ce que Microsoft appelle le « mode optimisé », ce qui signifie qu'il ne sera automatiquement activé que sous certaines conditions (telles que la connexion à un réseau Wi-Fi public, la visite de sites Web non HTTPS, etc.) à moins que l'utilisateur ne modifie manuellement les paramètres pour l'étendre à tous les scénarios de navigation. De plus, l'activation de cette fonctionnalité nécessite de se connecter à un compte Microsoft personnel. Microsoft explique qu'il s'agit de mesurer et d'appliquer le plafond de trafic mensuel de 5 Go, mais du point de vue du chercheur, cela signifie également que cette couche de protection est liée à une identité vérifiée plutôt qu'à une utilisation anonyme.
En termes de modèle de confiance, Sooraj a décrit Edge Secure Network comme une « architecture de confiance bipartite » : Microsoft est responsable de la gestion de l'identité des comptes et Cloudflare est responsable du routage réseau. Microsoft assure que Cloudflare ne peut pas voir l'identité du compte utilisateur, et Cloudflare a déclaré dans sa déclaration publique qu'il ne vérifierait pas le contenu spécifique du trafic de l'utilisateur. Cependant, les chercheurs préviennent que l’ensemble du système repose sur la confiance dans les déclarations des deux parties et qu’il manque d’audits publics indépendants pour vérifier les détails du traitement des données. Il a également mentionné qu'Edge Secure Network ne dispose pas d'une sélection manuelle de région, a une transparence limitée dans le comportement de routage et ne dispose pas de certains des mécanismes de protection communs aux VPN traditionnels pour appareils complets.
Si l’on considère le contexte plus large du secteur, Microsoft n’est pas le seul à introduire une couche de protection réseau dans les navigateurs. Le navigateur Opera intègre déjà une fonctionnalité similaire de « VPN intégré au navigateur », le positionnant comme un composant intégré de protection de la vie privée. Ce type d'outil met l'accent sur les scénarios « la commodité d'abord » : activé automatiquement dans des conditions spécifiques, simple à configurer, réduisant dans une certaine mesure les risques explicites causés par des connexions non sécurisées telles que le Wi-Fi public, tout en évitant les pertes de performances évidentes qui peuvent être causées par les VPN à l'échelle du système. Cependant, du point de vue de leurs intentions et capacités de conception initiales, ces protections intégrées au navigateur ne peuvent pas et ne doivent pas être considérées comme des remplacements complets des services VPN traditionnels.
Une question clé dans la controverse entourant Edge Secure Network est de savoir avec quelle précision et transparence les fournisseurs doivent définir l'étendue de leurs capacités lorsqu'ils en font la publicité aux utilisateurs. Pour les utilisateurs ordinaires, le terme « VPN » signifie souvent une protection de la confidentialité du trafic complet au niveau du système et des capacités de changement de région, tandis que Edge Secure Network est plus proche de la catégorie de « proxy de sécurité intégré ». À l'avenir, la question de savoir si cette fonctionnalité peut être considérée comme une « protection de base pratique » ou comme une « fonctionnalité de confidentialité suremballée » dépend en grande partie de la manière dont Microsoft continue de clarifier son positionnement et ses limites dans les documents officiels et les expressions marketing. Microsoft n'a pas encore fait de déclaration publique concernant les critiques du chercheur. Les médias ont déclaré qu'ils avaient demandé une déclaration plus claire de la part de Microsoft et qu'ils mettraient à jour le rapport après avoir reçu une réponse.