Sécurité & Confidentialité Usenet

L'avantage de confidentialité d'Usenet n'est pas une fonctionnalité ajoutée. Il provient de l'architecture elle-même. Lorsque vous utilisez Usenet, votre connexion est une ligne directe entre votre ordinateur et le serveur de votre fournisseur. Personne d'autre n'est impliqué.

Comparez cela aux torrents, où votre adresse IP est diffusée à tous les autres utilisateurs téléchargeant le même fichier. Ou au web, où chaque site que vous visitez voit votre IP, votre empreinte de navigateur, et souvent bien plus. Usenet ne fonctionne pas ainsi. Vous vous connectez à un serveur, via un tunnel chiffré, et c'est la seule connexion impliquée dans votre téléchargement.

Aucun autre utilisateur ne voit jamais votre IP. Aucun tracker n'enregistre votre participation à un essaim. Aucun site web ne dépose de cookies sur votre navigateur. C'est un modèle fondamentalement plus simple, et cette simplicité est ce qui le rend privé.

SSL (Secure Sockets Layer - techniquement TLS de nos jours, mais tout le monde l'appelle encore SSL) chiffre l'intégralité de la connexion entre votre lecteur de news et le serveur de votre fournisseur. Avec SSL activé, votre FAI peut voir que vous êtes connecté à un serveur, mais il ne peut pas voir ce que vous téléchargez, dans quels newsgroups vous êtes, ou quoi que ce soit concernant le contenu.

C'est la même technologie de chiffrement qui protège vos sessions bancaires et les sites HTTPS. Lorsque vous vous connectez à NewsDemon sur le port 563 avec SSL activé, votre trafic est enveloppé dans un chiffrement 256 bits. Même si quelqu'un interceptait le flux de données, il ne verrait que du bruit.

Quel port utiliser

Le port 563 est le standard pour Usenet SSL. Si votre FAI bloque le 563 (certains le font), le port 443 fonctionne comme alternative - c'est le même port utilisé pour le trafic web HTTPS, il n'est donc presque jamais bloqué. Le port 119 est le port Usenet traditionnel non chiffré. Ne l'utilisez pas sauf si vous avez une raison spécifique. Une connexion non chiffrée n'offre aucun avantage.

NewsDemon a été parmi les premiers fournisseurs Usenet à déployer l'échange de clés post-quantique sur tous les serveurs NNTP. Depuis avril 2026, chaque connexion à news.newsdemon.com, uswest.newsdemon.com et eu.newsdemon.com prend en charge le schéma hybride X25519MLKEM768.

Ce qu'est X25519MLKEM768

Il associe deux algorithmes : X25519, l'échange de clés à courbe elliptique qui sécurise le trafic internet depuis des années, et ML-KEM 768 (anciennement connu sous le nom de CRYSTALS-Kyber), un algorithme basé sur les réseaux euclidiens sélectionné par le NIST en 2024 comme standard pour l'encapsulation de clés post-quantique. Même si l'un des algorithmes était compromis d'une manière ou d'une autre, l'autre protégerait toujours votre connexion.

La menace "Harvest Now, Decrypt Later"

Un adversaire capture votre trafic chiffré aujourd'hui et le stocke. Le stockage est bon marché. Des années plus tard, lorsque les ordinateurs quantiques pourront casser le chiffrement actuel, ils déchiffreront tout ce qu'ils ont collecté. Ce n'est pas théorique - les services de renseignement et les chercheurs en sécurité mettent en garde contre cela depuis des années, et certains gouvernements sont soupçonnés de stocker activement des données chiffrées en ce moment même.

L'échange de clés post-quantique neutralise cette menace. Le trafic capturé aujourd'hui ne peut être déchiffré par les ordinateurs quantiques de demain, quelle que soit leur puissance.

Confidentialité au-delà des lois actuelles

Personne ne sait à quoi ressemblera le paysage juridique dans cinq ou dix ans. Les protections de la vie privée qui existent aujourd'hui pourraient être affaiblies, réécrites ou entièrement abrogées. La défense la plus solide contre l'incertitude juridique est de s'assurer que les données ne peuvent pas être lues du tout.

Ce que vous devez faire

Probablement rien. Si votre client Usenet utilise OpenSSL 3.5.0 ou plus récent, le handshake post-quantique se produit automatiquement. Aucun changement de configuration, aucun nouveau paramètre. Si votre système utilise une ancienne version d'OpenSSL, votre connexion fonctionne toujours parfaitement - elle revient à X25519 standard. Il n'y a aucune interruption.

Vérifier le handshake post-quantique

Vous pouvez confirmer que le chiffrement post-quantique est actif sur votre connexion avec cette commande OpenSSL :

openssl s_client -connect news.newsdemon.com:563 -groups X25519MLKEM768

Si la connexion réussit et que la sortie affiche X25519MLKEM768 dans la ligne d'échange de clés, vous utilisez le chiffrement post-quantique.

Pour tous les détails techniques, consultez notre article d'annonce (anglais).

SSL chiffre votre trafic Usenet. Un VPN chiffre tout. Il enveloppe l'intégralité de votre connexion internet dans un tunnel avant qu'elle ne quitte votre appareil. Avec un VPN actif, votre FAI ne peut même pas voir que vous vous connectez à un serveur Usenet. Il ne voit que du trafic VPN.

Avez-vous besoin d'un VPN si vous avez déjà SSL ?

Pour la plupart des gens, SSL seul est suffisant. Votre FAI peut voir que vous vous connectez à une adresse de serveur Usenet, mais il ne peut voir aucun contenu, groupe ou article. Si ce niveau de confidentialité vous convient, vous êtes couvert.

Un VPN apporte de la valeur dans quelques scénarios : si votre FAI limite le trafic vers les serveurs Usenet connus, si vous êtes sur un réseau auquel vous ne faites pas confiance (hôtel, aéroport, WiFi public), ou si vous préférez simplement l'approche ceinture et bretelles en cachant même la destination de votre connexion.

Le chiffrement protège vos données en transit. Une politique de journalisation détermine ce qui se passe à destination. Si votre fournisseur conserve des enregistrements détaillés des articles que vous avez téléchargés et quand, le chiffrement devient moins significatif - ces données existent sur leurs serveurs.

Ce que "no-logging" devrait signifier

Un fournisseur no-logging n'enregistre pas les newsgroups auxquels vous avez accédé, les articles que vous avez téléchargés, ou le contenu de vos sessions. Il peut conserver des enregistrements de connexion de base (quand vous vous êtes connecté, combien de bande passante vous avez utilisée) pour des raisons opérationnelles, mais rien qui relie votre compte à un contenu spécifique.

La politique de NewsDemon

NewsDemon ne surveille, ne suit ni n'enregistre l'activité des utilisateurs sur son réseau. Notre politique de confidentialité ne nécessite qu'une adresse e-mail lors de l'inscription. Nous maintenons un warrant canary public pour indiquer si nous avons reçu des divulgations légales contraintes.

Être détenu de manière indépendante est important ici aussi. Nos pratiques de confidentialité sont régies par K&L Technologies, Inc. - une société dont la seule activité est Usenet. Pas de société mère avec des produits différents, des juridictions différentes ou des appétits de données différents.

C'est la plus grande différence pratique entre les deux systèmes, et cela vaut la peine de l'expliquer clairement.

Usenet

Vous ↔ Serveur du fournisseur. C'est toute la connexion. Chiffrée avec SSL. Votre IP n'est connue que de votre fournisseur. Personne d'autre au monde ne peut voir ce que vous faites.

Torrents

Vous ↔ Dizaines/centaines d'autres utilisateurs simultanément. Votre adresse IP est partagée avec chaque pair dans l'essaim. N'importe qui, y compris les sociétés de surveillance des droits d'auteur, peut rejoindre un essaim, enregistrer chaque IP qu'il voit et envoyer des avis aux FAI correspondants. Ce n'est pas théorique ; c'est ainsi que la grande majorité des avis de violation de droits d'auteur sont générés.

Un VPN atténue le problème de confidentialité des torrents, mais ajoute des coûts (5-10 €/mois) et de la complexité. Avec Usenet, la confidentialité est intégrée au modèle. Il n'y a pas d'essaim, pas de pairs et pas d'exposition IP. Pour une comparaison plus complète, consultez notre page Usenet vs. Torrents.

Tous les fournisseurs ne gèrent pas la sécurité de la même manière. Quelques éléments à vérifier avant de vous inscrire :

SSL sur tous les forfaits

Certains fournisseurs limitent SSL aux niveaux premium. Il devrait être standard sur chaque forfait. Si un fournisseur facture un supplément pour le chiffrement, c'est un signal d'alarme.

Nombre de connexions

Plus de connexions SSL signifie des téléchargements chiffrés plus rapides. 50 est un bon nombre - suffisant pour saturer la plupart des connexions internet. NewsDemon offre 50 sur chaque forfait.

Clarté de la politique de confidentialité

Lisez la politique de confidentialité. Recherchez un langage clair sur ce qui est enregistré et ce qui ne l'est pas. Méfiez-vous des déclarations vagues. Vérifiez si le fournisseur a un warrant canary.

Propriété du fournisseur

Les pratiques de confidentialité d'un fournisseur sont finalement régies par celui qui possède l'entreprise. Si un fournisseur est une filiale d'une plus grande société, les obligations légales et les pratiques de données de cette société s'appliquent. La propriété indépendante signifie que la politique de confidentialité du fournisseur est la sienne.

VPN inclus

Pas une exigence, mais un bonus appréciable. Si le fournisseur inclut un VPN, vous obtenez une couche de confidentialité supplémentaire sans payer pour un service séparé.