voteintuile logo

VPN et vie privée : ce que l’on vous cache

Les réseaux privés virtuels (VPN) sont l’un des outils les plus en vogue dans un contexte ou de plus en plus d’utilisateurs cherchent à protéger leur vie privée en ligne. Bien que les VPN puissent être utilisés pour de nombreux usages, un nombre croissant de fournisseurs font de la publicité pour leur service en mettant spécifiquement en avant la protection de la vie privée. Mais en cyber-sécurité il est pour ainsi dire impossible de se protéger de toutes les menaces à la fois. Avant de vouloir protéger leur vie privée chaque utilisateur devrait se poser deux questions fondamentales :

  • De qui dois-je me protéger ?
  • A qui puis-je accorder ma confiance ?

En effet pour des raisons techniques et quelle que soit la solution choisie il est absolument impossible de ne pas dévoiler son identité sous un forme ou un autre. Dans le cas des VPN, c’est à votre fournisseur que vous devez faire confiance puisque c’est à lui que vous dévoilez votre identité. Considérez le schéma suivant :

On voit ici que le VPN agit ici en tant qu’interface : pour protéger votre identité, vous acceptez le fait que tout votre trafic va transiter par le ou les serveurs du VPN. Un cas de figure que beaucoup d’utilisateurs négligent est qu’il est possible que le fournisseur de VPN soit LUI-MEME la menace. En effet votre trafic transite par des serveurs sur lesquels vous n’avez pas la main. Si en théorie de nos jours 90% du trafic transite de manière chiffrée (https, tls etc.) un VPN à tout de même potentiellement la main – en plus de votre véritable adresse IP – sur une énorme quantité de métadonnées à votre sujet : date de connexion, origine et destination du trafic, durée d’une visite etc.

Si l’on rajoute au tableau que l’entretient de l’infrastructure d’un VPN est extrêmement couteuse, nos regards suspicieux se portent immédiatement sur les VPN gratuits…

Les VPN gratuits : un piège mortel pour la vie privée

La vérité crue est qu’un VPN gratuit est forcément et au minimum suspect. Il existe des milliers de VPN gratuits ou presque, promettant monts et merveilles a renfort de grand slogan sur la protection de votre anonymat et de votre vie privée. Malheureusement, les cas ou les VPN finissent par faire l’inverse de ce qu’ils sont censés faire ce sont multiplié ces dernières années, parfois à l’insu du grand public comma l’a montré récement l’affaire hola.

On l’a déjà dit, l’exploitation et la maintenance de l’infrastructure d’un VPN est compliquée et coûteuse. Un service qui est gratuit pour le client récupère forcément ces billes quelques part …. Et comme toujours sur internet : si c’est gratuit, c’est vous le produit ! Dans ce cas de figure, il y a fort à parier que vos données personnelles se retrouvent dans la nature, dans le meilleur des cas chez un data-broker, dans le pire des cas dans des sphères plus… obscures.

Payant ou gratuit, il est indispensable de se plonger dans les politiques de protection de la vie privée affichée sur les sites des VPN. A la moindre évouations des termes « partenaires publicitaires » « données communiquées à des services tiers » fuir vers un autre fournisseur semble être la solution la plus indiquée. Naturellement l’absences d’informations dans les politiques de confidentialité ne doit pas non plus être interprétée comme un feu vert … Dans tous les cas, les données personnelles ne devraient jamais être un élément du modèle commercial d’un service en ligne classique, et à fortiori encore moins d’un service qui prétend protéger la vie privée.

Seules exception : certaines VPN payant de qualité proposent des forfait gratuits : naturellement pas de soucis à se faire dans ce genre de cas.

Les VPN sont-ils forcément plus fiables ?

Pour faire court : non par défaut. Tout comme les VPN gratuits, il existe une quasi-infinité de services payants. Il est important de se rappeler que le fait de payer pour quelque chose ne le rend pas automatiquement plus sur ou digne de confiance. Tout mieux le fait qu’un service VPN soit payant prouve que le service en question ne repose pas UNIQUEMENT sur la revente d’information personnelles. Le prix sera naturellement un facteur important au moment du choix : un VPN offrant ses services pour presque rien devra automatiquement être considéré comme suspect…

Avant de comparer les VPN sur la base de leurs solutions techniques ou sur les déclarations sur la protection des données de leurs utilisateurs, il devrait être automatique de faire une recherche sur la réputation de ce dernier : a-t-il un passif de reventes de données ? a-t ’il subit des attaques ou été victime de faille ou de fuites par le passé ? et surtout question la plus importante : qui est derrière le service ?

Un service opéré par des défenseurs connue de la vie privée et de la liberté d’expression comme mullvad ou ipredator devrait avoir plus de crédit a vos yeux qu’un VPN – même connu – opéré par une obscure compagnie dont le seul but est commercial. Bien sur tout n’est pas noir ou blanc, certaines entreprises commerciales restent de confiance, à vous de bien faire le tri au moment de choisir votre VPN en consultant un comparatif type H5ckfun.

Seulement ensuite doivent se poser des questions d’ordre plus techniques : quelle est la politique de conservations des logs (les traces que vous laissez forcément sur les serveurs du VPN) ? Quelle est la politique du service face à des requêtes émanant d’autorités judiciaires, et par extension dans quel pays est basé la société opérant le VPN ? En effet si votre adversaire est un l’état Français, il semble peu judicieux d’utiliser un VPN opéré par une entité basée en France (ou dont les serveurs sont en France). Un autre gage de sérieux pourrait être le fait que le VPN possède ses propres datacenters.

Logs : Les politiques d’enregistrement des données

Les VPN qui enregistrent vos données personnelles, les fameux logs, peuvent choisir de le faire pour leur propre profit, comme les mauvais VPN gratuits, ou pour d’autres raisons en particulier légales et étant fonction du pays où se trouvent les serveurs ou l’entité gérant le VPN. D’où l’important des points évoqués précédemment. Mais attention ! Encore une fois la sécurité absolue n’existe pas : Certains VPN peuvent prétendre de pas conserver de logs et le faire quand même … et de façon générale personne n’est à l’abri d’une faille ou d’une attaque sophistiquée.

Comment faire le tri dans ce cas ? Plusieurs indices peuvent être utilisés :

  • Un VPN imposant des limites de connexion ou de téléchargement aux abonnements conserve forcément des logs sous une forme ou une autre.
  • L’emplacement des serveurs doit aussi être passé à la loupe car certains pays (la plupart à vrai dire) obligent les prestataires à conserver des logs. Ne jamais croire un VPN sur parole !

Il est toujours judicieux d’examiner les politiques de confidentialité des VPN que vous envisagez le mieux étant un VPN clamant une politique « no-logs », mais encore une fois gardez à l’esprit que personne ne sait ce qui se passe derrière le rideau. Revient donc en scène ici la notion de réputation : un VPN opéré pas des hacktiviste aura à cœur de détailler comment, techniquement, est appliquer cette politique de non-conservation des logs.

Inscriptions & paiements : deux points faibles à prendre en compte.

S’il n’est en réalité pas impossible d’anonymiser avec un certain degré de sécurité le trafic d’un utilisateur, il est en revanche beaucoup plus compliqué de ne pas corréler un paiement et/ou une inscription avec un utilisateur en particulier.

Voilà pourquoi les informations, à l’inscription en particulier que vous demandent un VPN doivent se limiter au strict minimum, ou dans le meilleur des cas au néant. La plupart demanderons toutefois au moins une adresse email, problème facilement contournable via un service d’email jetable. En revanche un VPN vous demandant toute autres informations que votre adresse email est à fuir. Ces informations ne sont en aucun cas nécessaire.

Reste la question du paiement, plus délicate car nécessitant souvent de faire appel à un service tiers qui peut être susceptible de conserver vos données personnelles et/ou de faire le lien entre vous et le VPN. De plus, la solution technique retenu par le VPN pour faire le lien entre votre paiement et votre compte est également un point faible majeur car il est difficilement contournable d’un part, et d’autre part car peut de VPN communiquent sur les solutions de contournement à ce problème.

Pour effectuer un paiement de manière parfaitement anonyme il n’existe qu’une seule solution : le paiement en cash comme le propose par exemple Mullvad. Malheureusement peu de VPN proposent cette solution à l’heure actuelle, la plupart se contentant de proposer des paiements par cryptomonnaies, ces dernières offrant une protection de l’anonymat somme toute assez robuste. Dans tous les cas si l’anonymat est votre priorité il conviendra d’éviter les paiements via carte bancaire bien sûr, mais également via PayPal ou autre services tiers.

Gab

Gab

Webdesigner et journaliste high-tech depuis 2015, j'interviens sur différents médias & blog mais j'ai posé mes valises sur voteinutile.fr en 2021. Passionné d'informatique depuis plus d'une décennie, j'anime sur ce blog une veille sur mes sujets de prédilections : le hardware sous toutes ses formes. N'hésitez pas à me contacter si besoin !