Vous connaissez l’utilité d’un VPN : un réseau privé virtuel encrypte votre trafic internet, le protégeant des fournisseurs d’accès internet qui veulent le monétiser, et surveille sur le wi-fi public qui veut espionner vos transactions en ligne. Vous pouvez aussi simplement vouloir regarder le Netflix de votre pays en voyageant à l’étranger.
Heureusement pour vous, on compte des centaines de VPN, et beaucoup d’entre eux sont gratuits. Une aubaine ? Pas sûr.
Il est vrai que certains services VPN gratuits proviennent d’entreprises d’antivirus à la bonne réputation ou de fournisseurs VPN qui proposent une option gratuite ainsi que des mises à niveau payantes. Néanmoins, il est important de prendre un peu de recul et de s’intéresser à ce que ces services peuvent vraiment offrir.
Pourquoi il faut avoir confiance en votre fournisseur VPN
Une fois que vous installez un VPN, tout votre trafic internet est dirigé par les serveurs du fournisseur VPN. Ce trafic est encrypté par votre fournisseur d’accès internet (qui pourrait autrement le vendre à des publicitaires), mais cela signifie que vous avez désormais déplacé votre confiance de votre FAI à votre fournisseur VPN.
En fonction de la façon dont un fournisseur VPN encrypte et stocke les historiques internet de ses utilisateurs (et en fonction de ses conditions de services), il peut avoir la possibilité d’accéder à vos données internet, de les monétiser pour de la publicité, ou il peut être basé dans un pays où il peut légalement être contraint de fournir des informations.
Avec les VPN, le risque en termes de sécurité est que les informations de l’utilisateur auxquelles ils peuvent avoir accès incluent les recherches internet et l’historique de navigation (des données sensibles que des utilisateurs pourraient ne pas vouloir voir entre les mains de publicitaires ou de gouvernements).
« Si vous accordez de l’importance à votre confidentialité, une solution VPN gratuite n’est pas la meilleure option », affirme Brian Anderson, expert en sécurité à Kaspersky Lab North America. « Certains fournisseurs proposent un logiciel VPN qui est complètement gratuit, mais dans ce cas, vous payez souvent le VPN avec vos données, qui sont ensuite vendues aux publicitaires. »
Comment vos données sensibles peuvent être exploitées
Bien sûr, la publicité est pour grande partie ce qui fait fonctionner internet. Mais les VPN ont accès à de vastes étendues d’historiques de navigation qui peuvent être utilisés pour des buts qui ne sont pas exactement dans le meilleur intérêt de l’utilisateur.
Une enquête a découvert que sur les 30 applications de VPN gratuits les plus téléchargées sur Google Play et l’App Store, plus de 85% avaient des politiques de confidentialité qui ne posaient pas assez de mesures de protections pour les données utilisateurs. Rien que sur Android, deux tiers des 150 VPN gratuits les plus installés avaient besoin de permissions intrusives, dont la possibilité de suivre la localisation des utilisateurs. Plusieurs des VPN gratuits sont basés en Chine, où le gouvernement a banni l’utilisation des VPN et a en plus le droit de forcer toute entreprise à communiquer ses données de serveurs, impliquant que le trafic internet des utilisateurs est loin d’être protégé. En effet, certains de ces fournisseurs VPN précisent spécifiquement qu’ils partageront les données avec le gouvernement chinois.
D’autres modèles économiques d’applications gratuites tombent dans la malhonnêteté. Une enquête menée par Trend Micro a découvert que le service gratuit HolaVPN n’est non seulement pas encrypté, mais il exploite la bande passante de ses utilisateurs en permettant à des individus sur un réseau publicitaire nommé Luminati de router leur trafic via les adresses IP des utilisateurs, probablement pour générer des fausses traces pour des publicités, dans le but de booster les recettes. Luminati s’est avéré être une entreprise sœur de Hola, et ses utilisateurs sont principalement des publicitaires mobiles, selon Trend Micro, ainsi que des data scrapers, des publicitaires frauduleux et des cybercriminels qui se cachaient derrière les adresses IP d’utilisateurs de HolaVPN. En outre, les termes de conditions de Hola négligeaient de préciser que lorsque les utilisateurs installaient Hola, ils installaient également le logiciel de Luminati.
« Il y a toujours des organisations douteuses ou des acteurs menaçants qui créeront des applications pour être légitimes en déguisant comment l’application fonctionne ou en construisant l’application de façon à monétiser les données des utilisateurs », explique Jon Clay, directeur de Global Threat Communications à Trend Micro. « On ne retrouve pas ce genre d’activités chez les vendeurs légitimes d’applications VPN ».
Choisir un VPN de confiance
Des études suggèrent que la plupart d’entre nous ne lisons pas les politiques de confidentialité avant de cliquer joyeusement sur Accepter. Cependant, si vous installez une application ou un programme qui a des vues sur tout votre trafic internet, il est intéressant d’avoir une compréhension claire de l’utilisation potentielle de vos données.
« Avec les applications gratuites, il faut lire les politiques de confidentialité pour comprendre quelles informations seront collectées », explique Clay. C’est doublement vrai pour les applications de VPN gratuits, qui ont accès à des données sensibles avec une motivation immédiate de les monétiser de façons subversives.
Quand vous choisissez un VPN, gratuit ou non, cherchez ces termes
OpenVPN : Cela se réfère au protocole utilisé par le VPN pour accéder au web. « Évitez les VPN qui utilisent le Point-to-Point Tunneling Protocol (PPTP) : c’est un vieux protocole, et largement considéré comme non sécurisé, explique Anderson. A l’opposé, OpenVPN est plus moderne, et il est considéré comme sécurisé et fiable. De plus, il est open source, il est donc fréquemment évalué quant à des problèmes sécuritaires. »
Permissions : Si vous utilisez une application VPN sur votre téléphone, il y a des chances qu’elle requière des permissions pour l’installation. Certaines, comme la possibilité d’accéder à votre historique de navigation, sont nécessaires pour que le VPN fonctionne ; d’autres, comme votre localisation, l’identification d’appareil, l’enregistrement d’appel, l’accès à la caméra ou au micro, sont des points de vigilances qui tendent à prouver que le fournisseur collecte beaucoup plus de données que nécessaire.
Zero-logs ou pas d’enregistrements : Cela signifie qu’un fournisseur n’enregistre pas le trafic des utilisateurs ou les métadonnées de connexion comme l’adresse IP et les temps de connexion. On le considère généralement comme la référence absolue de la sécurité. « Le fournisseur le plus sécurisé est celui qui n’enregistre pas de données du tout », affirme Anderson.
Collecte de données : Cherchez ces termes dans la politique de confidentialité pour vous assurer de savoir quels types d’informations seront collectées et stockées. Par exemple, un VPN peut ne pas enregistrer les données d’usages comme les sites web visités, mais il peut suivre les métadonnées dont l’adresse IP, les durées de sessions ou les temps de connexion, ce qui peut être utilisé pour identifier des utilisateurs lors de poursuites légales. Quand les serveurs de ExpressVPN et Perfect Privacy ont été saisis par la police, les fournisseurs n’ont pas partagé d’informations sur des adresses IP utilisées par les sujets d’une enquête, car ils n’en avaient pas.
Ceci étant dit, une politique de confidentialité pourrait cependant ne pas nécessairement refléter ce que les fournisseurs font réellement, même pour des VPN payants. Certains fournisseurs s’affirment comme étant « sans enregistrements », alors qu’ils enregistrent en fait par exemple les données de connexion. Cela pourrait être énoncé comme « pas d’enregistrements d’usage », ou simplement « pas d’enregistrements » couplé avec une ligne ou deux sur les « données de connexion et de bande passante » qui seront collectées. Alors que la collecte de telles métadonnées n’est pas nécessairement un problème, le fait qu’un fournisseur ne soit pas totalement transparent devrait éveiller vos soupçons.
Notre site dispose d’une liste de VPN dont les statuts « sans enregistrements » ont été prouvés dans des scénarios réels lors de tentatives judiciaires de saisie de données qui ont échoué à cause du manque de données disponibles. Deux de nos services payants préférés ont prouvé avec succès leurs affirmations de « non enregistrement » : NordVPN et ExpressVPN.
Peut-on faire confiance aux VPN gratuits ?
Certains fournisseurs VPN réputés offrent une version gratuite de leur VPN, qui peut s’accompagner d’une limite de données ou d’une gamme de fonctionnalités réduite. « C’est une bonne manière de tester les différents VPN et de trouver celui qui correspond le mieux à vos besoins », explique Anderson.
Des services « freemium » comme TunnelBear (gratuit pour 500MB) et HotspotShield (gratuit pour une bande passante limitée) rentrent dans cette catégorie : les deux offrent une partie gratuite où les utilisateurs peuvent router une certaine quantité de trafic via leur VPN. Ces limites de données ne supportent pas le streaming media ou beaucoup plus que de la navigation internet classique ; les utilisateurs peuvent à la place payer pour une souscription premium. Les services gratuits de ce genre peuvent être plus sécurisés puisque les fournisseurs ont d’autres sources de revenus à part la monétisation des données de leurs utilisateurs.
« Il y a beaucoup de vendeurs légitimes de VPN gratuits et de services freemium dont l’application fera ce qu’ils prétendent. Le seul problème de ces éléments gratuits est qu’ils peuvent vous demander la permission de fournir plus d’informations ou d’afficher des publicités dans l’application », explique Clay. « Si vous êtes d’accord avec ça, alors vous pouvez les utiliser. »
Vous pourriez aussi rencontrer un VPN gratuit accompagné d’un outil de confidentialité payant comme un gestionnaire de mots de passe. Par exemple, Dashlane offre un service VPN inclus dans sa formule Premium (5$ par mois facturé annuellement) et Premium Plus. Comme il y a un modèle économique clair (la souscription au gestionnaire de mots de passe par exemple), il y a des chances que le fournisseur VPN ne dépende pas du trafic des utilisateurs pour la monétisation. Cependant, la seule façon d’en être sûr est de creuser dans ses termes et conditions et de lire la politique de confidentialité.
En ce qui concerne le choix d’un VPN sécurisé, « il est bon de s’intéresser à des noms qui sont bien établis sur le marché, dit Anderson. Les entreprises qui ont été dans le business du VPN depuis longtemps ont eu plus d’opportunités de découvrir des bugs et d’améliorer la fiabilité de leur logiciel ».
Des sites réputés de tests peuvent être une bonne ressource pour les VPN, gratuits et payants, qui ayant des références solides en termes de confidentialité. Windscribe, par exemple, est bien noté et offre une politique d’ « enregistrements minimum » + 10GB de données par mois, ce qui est plus généreux que la plupart des services gratuits. Il offre aussi une formule payante avec bande-passante illimitée.
Vous pouvez profiter des essais de 30 jours gratuits que la grande majorité des VPN proposent avant de s’engager. Les frais mensuels peuvent ne s’élever qu’à quelques dollars par mois pour les meilleurs VPN, particulièrement pour les souscriptions d’un an ou plus (un moindre mal pour une connexion internet rapide qui sécurise les transactions financières et les données privées).
« Les VPN assurent véritablement une fonction de sécurité très nécessaire, conclut Clay. Si vous n’avez pas cette sécurité, vous pourriez potentiellement vous compromettre. »