Depuis plusieurs années, les VPN surfent sur la vague de la protection de la vie privée, en promettant sécurité et anonymat. Au-delà du marketing, il est important de savoir ce que peuvent réellement faire ces logiciels pour nous.
« Cette vidéo est sponsorisée par [VPN]… ». Vous avez sûrement déjà entendu cette phrase dans plusieurs vidéos, et pour cause : les fournisseurs de VPN pour consommateurs communiquent désormais sur tous les supports pour vanter leurs produits. Ces publicités promettent plusieurs choses : plus de contrôle sur nos données personnelles, l’anonymat, la sécurité sur Internet et la possibilité de se localiser dans un autre pays pour contourner les blocages géographiques. Tout n’est pas totalement mensonger dans ce déroulé marketing… Mais cela reste de la publicité et les choses sont parfois exagérées. On fait le point.
Qu’est-ce qu’un VPN ?
Pour faire très simple, un VPN permet de connecter un appareil à un réseau en créant un tunnel privé et chiffré (et non pas « crypté ») qui isole les communications entre les deux entités. Il existe de nombreuses utilisations d’un VPN et la définition peut légèrement varier.
À l’origine, les VPN sont utilisés dans les entreprises. Imaginons un cas de figure où un employé travaille de chez lui, mais doit accéder au réseau local de l’entreprise pour lire un fichier confidentiel. Pour des raisons de sécurité, le réseau local est inaccessible depuis Internet, mais les employés qui ne sont pas physiquement sur place doivent tout de même pouvoir s’y connecter. Utiliser un VPN permet, ici, de connecter de façon sécurisée l’ordinateur présent au domicile de l’employé au réseau local de la société, comme si l’ordinateur était dans le bâtiment de l’entreprise.
Un VPN empêche un appareil de communiquer directement avec un site Web en ajoutant une couche de sécurité.
Depuis quelques années, nous voyons apparaître des VPN pour consommateurs, qui ne servent plus à connecter un appareil à un réseau privé d’entreprise, mais qui ajoutent une étape supplémentaire lors de la navigation sur Internet.
Ici, le serveur VPN sert de relai entre notre appareil et le site web, empêchant que les deux puissent communiquer directement. Cette étape supplémentaire permettrait aussi bien d’améliorer la confidentialité – en remplaçant notre adresse IP par celle du serveur VPN qui s’occupe de relayer notre requête au site web – que notre sécurité, grâce à la mise en place d’un tunnel chiffré entre notre appareil et le serveur VPN dans lequel voyagent nos données, empêchant ces dernières d’être interceptées, modifiées ou lues. En réalité, les choses sont un peu plus complexes.
Les VPN et la sécurité
Il est souvent dit, comme nous l’avons déjà souligné, que les VPN sont censés améliorer notre sécurité sur Internet. C’est probablement le point le plus discutable : les VPN sont des outils assez inutiles pour la sécurité, avec tout de même quelques exceptions. L’argument mis en avant par les fournisseurs VPN est, comme nous l’avons brièvement expliqué ci-dessus, que le client (l’application) VPN crée un tunnel chiffré entre l’appareil de l’utilisateur et le serveur VPN. Ainsi, les données sont protégées d’une modification par une tierce partie et ne sont accessibles ni pour notre fournisseur d’accès à Internet (FAI), ni pour quiconque serait en train de surveiller le réseau. Et, même si la vérité est toujours plus nuancée, c’est relativement vrai. Le problème se situe plutôt au niveau du serveur VPN.
Lorsque les données arrivent sur le serveur, elles sont déchiffrées. C’est nécessaire pour que le serveur sache quel site nous désirons visiter et pour qu’il puisse envoyer la requête à notre destination à notre place, mais aussi pour que celle-ci puisse lire cette requête, laissant croire au site visité que la demande vient du serveur VPN plutôt que de notre appareil. Une fois que les données quittent le serveur VPN, elles sont donc transmises de la même façon qu’elles le seraient directement à partir de notre appareil, sans chiffrement supplémentaire.
Un VPN ne peut pas nous protéger d’un site malveillant, de tentatives de phishing ou des malwares présents sur Internet.
La bonne nouvelle, c’est que, VPN ou pas, nos données ne sont généralement pas envoyées en clair sur Internet, à la merci de tous les yeux indiscrets. Grâce au travail de nombreuses organisations, la majorité des sites web modernes ont adopté le protocole HTTPS. Pour vérifier si un site l’utilise, il suffit de regarder l’URL visitée, de voir si elle commence bien par « https » et de vérifier si notre navigateur affiche bien un petit cadenas à côté de celle-ci.
Pour faire simple, le protocole HTTPS permet d’être sûr que l’échange de données entre notre navigateur et le site que l’on veut visiter est sécurisé, grâce à l’utilisation du TLS (Transport Layer Security). Sans entrer dans des détails techniques, le TLS permet au navigateur et au site de mettre en place une méthode de chiffrement en langage commun afin de s’assurer que la communication reste secrète, sans risque d’interception.
Utiliser un VPN peut être utile pour notre sécurité dans un cas de figure en particulier : lorsque l’on se connecte à un wifi public. Certains considèrent que visiter des sites en HTTPS suffit pour se prémunir des dangers d’un réseau non sécurisé, étant donné que la connexion est chiffrée. Utiliser un VPN en plus n’a pas vraiment de mauvais côté dans ce cas précis, à condition que le VPN soit réputé, et s’avère être une protection supplémentaire rassurante.
Un VPN ne peut, en revanche, pas nous protéger d’un site malveillant, de tentatives de phishing ou des malwares présents sur Internet. Certains VPN incluent des protections contre les menaces, qui se présentent généralement sous la forme d’une liste de sites considérés comme dangereux.
Cependant, répertorier tous les sites malveillants est un travail de titan, en plus d’être impossible. Certains professionnels dans le domaine de l’informatique, comme Dennis Schubert, ingénieur chez Mozilla, vont même plus loin : utiliser un VPN peut être dangereux, puisqu’il donne une fausse impression de sécurité et d’anonymat pouvant conduire à des comportements à risque sur Internet.
Les VPN et la protection des données personnelles
On arrive sur le plus gros point. Parmi les arguments en faveur de l’utilisation d’un VPN, celui de la protection des données personnelles est probablement le plus répété. Un VPN est censé nous rendre anonyme et empêcher que des tiers puissent suivre notre navigation.
Concrètement, un VPN empêche les sites visités d’obtenir notre adresse IP, qui peut donner une idée générale de notre emplacement géographique, bien que ce soit rarement précis. Et il peut y avoir de bonnes raisons de cacher son adresse IP : un journaliste du New York Times qui enquêtait sur une affaire de corruption avait été détecté par les sujets de son investigation parce que son adresse IP, identifiée comme appartenant au journal, était ressortie de nombreuses fois sur les logs de visite du site web de l’entreprise.
Si un VPN permet d’empêcher que certaines informations soient récupérées, il ne peut pas garantir l’anonymat.
Mais cela fait longtemps que les géants du Web ne se fient plus à l’adresse IP pour identifier et construire un profil sur leurs visiteurs. Une autre méthode est privilégiée, le fingerprinting, un ensemble de données qui sont propres à un utilisateur : ses habitudes de navigation, la taille de son écran, sa façon de bouger sa souris, la version de son navigateur, les plugins installés, les polices d’écriture utilisées, les sites visités, sa langue, etc. Ces informations, prises individuellement, sont assez inutiles. Mais, réunies, elles permettent d’établir un profil pour identifier une personne de manière unique, comme une empreinte digitale.
Même si un VPN permet d’empêcher que certaines de ces informations soient récupérées, il ne peut pas garantir d’anonymat. Aussi, dès que l’on se connecte à un compte, le service peut nous reconnaître et le reste de notre activité peut être lié à cette connexion. Ce n’est pas pour rien que Tor déconseille de remplir des formulaires lors de l’utilisation du réseau. Et, contrairement à des outils comme un bloqueur de publicités, un VPN n’empêche pas l’installation de cookies et traqueurs publicitaires, qui peuvent servir à suivre la navigation d’une personne durant une session.
Les VPN, surtout pour les utilisateurs américains, vantent la possibilité de cacher sa navigation à son FAI. Si dans certains cas cela peut être nécessaire, il faut bien comprendre que ces données vont quand même quelque part. C’est un déplacement de confiance : au lieu de faire confiance à son FAI pour ne pas vendre nos données ou les utiliser d’une mauvaise façon, on fait désormais confiance à un service VPN.
Il y a parfois de bonnes raisons de choisir de croire une entreprise VPN plutôt que son fournisseur Internet. Mais il reste important de se demander si, dans son cas particulier, il est réellement nécessaire de confier ses données à une entreprise difficile à identifier, parfois localisée dans un pays avec des lois très différentes du sien et qui a la possibilité de revendre ou transmettre ces informations.
Pour tenter d’établir un rapport de confiance, plusieurs VPN affirment être « no log », c’est-à-dire qu’ils ne récupèrent pas d’informations permettant de relier un utilisateur aux activités qu’il entreprend quand le VPN est activé. Cette affirmation est assez dure à vérifier et il a été de nombreuses fois prouvé que tous ne respectaient pas leurs engagements, en plus d’être soumis aux lois du pays d’où ils opèrent.
Une utilisation utile d’un VPN : contourner les blocages
Même si les VPN ne respectent pas toujours leurs promesses, nous avons déjà souligné deux cas où ils peuvent être utiles : un VPN d’entreprise permet de se connecter à un réseau distant et un VPN grand public sert de protection supplémentaire sur un wifii public.
Autre utilisation utile d’un VPN commercial : pour contourner des blocages. Par exemple, si vous êtes en France et que vous vous connectez à un serveur VPN américain, les sites visités auront l’impression que vous êtes localisé aux États-Unis, ce qui peut avoir plusieurs avantages. On pense bien sûr aux plateformes de streaming, qui ne proposent pas le même contenu dans tous les pays pour des questions de droits. Mais contourner un blocage géographique peut également permettre de visiter des sites inaccessibles dans l’Union européenne parce qu’ils ne respectent pas les lois européennes de protection des données, des sites bloqués au niveau des FAI ou par des pays pour des raisons politiques.
Encore une fois, le VPN ne permet pas de dissimuler ses activités. Et si le contournement de restrictions ou de la censure est illégal dans votre pays, un VPN grand public n’est pas la solution et nous ne la conseillons pas. Mais il arrive parfois de vouloir lire une actualité sur un site local américain, qui n’a pas jugé nécessaire de se conformer au RGPD, ou de continuer une série lorsque l’on est en vacances dans un autre pays. Un VPN est alors une bonne solution.
Les VPN peuvent être des outils très utiles à ajouter à son arsenal, à condition d’utiliser un VPN réputé et de savoir exactement ce qu’il peut et ne peut pas faire.
