Introduction
Si vous vous y connaissez un peu en VPN, alors cet article n’est probablement pas pour vous. Il y a quelques semaines, je vous ai écrit un article expliquant que les gouvernements cherchent activement tous les moyens de violer la vie privée. Vous avez peut-être été contrarié par mes propos. Une solution très court-termiste qui revient souvent, c’est : « Prenez un VPN. » D’ailleurs, les entreprises de VPNs ont saisi cette occasion et ont commencé une campagne publicitaire agressive en ligne. C’est là que commence mon propos, car j’avoue en avoir un peu marre qu’on raconte n’importe quoi sur les VPN.
Un VPN, c’est quoi exactement ?
Un VPN n’est en réalité rien d’autre qu’une connexion entre deux ordinateurs. Vous êtes déçu et en vouliez plus ? Très bien. Un VPN (Virtual Private Network) est un réseau qu’on met en place entre deux ordinateurs (on appelle cela un tunnel). L’ordinateur A est en général un appareil et l’ordinateur B, un serveur. Grâce à ce réseau, l’ordinateur A a accès à l’ordinateur B et peut l’utiliser comme une sorte de relais. C’est un peu comme quand on envoie son fils à la boulangerie au lieu d’y aller soi-même : au lieu que ce soit nous qui allions chercher le pain, l’enfant y va et fait le relais. De fait, un VPN n’est que ce réseau et n’a donc pas pour vocation d’être un moyen d’être anonyme sur internet. Le réseau Tor serait plus adapté à cet usage1.
En pratique, vous avez probablement déjà vu des VPN, et peut-être même sans vous en rendre compte. Par exemple, en entreprise, les réseaux utilisent souvent IPsec pour créer des canaux sécurisés destinés aux données sensibles. Pendant mes études, j’ai vu des universités utiliser OpenVPN pour permettre aux étudiants d’accéder à l’intranet des bibliothèques depuis l’extérieur de l’établissement. Si vous avez une Freebox, vous avez peut-être vu WireGuard2. Ce système permet de créer un VPN pour vous connecter à votre réseau domestique. Quelque part, ce système convient à tout le monde. Dans le cas de la bibliothèque universitaire, cela permet de contrôler que les étudiants ne téléchargent pas des ressources pour les vendre ailleurs. Pour ma part, cela me permet de ne pas exposer mon serveur domestique en ligne, tout en pouvant m’y connecter quand je veux récupérer un document. Gardez bien à l’esprit, cependant, que le VPN, dans tous ces cas, n’a pas pour but de rendre anonyme (j’insiste là-dessus).
Le business des VPN grand public
C’est là que les entreprises de VPNs entrent en jeu. L’idée, c’est que, au lieu de prendre un serveur chez un fournisseur de VPS à l’étranger pour créer votre VPN, l’entreprise de VPN vous propose d’utiliser son infrastructure.3 En réalité, l’entreprise a simplement plein de serveurs partout, comme vous pourriez le faire vous-même, mais les rentabilise en les mutualisant. C’est un peu comme quand vous prenez un site web chez un hébergeur mutualisé : sur un serveur, il y aura votre site et peut-être une dizaine d’autres. Là, l’entreprise de VPN vous propose un service utilisant ses serveurs, que tous les autres peuvent aussi utiliser. En échange, vous payez moins cher et avez plus de choix. Cependant, rappelez-vous qu’un VPN ne rend pas anonyme : il établit simplement une connexion entre deux serveurs. Donc, en passant par une compagnie de VPN, elle vous promet l’anonymat parce qu’elle estime que, si beaucoup de monde utilise un serveur, il est difficile de savoir qui l’a utilisé. À part cela, prendre un VPN chez un fournisseur, contrairement à le faire vous-même, ne représente probablement pas plus de sécurité (au contraire).
Un marché lucratif et peu régulé
Bon, maintenant que nous avons compris le but du VPN, parlons des entreprises de VPN, qui relèvent un peu du grand n’importe quoi. Et pour cause : c’est un marché hyper lucratif. Une entreprise de VPN n’a besoin que de quelques serveurs. Pour vous donner une idée, un VPS chez OVH coûte au minimum 3,82 €4 par mois en ce moment. En vendant l’abonnement à 8 € par mois, on voit qu’il y a une belle marge. Autrement dit, tant qu’une entreprise de VPN a plus d’utilisateurs que de serveurs, c’est un modèle hyper rentable. C’est pour cela que de plus en plus d’acteurs veulent leur part du gâteau. Sur le Play Store, on a vu des centaines de VPN apparaître. Au mieux, ils volent simplement des serveurs d’autres VPN ; au pire, ce sont des entreprises créées par des personnes qui veulent vous voler un maximum de données.
Analyse des arguments marketing
Alors, avec tout cela, allons sur le site de l’un des leaders du marché. Pour ne pas leur faire de publicité, tout ce que je dirai d’eux, c’est qu’ils font d’une taupinière une montagne, que leur siège social est au Panama (car apparemment, c’est mieux pour la vie privée et simple coïncidence si c’est un paradis fiscal ?) et que l’entreprise est souvent épinglée pour ses pratiques commerciales, publicitaires et de facturation automatique. Sur le site5, il y a huit points mis en avant. Comme j’aime apparemment me faire du mal, on va les lire et les discuter. Si vous allez sur le site, vous remarquerez que je ne parle pas des arguments sur le chiffrement, etc..., car ce sont simplement les avantages de WireGuard qu’ils ont présentés en essayant de faire passer cela pour leur innovation.
Une navigation plus confidentielle
« Vos habitudes en ligne ne regardent que vous. Nous ne surveillons pas, n’enregistrons pas et ne conservons pas de trace de votre activité en ligne. Connectez-vous à un serveur VPN et naviguez à l’abri des regards indiscrets. »
J’ai déjà expliqué plus haut que rien ne rend votre connexion anonyme dans un VPN : c’est juste plus confidentiel, car on noie votre navigation avec celle des autres sur un serveur distant. À moins que quelqu’un ne vous cible personnellement, un VPN fourni par un tiers ne vous protège probablement pas davantage qu’un VPN que vous auriez configuré vous-même. Nous en reparlerons plus tard en détail.
Streaming plus sûr
« Regardez vos séries et vos films préférés en toute sécurité, que vous soyez à la maison ou en voyage. Dites adieu à la limitation des FAI en fonction du type de trafic et profitez d’une bande passante VPN illimitée. »
C’est assez drôle, car techniquement, c’est vrai et faux. Pour le streaming, il faut savoir que c’est techniquement illégal, soit à cause des droits d’auteur, des droits voisins et des droits de diffusion, soit parce que cela va à l’encontre des CGU que vous avez acceptées avec une plateforme. C’est pour cela que de plus en plus de plateformes de streaming légal interdisent les VPN. De plus, en France, l’article 313-1 du Code pénal sanctionne la tromperie et la fraude, notamment si vous utilisez des moyens techniques pour induire en erreur un service en ligne sur votre localisation réelle. Donc, techniquement, oui, vous pouvez délocaliser votre IP pour le streaming, mais sachez qu’il y a un risque légal (qui suis-je pour vous juger ?). Parler de « plus sûr » est donc assez relatif.
Surveillance par les FAI
« Votre FAI (fournisseur d’accès à Internet) en sait beaucoup sur vous et vos activités en ligne. Il peut vendre vos données à des annonceurs, et n’hésite souvent pas à le faire. »
Si j’étais un FAI, j’aurais probablement porté plainte pour diffamation. En réalité, les FAI surveillent votre activité sur internet, mais il est peu probable qu’ils le fassent pour des publicités. En général, les FAI partagent davantage les fichiers clients que les données clients. Par exemple, Canal vous a peut-être déjà appelé parce que vous êtes aussi client chez Free, mais pas parce que vous avez cherché des informations sur Canal sur internet. En réalité, les FAI surveillent surtout votre activité sur internet, soit à des fins statistiques pour étudier leurs infrastructures, soit parce que le gouvernement le leur demande. C’est comme cela qu’on peut utiliser l’historique internet pour un procès, même si on n’a pas accès à l’historique sur l’appareil d’un prévenu. De plus, les FAI ne surveillent pas le contenu des pages, seulement les URL que vous visitez. Donc, oui, un FAI voit votre activité, mais non, il ne voit pas tous les détails et ne vend pas votre historique.
Violation de comptes
« Si un cybercriminel pirate votre adresse e-mail, il peut également accéder à tous les comptes et appareils qui y sont rattachés. »
Techniquement, c’est vrai, mais un VPN n’aide en rien à s’en protéger. Pire encore, je dirais que c’est assez dangereux d’utiliser un VPN pour accéder à vos comptes sensibles, car vous ajoutez un acteur entre le serveur et vous. Il faut savoir que, par nature, les e-mails sont l’un des moyens les moins sécurisés qui soient (c’est pour cela que cela me rend fou qu’on envoie autant de données personnelles par e-mail). 95 % des piratages qu’on voit en entreprise viennent d’un truc dans un e-mail6. Donc, en passant par un VPN, vous ajoutez simplement un organisme de plus susceptible d’interagir ou, au moins, de lire le mail avant qu’il ne vous parvienne. Normalement, vous avez déjà la protection maximale pour vos e-mails, et un VPN ne changera rien.
Usurpation d’identité
« Les usurpateurs d’identité peuvent voler vos informations personnelles pour ouvrir un compte, soumettre une demande de crédit ou faire des achats sous votre nom. »
Oui, et ? C’est tout à fait vrai, sauf qu’un VPN n’aide en rien. Pire encore, si la société de VPN est piratée, les hackers auront toutes vos informations de paiement, et vous serez donc plus susceptible d’avoir des problèmes à cause de cela. Il faut savoir qu’une grande partie des affaires d’usurpation d’identité en ligne viennent d’un leak d’une société. Personnellement, le piratage de Free en octobre 2024 m’a causé du tort, et un VPN n’aurait rien pu faire.
Piratage de connexion Wi-Fi
« Des attaques de l’intercepteur au sniffing Wi-Fi, les espions peuvent employer plusieurs méthodes pour subtiliser des mots de passe et autres données sensibles. »
En toute franchise, je ne suis pas sûr de quoi ils parlent. Pour moi, cela ressemble à ce qu’on appelle une attaque Man-in-the-Middle (MIM) en Wi-Fi. En gros, une personne mal intentionnée se place entre vous et le point d’accès et se fait passer pour ce point d’accès. Vos données passent donc par elle avant d’aller vers le point d’accès. Techniquement, elle fait un peu comme un VPN, mais sans que vous le sachiez. Si c’est bien cela, sachez que vous ne risquez probablement rien. Pour éviter cela, on a inventé le certificat SSL. Vous savez, c’est le petit « S » après « HTTP » dans l’URL et le cadenas qui indique que le site est sécurisé. Je vous invite à regarder le SSL de mon site en cliquant dessus dans votre navigateur. En gros, le SSL permet de transmettre les informations du site via un autre protocole et d’utiliser une clé, qu’on appelle la clé privée du certificat, pour chiffrer le site. Ensuite, vous avez normalement une clé publique qui vous sert à décoder les informations. Cela s’appelle la sécurisation par SHA-256. Bien sûr, en théorie, on pourrait déchiffrer vos données. En pratique, cela ne s’est jamais vu, et on utilise le SHA-2 pour sécuriser une grande partie des choses (mots de passe, bases de données, serveurs). Donc, pour revenir à nos moutons, un VPN ferait que, si quelqu’un vous attaque ainsi, il ne verrait qu’une liste de données chiffrées en SHA-3. Alors que si vous n’utilisez pas de VPN et qu’on vous attaque alors que vous êtes sur un site sécurisé, il ne verra qu’une liste de données chiffrées en SHA-2. Autrement dit, si le site est sécurisé, il ne verra rien7.
Attaque de logiciels malveillants
« En infectant votre ordinateur, les logiciels malveillants peuvent être utilisés pour extraire des informations, voler de l’argent ou bloquer l’accès à vos fichiers pour demander une rançon. »
Une fois de plus, oui, et ? Un VPN ne sert qu’à créer un réseau. Ce n’est pas un antivirus : il ne protège pas votre machine, seulement la connexion. Le mieux qu’il pourrait faire, c’est bloquer, avec ses DNS, certains sites qu’il juge malveillants (comme le font les FAI). Cependant, faire cela irait à l’encontre du principe des services de VPN. Puisque les VPN sont vendus comme un moyen de contourner les restrictions, ce serait bête d’en remettre. Quelqu’un qui voudrait le faire aurait d’ailleurs plus intérêt à installer AdGuard sur son VPS ou à créer son propre DNS pour filtrer cela. Actuellement, un VPN ne vous empêchera pas de télécharger un virus ou Bonzi Buddy.
Attaques par déni de service distribué
« Il n’est pas très agréable d’être la cible d’une attaque par déni de service distribué (ou DDoS). Ce type d’attaque ralentit brutalement la connexion ou déconnecte purement et simplement la victime. »
Je crois que nous tenons notre deuxième argument sur les huit qui n’est pas mensonger. En effet, surtout si vous jouez en ligne, cela vous est peut-être déjà arrivé. Par exemple, quand on joue à un jeu en ligne sur un serveur privé, le propriétaire du serveur peut décider d’utiliser votre IP pour vous DDoS8. Si vous utilisez un VPN, il suffit de vous déconnecter du serveur, et la personne qui vous DDoSe attaquera simplement un serveur que vous n’utilisez plus. Si votre fournisseur de VPN est bien conçu, il vous connectera automatiquement à un autre serveur quand il détectera qu’il y a trop d’activité. Après, c’est un peu la solution de facilité. Techniquement, si on vous DDoS, au bout de quelques secondes, cela s’arrête, car il faut beaucoup de ressources pour envoyer plein de requêtes et saturer un réseau. Si cela persiste, redémarrez votre box internet : dans 95 % des cas, votre box est configurée pour changer d’adresse IP quand elle redémarre9. En résumé, un VPN est une protection supplémentaire contre le DDoS.
Mon diagnostic aprés analyse
C’était juste mon analyse de la première page du site. Il faut savoir qu’il y a plein d’arguments qu’ils auraient pu avancer. Par exemple, dans le cas du gaming, on a vu le cas du DDoS, mais une personne mal intentionnée pourrait simplement se servir de l’IP pour trouver l’adresse approximative de quelqu’un. De ce fait, masquer l’adresse IP est utile pour cacher les informations qui y sont liées. Sauf que c’est plus dur à expliquer, j’imagine. Leur solution, à eux, c’est de mentir. Et quand on voit qu’ils racontent n’importe quoi, on comprend pourquoi, en 2019 et en 2023, le régulateur des publicités au Royaume-Uni a dû les arrêter.
Si le sujet des fausses promesses des VPN vous intéresse, je vous mets la vidéo en anglais de Tom Scott. Même si elle est un peu datée, elle reste toujours vraie et aborde les arguments publicitaires dans les vidéos. Ils sont un peu similaires à ce qu’ils disent sur le site, mais il y a des choses dont je n’ai pas parlé, comme les logs des informations.
Conclusion
Je voulais, à ce moment, vous faire un comparatif des VPN. Je ne pense plus que vous en ayez besoin. Normalement, vous l’avez compris : beaucoup de VPN, notamment les plus gros (en tout cas, ceux qui font le plus de publicité), sont, à mon sens, des arnaques à la publicité mensongère. Pour être honnête, je suis étonné que les associations de consommateurs n’aient pas réagi. Alors, si le VPN doit vous donner un accès à la vie privée et à la sécurité, méfiez-vous de ceux à qui vous donnez votre argent et de leurs promesses.
- puisque c’est un système où l’on a des sortes de nœuds de réseau passant par plusieurs serveurs ↩︎
- WireGuard est le système de VPN qui devient le plus courant et le plus utilisé, car il est simple à utiliser, n’utilise que le protocole UDP, offre une bonne vitesse et s’adapte à l’IPv6 comme à l’IPv4 ↩︎
- C'est la phrase qui ressemble le plus a un truc "parler" et pas adapté a l'écrit ↩︎
- Pas sponsorisé donc prenez pas de vps, j'ai pas de commissions :) ↩︎
- C'est la landing page d’une de leurs campagnes publicitaires mais ça ne change pas grand chose au propos ↩︎
- estimation personnelle, pas de vraie étude ↩︎
- à de rares exceptions près, comme si l’attaquant avait piraté l’organisme qui a émis le SSL ou l’a créé lui-même ↩︎
- je l’ai vécu sur un serveur Gmod où le propriétaire avait tendance à le faire ↩︎
- même pas par sécurité, juste parce qu’on n’a plus assez d’adresses IP, donc on les fait tourner pour les réattribuer. Plus d'infos sur l'ip : https://www.youtube.com/watch?v=NkKmnZMZELw ↩︎
Commentaires sur l'article