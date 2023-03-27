Face aux tarifs parfois élevés des meilleurs VPN, nombreux sont celles et ceux à se tourner vers des offres gratuites. Une bonne affaire en apparence qui, dans bien des cas, a tôt fait de virer au cauchemar pour la sécurité des données personnelles.
Gratuit, mais à quel prix. Les VPN qui promettent monts et merveilles sans frais séduisent celles et ceux qui veulent protéger leur vie privée sans dépenser un centime. Mais derrière les interfaces épurées et les slogans rassurants se cachent souvent des pratiques bien moins vertueuses. En voulant préserver leurs données sans ouvrir le portefeuille, beaucoup finissent par les livrer sur un plateau. Collecte d’informations, publicités intrusives, infrastructures douteuses, la facture peut vite devenir salée pour la sécurité des internautes.
Pourquoi utiliser un VPN ?
Une navigation privée pas si privée
En navigation classique comme en mode incognito, surfer sur le web laisse des traces qui permettent d’identifier et de pister les activités en ligne des internautes.
Premier marqueur : l'adresse IP
Attribuée par le FAI au point d’accès, souvent dynamique ou partagée, l’adresse IP associe les appareils connectés à Internet (box ou réseau mobile) à un contrat client. Contrat auquel sont notamment rattachées les informations de facturation (nom, prénom, adresse, numéro de téléphone, moyen de paiement) et d’utilisation (dates et heures de connexion, volumes échangés et adresses de serveurs contactés ou noms de domaine résolus lorsque le DNS n’est pas chiffré ou passe par ses serveurs, sans accès au contenu des pages ni aux URL précises) de l’abonné.
Si l’adresse IP sert d’abord à identifier l’internaute auprès du fournisseur d’accès à Internet, son caractère public permet également aux plateformes web de le repérer en tant que visiteur unique, et d’analyser son parcours de navigation sur les pages web qu’elles administrent.
En plus de dévoiler ses activités intrasites, l’IP publique révèle quelques données personnelles, comme une estimation de la position géographique et le nom du FAI. De ces deux informations, les sites web ne peuvent pas faire grand-chose. Au mieux, elles établissent des statistiques. Au pire, elles peuvent éventuellement bloquer l’accès à des contenus dits géorestreints. On pense, par exemple, aux services de streaming dont les catalogues diffèrent d’un pays à un autre en fonction des accords d’exploitation et de diffusion des œuvres signés dans chaque région où ils opèrent.
Second marqueur : les cookies et autres trackers
Dans la majorité des cas, ces dispositifs de suivis en ligne sont déposés dans le navigateur et permettent aux éditeurs comme aux annonceurs de suivre avec précision, et dans le temps, la fréquence et la durée des visites des internautes. Outre les données de navigation au sein du domaine, certaines balises collectent des informations sur les spécifications techniques de l’appareil utilisé pour surfer sur Internet (type, système d’exploitation, numéro de version, applications et logiciels utilisés pour consulter le site web). D’autres outils comme les cookies tiers, pixels et scripts de suivi sont capables de tracer les activités en ligne des utilisateurs et utilisatrices sur l’ensemble des sites qui intègrent les mêmes domaines de suivi ou régies publicitaires.
Toutes ces informations sont bien évidemment collectées, conservées, croisées dans le but de générer un profil marketing très détaillé de l’internaute, vendu à prix d’or aux annonceurs.
Troisième marqueur : le fingerprinting.
Bien que fleurissent de plus en plus de boucliers anti-suivi efficaces, la lutte contre le traitement des empreintes numériques de navigateurs se révèle autrement plus ardue. Pour rappel, le fingerprinting consiste en la collecte de toutes les données techniques délivrées par l’interface de navigation. Cela comprend le fuseau horaire, la version du navigateur, la configuration du navigateur (affichage des barres de favoris, d’outils, d’adresse), les extensions installées, la langue, mais également type d’appareil utilisé pour se connecter à Internet, la résolution de l’écran, la version du système d’exploitation, l’agencement du clavier, les polices de caractères installées, l’état et l’utilisation de la batterie, la présence ou non d’un gyroscope, d’un capteur de proximité, d’une webcam, d’un haut-parleur, d’un micro… Autant d’informations qui font du navigateur de l’internaute une interface unique, permettant d’identifier avec précision un visiteur parmi les autres, même s’il a bloqué les cookies tiers et activé le mode incognito.
Un VPN pour masquer son IP et ses données privées
Au regard de toutes les technologies plus ou moins sophistiquées développées pour pister et analyser les profils d’internautes, difficile de s’en départir avec les seuls outils de lutte anti-suivi intégrés aux navigateurs les plus populaires. C’est ici que l’utilisation d’un VPN prend tout son sens.
Pour faire simple, un VPN, ou réseau privé virtuel, consiste en un dispositif permettant de chiffrer, de masquer et de dévier la connexion Internet via un serveur intermédiaire avant de la réacheminer vers le serveur web interrogé.
Concrètement, les données de trafic sont chiffrées localement sur la machine de l’internaute, circulent dans un tunnel établi par un protocole VPN et sont acheminées comme n’importe quel trafic, mais encapsulées et illisibles sans les clés. Elles rebondissent ensuite sur un serveur VPN, virtuel ou physique, situé dans le pays choisi par l’utilisateur.
Une fois réceptionnée par le serveur VPN, la connexion est déchiffrée et emprunte l’adresse IP dudit serveur, avant d’être redirigée vers la plateforme web cible via le réseau ordinaire.
En suivant un tel schéma, il est extrêmement difficile d’intercepter la connexion entre l’appareil et le serveur VPN, et impossible d’en déchiffrer le contenu sans les clés de associées. Et si le FAI peut toujours voir que l’on se connecte à un service VPN, il n’est plus en mesure de connaître les domaines consultés. Par là même, les sites web ne voient plus l’IP d’origine mais celle du serveur VPN, ce qui complique la localisation par IP. Attention, comme on l'a vu plus haut, ils peuvent toutefois continuer à reconnaître un profil via cookies, connexions à un compte ou empreinte de navigateur si ces mécanismes ne sont pas bloqués.
En clair, sur le trajet appareil-serveur VPN, l'internaute gagne en confidentialité réseau et en sécurité vis-à-vis de tous les tiers pouvant tirer profit de ses données de connexion (FAI, hackers, éditeurs et annonceurs).
Comment les VPN gratuits se financent-ils ?
Pour qu’un service VPN soit pleinement fonctionnel, il lui faut travailler au développement d’une infrastructure réseau étendue, performante, stable et sécurisée, mais également déployer des clients logiciels sur un maximum de plateformes et mobiliser une assistance technique réactive. Une gestion et une maintenance qui engendrent des coûts (techniques, salariaux), que les entreprises répercutent la plupart du temps sur leurs abonnements.
À mesure que l’offre VPN payante s’est étoffée, de nombreux acteurs du secteur ont pris le parti de séduire les internautes en proposant des services gratuits. Une stratégie en apparence bénéfique pour les internautes, mais qui dissimule en réalité bien des dangers. Il faut bien, en effet, que ces entreprises y trouvent leur compte financièrement. Et, dans la majorité des cas, ce sont les données personnelles qui trinquent. Un comble quand on choisit justement de se tourner vers une solution VPN pour protéger son anonymat et ses informations sensibles.
1 - La publicité intégrée
Principale source de revenus des VPN gratuits, la publicité envahit souvent les clients logiciels et applications mobiles déployées par les fournisseurs.
Bien qu’une telle pratique puisse être discrète et ne pas gêner l’expérience d’utilisation outre mesure, il faut garder à l’esprit que les annonceurs paient les entreprises VPN pour diffuser leurs publicités. Bien souvent, ces annonces sont personnalisées, ce qui signifie que les internautes partagent, malgré eux, certaines données personnelles avec les régies partenaires du fournisseur VPN. Parmi les informations monétisables, on peut citer les données d’identification renseignées à l’inscription au service, mais également des données collectées par l’appli elle-même et, si le fournisseur les enregistre, des journaux d’usage.
2 - La revente des données personnelles
Si la présence de publicité laisse peu de doute quant au modèle économique mis en place par le fournisseur VPN, certaines entreprises n’hésitent pas à leurrer les internautes et jouent de l’absence d’annonces pour appâter de nouveaux clients. En réalité, il est fort probable que le service traque les activités en ligne de ses utilisateurs et utilisatrices.
Les données de navigation sont alors collectées, conservées, traitées et revendues à des annonceurs ou courtiers en données qui seront à même de vous proposer des publicités ciblées, basées sur votre historique de navigation VPN.
3 - Le partage des données avec la société mère
Une majorité de VPN gratuits réputés appartiennent à des sociétés mères, éditrices d’autres solutions payantes. Il n’est alors pas rare que le fournisseur VPN soit partie prenante d’un montage financier interne, dans lequel il revend les données privées de ses utilisateurs et utilisatrices à d’autres entités gérées par ses actionnaires.
Le procédé peut sembler moins grave que la revente d’informations personnelles à des annonceurs tiers. Pourtant, le résultat est le même : le parcours de navigation protégé par le VPN est traqué et analysé afin que la société mère puisse promouvoir auprès des internautes ses autres produits de manière ciblée.
4 - La distribution de malwares
Il faut enfin faire état des très nombreuses solutions qui, en plus de souffrir de nombreuses vulnérabilités pour cause de maintenance approximatives, distribuent volontairement des malwares sur les machines des internautes. On pense bien évidemment aux spywares, qui permettent aux fournisseurs de revendre sur le dark web des données collectées en dehors du parcours de navigation (identifiants, mots de passe, numéros de CB, etc.), mais également aux ransomwares grâce auxquels les développeurs de VPN gratuits peuvent obtenir rémunération directement auprès des utilisateurs et utilisatrices infectés.
On en profite pour rappeler qu’il est fortement déconseillé de payer une rançon exigée par des pirates informatiques. Vous n’aurez en effet jamais la certitude de récupérer l’accès à vos dossiers et partitions pris en otage.
Comment choisir un VPN gratuit ?
Pour autant, tous les fournisseurs de VPN gratuits ne se financent pas selon des business models malhonnêtes, frauduleux ou criminels. Certaines solutions plus transparentes que d’autres proposent des versions de démonstration de leur service payant ou des offres d’essai gratuit. Il faut alors souvent faire avec des limitations fonctionnelles (débits bridés, nombre de serveurs restreint, limite mensuelle de bande passante).
Opter pour une garantie de remboursement
D’autres mettent en place des politiques de remboursement très souples, offrant à leurs utilisateurs et utilisatrices la possibilité d’essayer le service sans limite de fonctionnalité ni de transfert de données.
Contrôler la taille et la rapidité de l'infrastructure
Au-delà des conditions d’essai avantageuses qu’il propose, un bon VPN se doit d'être à la tête d'une infrastructure réseau solide, la plus étendue possible. Des serveurs optimisés pour le streaming ou le P2P sont un plus.
Vérifier les protocoles VPN et algorithmes de chiffrement
Élément clé, garant de la sécurité de la connexion, le protocole VPN doit aussi constituer un critère de sélection à prendre en compte avant d’opter pour un VPN gratuit. Le service choisi doit impérativement prendre en charge OpenVPN avec AES-GCM 128 ou 256, et/ou WireGuard avec ChaCha20-Poly1305 (IKEv2/IPsec avec AES-GCM est également pertinent).
Examiner la politique de confidentialité
La politique de confidentialité constitue bien évidemment le dernier élément à étudier avant de choisir un VPN gratuit ou offrant une période d’essai gratuit. En plus d'être no-log, il doit pouvoir justifier de résultats d'audits indépendants, récents et documentés.
Bonus : juger la couverture multiplateforme
L'étendue de la couverture multiplateforme peut faire pencher la balance en faveur d’un VPN plutôt qu’un autre. Les OS les plus populaires doivent être pris en charge (Windows, macOS, Android, iOS), et l'on apprécie la mise à disposition de guide de configuration sur les équipements non compatibles avec une appli VPN native. Pensez enfin à choisir un service pouvant fonctionner sur plusieurs appareils à la fois.