Une analyse menée par Comparitech révèle que plusieurs VPN gratuits très téléchargés sur iOS et Android communiquent avec des domaines chinois ou russes, parfois via des SDK intégrés au cœur des applis. Sans tirer de conclusions hâtives sur leur origine, le rapport soulève des inquiétudes sur la confidentialité des données et la transparence des éditeurs.
- Comparitech a analysé 24 VPN mobiles gratuits populaires et a constaté des communications régulières vers des infrastructures chinoises et russes.
- Certaines applis intègrent des SDK tiers (Baidu, etc.) ou envoient des données vers Yandex/Mail.ru, posant des risques de confidentialité.
- Conseil pratique : privilégier la transparence, audits externes et juridictions protectrices; la gratuité peut coûter vos données.
Les VPN sur mobile cartonnent, et il suffit de jeter un œil aux stores d’Apple et de Google pour s’en convaincre. Mais derrière les promesses de confidentialité et de sécurité, la réalité est plus nuancée qu’il n’y paraît. En avril dernier, le Tech Transparency Project pointait déjà du doigt plus de vingt applis parmi les cent VPN gratuits les plus téléchargés sur mobile, toutes soupçonnées d’entretenir des liens avec des sociétés chinoises… sans jamais le mentionner clairement. Depuis, Apple en a supprimé quelques-unes sur l’App Store, tandis que Google est restée lettre morte sur le Play Store. Mais l’affaire pourrait encore rebondir avec la publication par Comparitech d’une analyse plus poussée de 24 VPN gratuits parmi les plus populaires, une enquête qui révèle cette fois des communications régulières avec des infrastructures chinoises ou russes.
Derrière ces VPN gratuits, des données qui voyagent un peu trop loin
Pour comprendre ce qui se cache derrière ces applis, Comparitech a sélectionné 24 VPN gratuits parmi les plus téléchargés, dont Turbo VPN, VPN Proxy Master, Signal Secure VPN, QuarkVPN, VPNify, NowVPN, ou encore Ostrich VPN. Dans le détail, les chercheurs ont décompilé les APK Android, inspecté le code et surveillé les communications réseau afin de mieux cerner leur fonctionnement et d’identifier les services avec lesquels elles échangent des données.
Et le moins que l’on puisse dire, c’est que le constat est préoccupant. Six applis communiquent avec des domaines chinois hébergés chez Baidu ou Libvideo. Huit autres envoient des données vers des adresses IP russes liées à Yandex, Mail.ru ou AppMetrica. Dans certains cas, l’analyse statique a même mis en évidence l’intégration de SDK tiers développés par Baidu, notamment pour la collecte de données analytiques ou de géolocalisation.
Or, si ces éléments ne suffisent pas à prouver une origine chinoise ou russe des applis, ils montrent très clairement que certaines données peuvent transiter par ces services, qu’elles soient anonymisées ou non, ce qui soulève déjà des inquiétudes. D’autant que les lois locales imposent aux entreprises opérant en Chine ou en Russie de coopérer avec les autorités, y compris pour les services VPN. En Russie, Roskomnadzor va même plus loin en obligeant les fournisseurs à relier leurs serveurs à un système centralisé de filtrage des contenus. Dans un tel contexte, les promesses de no-log sont difficiles à tenir.
Pour compléter son analyse, Comparitech a sollicité Apple, Google et l’ensemble des éditeurs concernés afin de recueillir leurs commentaires. Seuls Google et le développeur de TurboVPN, Innovative Connecting, ont répondu. L’entreprise VPN, enregistrée à Singapour, a assuré ne collecter aucune donnée d’activité, tout en se disant ouverte à toute vérification externe. Google, de son côté, s’est contentée de rappeler que le Play Store se conformait aux lois internationales sur les sanctions, et interdisait les applications trompeuses ou malveillantes, précisant intervenir dès qu’un éditeur enfreint ses politiques. Point.
Comment bien choisir son VPN pour protéger ses données
Si le rappel était encore nécessaire, l’enquête de Comparitech confirme que la gratuité a souvent un prix, et qu’il ne se mesure pas en euros mais en données. Quand des applis populaires intègrent des SDK tiers ou communiquent avec des infrastructures hébergées en Chine ou en Russie, la question n’est pas seulement de savoir d’où viennent ces VPN, mais aussi où vont vos informations personnelles.
Le premier réflexe consiste à se pencher sur la transparence de l’éditeur. Sur l’App Store comme sur le Play Store, les informations se trouvent en bas de la fiche de téléchargement. Un éditeur clairement identifié, avec des mentions légales accessibles, reste un indicateur de sérieux. À l’inverse, des coordonnées floues ou un site difficile à tracer doivent alerter.
Vient ensuite la question de la politique de logs. Les fournisseurs les plus fiables publient régulièrement des audits externes ou des rapports de transparence confirmant qu’aucune donnée de navigation n’est conservée. En l’absence de telles garanties, la prudence s’impose, surtout pour un service censé chiffrer l’ensemble de votre trafic.
La juridiction a, elle aussi, son importance. Un fournisseur basé dans un pays qui n’impose pas la conservation des données, comme la Suisse (pour l'instant) ou le Panama, offre généralement un cadre plus protecteur. À l’inverse, un service soumis à des obligations légales de coopération avec les autorités, comme en Chine ou en Russie, ne pourra jamais garantir une politique de no-log crédible.
Si l’objectif est de sécuriser réellement vos données, mieux vaut privilégier des fournisseurs reconnus pour leur transparence et leurs garanties techniques. Certains, comme Proton VPN, proposent même des offres gratuites sans limite de temps ni avance de frais, tandis que d’autres, comme CyberGhost, ExpressVPN, NordVPN, Surfshark ou Mullvad, pratiquent des politiques satisfait ou remboursé qui permettent de tester le service sans risque.
Source : Comparitech
