Le VPN, outil de protection numérique dont l'usage peut être détourné, est officiellement dans le viseur du gouvernement, qui pourrait se diriger vers une régulation, voire une interdiction. Pour le hacker éthique Clément Domingo, aka SaxX, l'idée est « hyper dangereuse ».
Derrière les bonnes intentions, le gouvernement français multiplierait-il les faux pas sur les questions numériques ? Après une loi sur les réseaux sociaux déjà contestée, Anne Le Hénanff, ministre déléguée à l'Intelligence artificielle et au Numérique, a évoqué une possible régulation des VPN vendredi chez nos confrères de franceinfo. Une sortie qui inquiète profondément Clément Domingo (SaxX), célèbre spécialiste en cybersécurité, qui qualifie cette annonce de « catastrophique ». Dans une interview donnée à Clubic ce 30 janvier, il pointe du doigt une certaine méconnaissance technique des dossiers cyber de la part de nos gouvernements, qui crée des risques pour la souveraineté numérique et fait craindre une atteinte aux libertés. Et il est loin d'être le seul à le faire !
Interdire les VPN, pourquoi ce serait dangereux
Clément, alors que le sujet de l'interdiction des réseaux sociaux aux moins de 15 ans est presque « réglé » (l'Assemblée nationale a voté, pas encore le Sénat), voilà que la ministre déléguée chargée de l’Intelligence artificielle et du Numérique, Anne Le Hénanff, veut s'attaquer aux VPN. Elle a déclaré sur franceinfo : « C'est le prochain sujet sur ma liste ». J'ai vu que tu avais réagi sur les réseaux, en appelant à faire très attention. Peux-tu nous dire pourquoi ?
C'est hyper dangereux, quelques jours après cette première proposition de loi qui a été votée au niveau de l'Assemblée nationale, qui a quand même eu de manière générale une vraie défiance de la part des citoyens, de la part des Français, qui n'ont pas compris comment concrètement allait se décliner cette interdiction des réseaux sociaux aux moins de 15 ans.
Je pense que c'était une déclaration non maîtrisée de la ministre déléguée au Numérique en disant que les VPN sont les prochains sur sa liste. Ça vient un peu conforter pour beaucoup, complotistes ou non, ceux qui pouvaient voir ça comme une forme de fichage grandeur nature du gouvernement français. Interdire les VPN, c'est dire que tu ne peux plus te connecter à un site ou une application par d'autres moyens que directement. Je pense que madame la ministre ne maîtrise pas le sujet des VPN.
Interdire les VPN revient à dire que tu vas censurer ta population, revient à dire que dorénavant rien d'autre ne sera fait que dans le giron du gouvernement au travers des fournisseurs d'accès à internet. Donc, c'est hyper dangereux de le dire, ou de le sous-entendre. Ce serait limite une déclaration liberticide, contre la liberté d'expression, contre les libertés individuelles numériques. C'est juste catastrophique d'avoir eu cette tournure de phrase.
Je pense que ça a pu lui échapper, mais ça vient un peu conforter ce que beaucoup pensaient, en disant que c'est juste un agenda politique en vue de 2027, pour instaurer cette identité numérique à tout le monde et venir contrôler, venir ficher, venir fliquer absolument tout le monde.
Une mesure techniquement possible
Est-ce que techniquement, ce serait possible de bloquer au sens large les VPN en France ? Sur quoi et qui ça repose ?
En fait, techniquement, il est possible de bloquer un VPN, et ça passerait exclusivement par les FAI, donc par les opérateurs télécoms. Mais attention, ça nécessite de revoir énormément de choses, et donc de se baser sur le DNS, de venir filtrer, faire du DPI (Deep Packet Inspection), pour pouvoir un peu censurer ça, mais ça, c'est seulement une infime partie.
Il faut aujourd'hui savoir que tu as énormément de protocoles. Par exemple, je peux, moi, aujourd'hui, me connecter via un tunnel encapsulé en passant par ce qu'on appelle les proxy SOCKS. Pour faire hyper simple, je commande dans le monde, donc imaginons au Canada, un pays hors de la France ou hors de l'Union européenne, un serveur classique pour héberger mon site.
Sauf que sur mon serveur, je mets une autre configuration type OpenVPN, ou tout simplement un SOCKS où je vais rediriger tout le trafic que j'ai littéralement dans la ville de Paris ou dans la ville de Rennes, en lui disant « tu te connectes sur ce serveur-là et depuis ce serveur qui se trouve en dehors de la France, qui se qui se trouve en dehors de l'Union européenne. » Donc ça, c'est compliqué à bloquer. Et je ne te parle même pas aussi aujourd'hui de tous les navigateurs, comme par exemple Brave, qui incluent automatiquement dedans une connexion VPN.
Et tu peux même aussi activer la connexion via Tor, le réseau à plusieurs couches, ce qui fait que techniquement, oui, c'est possible, mais ce serait hyper compliqué. Sans parler aussi aujourd'hui, il faut le dire et l'expliquer à beaucoup de gens, que le VPN est un mécanisme de protection, un mécanisme d'encapsulation. Beaucoup de gens d'ailleurs, on l'a vu lorsqu'il y a eu le COVID, utilisaient les VPN depuis chez eux, depuis l'étranger en repassant par ces VPN pour pouvoir accéder au réseau interne de l'entreprise.
Donc interdire les VPN, ça voudrait dire qu'on ferait sauter énormément de protections de base. Je rappelle que l'ANSSI a émis plusieurs guides de recommandations en expliquant comment on mettait en place les VPN. Et c'est d'ailleurs aujourd'hui l'un des conseils que je donne, que beaucoup de gens dans la cybersécurité donnent à des personnes qui ne sont pas sensibilisées, en leur disant « lorsque tu vas dans un restaurant, dans un hôtel, dans un train, que tu ne sais pas si le réseau Wi-Fi de cet hôtel ou de ce restaurant est sécurisé, utilise un VPN, parce que tu vas voir ta connexion encapsulée. Et les cybercriminels ne pourront pas voir ce que tu fais ».
Le VPN a prouvé son utilité, mais aussi certaines limites
Tu évoquais très justement OpenVPN, Clément. Justement, quid de l'open source comme alternative ?
Aujourd'hui, OpenVPN est un protocole qui est utilisé par beaucoup d'entreprises, y compris les entreprises en France, pour mettre en place des infrastructures, des tunnels sécurisés pour se connecter.
Interdire un VPN, c'est tout bonnement, excuse-moi, une idée « stupide », car même si techniquement c'est faisable, jamais une telle chose pourrait voir le jour en France. Ou alors, on en reviendrait à tomber dans la liste des rares pays aujourd'hui dans le monde où l'utilisation d'un VPN est interdite. Pays des Lumières et des droits de l'Homme, la France basculerait dans cette censure dont je te parlais précédemment.
Sans faire l'apologie du VPN, c'est un outil qui a prouvé son utilité. Peux-tu nous dire, de ton point de vue, pourquoi il a plus que jamais son utilité en 2026 ?
Effectivement, sans dire si c'est bien ou non, un VPN, ça permet trois choses. D'abord, ça permet de te sécuriser quand tu es sur ce qu'on appelle un réseau hostile, où on ne sait pas qui contrôle le réseau. On ne sait pas s'il y a des « grandes oreilles » (en référence à Big Brother).
Le second point positif à utiliser un VPN, c'est qu'il vient sécuriser et établir un tunnel sécurisé entre le serveur et toi. Et je le rappelle, comme je te disais lors de ma précédente question, aujourd'hui, il y a énormément d'entreprises en France et dans le monde qui l'utilisent pour le télétravail.
Le troisième point à relever, c'est que ça permet simplement de ne pas se faire aspirer ses données. Il faut faire la différence entre ce qu'on appelle les VPN no-log et les VPN grand public qui, certes, changent ta localisation parce que c'est un peu le but premier aussi d'un VPN de faire croire à une application ou à un site internet que tu te trouves à Bordeaux alors que présentement tu te trouves peut-être au Cambodge, en Côte d'Ivoire ou que sais-je. Le VPN a cette capacité-là de te permettre de ne pas être pisté. Aujourd'hui, il y a des applications de voyage ou d'hôtellerie qui peuvent pister nos traces numériques. Utiliser un VPN peut brouiller les pistes en changeant de localisation et permettre une forme de navigation un peu plus privée.
Mais une fois de plus, l'utilisation ne rend pas anonyme la personne. Ce que va faire le VPN, c'est juste changer ta position en plus des autres propriétés, comme le fait d'encapsuler ta connexion dans un tunnel sécurisé, ça ne te rend pas du tout anonyme. Il ne faut pas oublier non plus que les VPN no-log ou les VPN grand public vont te faire croire que tu es sécurisé, alors que derrière, ils vont récupérer absolument toutes tes données personnelles, tes données de navigation, et les revendre. C'est comme ça aussi qu'on fait de l'argent.
Derrière les initiatives, une certaine méconnaissance de la cybersécurité de la part des élites et des gouvernants
Même s'il existe des initiatives positives, comme la nouvelle stratégie nationale de cybersécurité de la France, certes non chiffrée pour le moment, penses-tu qu'il y a encore une forme de méconnaissance de nos gouvernants à propos des sujets cyber ?
Je suis au regret de le constater, surtout cette semaine et la semaine précédente, avec les sorties de Gabriel Attal et de la députée Laure Miller, qui porte la loi sur l'interdiction des réseaux sociaux aux moins de 15 ans. Puis ici avec notre ministre délégué à l'IA et au Numérique. Comment peut-on faire une telle sortie de route ? Je pense que pour les prochains débats, tout va être phagocyté un peu par cette phrase totalement hasardeuse qu'elle a pu avoir et le fait aussi de voir que, dans ses différentes prises de parole, c'était quand même assez approximatif. Ce n'est pas un bon signe à l'orée de 2027 et des élections présidentielles. Je reste convaincu que les prochains candidats à l'élection présidentielle devront avoir un volet numérique dans leur programme.
Un autre point aussi, et tu me donnes un peu l'occasion d'en parler, c'est cette stratégie nationale de cybersécurité annoncée jeudi. Certes, c'est bien, mais en reprenant un peu de hauteur et du recul, et si je dois être un peu objectif, on ne nous dit pas comment elle va être mise en place. On n'a pas de plan d'action sur les cinq piliers qui ont été dévoilés. Est-ce qu'il faudra cocher certains des objectifs pour 2026 ? Quelles seront les différentes parties prenantes ? Quel avenir pour Cybermalveillance et Cyber17, avec le Cyber17 qui sera avalé ? Et le filtre arnaque, qui devait être mis en place en 2023 ?
On parle aussi un peu du capacity building, de faire de la France le nouveau vivier, mais on ne sait pas comment ça va être fait. Donc une fois de plus, je pense que pour le citoyen (dans la profession, on sait un peu à quoi s'en tenir, on sait se comprendre), c'est hyper compliqué et ça fait plus de mal que de bien. Il faudra donc peut-être que madame la ministre et surtout nos gouvernants soient pour la suite un peu mieux briefés sur ces sujets par leur cabinet ou assistants, pour éviter un peu ces différentes sorties de route.
J'en profite aussi pour rappeler toutes les fuites d'informations qu'on a eues en 2025, et le terrible mois de janvier 2026, même s'il y a eu des fuites d'informations et cyberattaques qu'on connaissait déjà. Si je prends spécifiquement le ministère des Sports, de la Jeunesse et de la Vie associative, la ministre Marina Ferrari, qui je rappelle, était déjà passée au numérique, n'a toujours pas pris la parole. Donc je pense qu'il y a, soit une vraie forme de méconnaissance, soit que le sujet n'intéresse pas du tout.
