On lui demande souvent beaucoup. Parfois trop. Car si un VPN protège efficacement la connexion contre certains regards extérieurs, il ne contrôle pas ce que les applications collectent, croisent et exploitent une fois les données arrivées à destination.
On installe un VPN pour protéger sa connexion, préserver un peu mieux sa vie privée, éviter les regards indiscrets sur un réseau Wi-Fi public ou masquer son adresse IP. Jusque-là, rien à redire. En revanche, lui attribuer la capacité d’empêcher les applications de collecter, recouper et exploiter les données qu’elles récupèrent dans le cadre normal du service revient à prolonger artificiellement les effets du tunnel jusque dans les serveurs de la plateforme. Or entre ce qui transite sur le réseau et ce qu’un service fait ensuite des informations reçues, le VPN n’a pas la main.
Le VPN sécurise le trajet, pas l’intention de l’application
Pour comprendre où s’arrête la protection d’un VPN, il faut repartir de sa fonction première. Lorsqu’il est activé, le service crée un tunnel chiffré entre votre appareil et un serveur distant opéré par le fournisseur VPN. Concrètement, cela empêche un tiers placé sur le réseau local, votre fournisseur d’accès à Internet ou l’admin d’un Wi-Fi public de consulter facilement le contenu de votre trafic ou d’identifier avec précision les services auxquels vous accédez. Le VPN masque également votre adresse IP publique aux sites et plateformes que vous contactez directement, puisqu’ils voient d’abord celle du serveur VPN.
Cette protection est réelle et parfois très utile, mais elle ne change rien aux données qu’une application recueille sur votre usage et transmet aux serveurs du service. Si une plateforme récupère votre identifiant de session, des données sur votre appareil, des informations de diagnostic, des statistiques d’usage ou certains éléments liés à votre activité, ces données continueront d’être envoyées comme prévu. Le VPN transporte ce flux dans un tunnel sécurisé, mais il ne neutralise ni les bibliothèques analytiques embarquées, ni les traceurs publicitaires, ni les envois de télémétrie, ni les appels vers des domaines tiers éventuels.
Revoir ses réglages et faire preuve de jugeotte
La quantité de données qu’un service peut exploiter dépend d’abord des autorisations qu’on lui a accordées. Accès au micro, aux contacts, à la localisation, aux photos, activité en arrière-plan, synchronisation automatique, personnalisation publicitaire, rapports de crash ou association avec d’autres services ont tous un effet direct sur l’ampleur de la collecte. Il faut donc examiner avec attention les permissions demandées à l’installation, puis désactiver tout ce qui peut encore l’être dans les réglages de confidentialité et de suivi de l’application elle-même.
On peut aussi s’aider d’outils tiers, y compris lorsque le VPN lui-même embarque des fonctions capables de filtrer des domaines liés à la publicité, au pistage ou aux malwares. Ces options peuvent déjà couper une partie des communications indésirables vers des régies ou d’autres services tiers connus, mais elles n’arrêtent que ce qu’elles savent identifier, pas l’ensemble des données qu’une application envoie à sa propre infrastructure. Qu’un traqueur tiers soit neutralisé ne dit rien, par exemple, de ce que le service lui-même continue d’observer, de conserver ou d’exploiter en interne.
C’est peut-être, enfin, le moment de s’interroger sur les services auxquels on choisit de confier ses usages. Utiliser la messagerie, le stockage, la suite bureautique et l’agenda d’un même écosystème (à tout hasard… Celui de Google ou de Microsoft) simplifie évidemment les choses à la maison comme au travail, mais laisse aussi circuler des informations d’un service à l’autre dans des proportions qu’on maîtrise mal, et sur lesquelles quelques réglages locaux n’ont qu’une prise limitée.
Le VPN, utile à condition de lui demander ce qu’il sait faire
Le malentendu vient souvent moins du VPN lui-même que de ce qu’on projette sur lui. À force d’être présenté comme une réponse générale aux enjeux de confidentialité, il finit par être jugé sur des terrains qui ne sont pas les siens. Le problème n’est pas qu’il soit inefficace, mais qu’on lui prête un pouvoir qu’il n’a jamais eu, comme s’il devait corriger à lui seul la collecte opérée par des applications, des services et des écosystèmes entiers pensés pour faire remonter, centraliser et exploiter des données.
Un VPN ne remplace donc ni des permissions accordées avec parcimonie, ni des réglages revus de temps à autre, ni quelques outils complémentaires, ni un minimum de discernement dans le choix des services. Il s’inscrit dans cet ensemble, avec un rôle bien défini, à savoir chiffrer le trafic, masquer l’adresse IP publique et limiter ce que des intermédiaires peuvent observer de la connexion, sans pouvoir compenser à lui seul ce qui relève des applications et des services eux-mêmes.
