VPN définition : c'est quoi et à quoi ça sert ?

Si l’on s’intéresse un tant soit peu à la tech, impossible de ne jamais avoir entendu parler de VPN. Mais un VPN, c'est quoi ? Et à quoi ça sert ?Présentés comme la solution idéale pour garantir la sécurité des données privées et l’anonymat en ligne, ces dispositifs intègrent de plus en plus les habitudes de navigation d’internautes.

Mais qu'est-ce qu'un VPN exactement et à quoi sert-il ? Est-ce légal ? Est-ce dangereux ? Ne vaut-il pas mieux privilégier la navigation privée ? Tor n'est-il pas plus efficace ? OpenVPN ou WireGuard ? Juridiction, fuite DNS, adresse IP, chiffrement, kill switch, stockage RAM, serveurs 10 Gb/s, protocole obfusqué, nœuds ; quel est donc ce jargon et en quoi est-ce utile de le maîtriser pour mieux protéger sa vie privée en ligne ? Réponses dans ce dossier.

Un VPN, qu’est-ce c’est ? Définition

VPN est l'abréviation de « Virtual Private Network », soit Réseau Privé Virtuel en français. Il s'agit d'un réseau privé permettant d’établir une communication directe entre deux équipements informatiques ou deux réseaux d’ordinateurs distants.

Appliqué au web, le VPN virtualise un tunnel de connexion à l’aide d’un protocole spécifique (OpenVPN, WireGuard, IKEv2, L2TP/IPSec, etc.). Ce tunnel sert à relier un appareil connecté (ordinateur, smartphone) et le serveur VPN. Les données qui circulent via ce tunnel sont généralement chiffrées à la source pour préserver leur confidentialité en cas d’interception du trafic, puis déchiffrées sur le serveur avant d’être transmises aux plateformes web interrogées.

Utiliser un VPN comme relais de connexion renforce considérablement l’anonymat de l’internaute, à condition que le fournisseur VPN soit lui-même respectueux vis-à-vis des informations personnelles de ses utilisateurs (audits indépendants réguliers, non-journalisation des connexions, etc.). D’une part, l’adresse IP visible des sites et pages web visités n’est plus celle de l’utilisateur, mais celle du serveur VPN. D’autre part, suivant la localisation du (ou des) serveur(s) VPN, l’internaute est en mesure de dissimuler sa véritable position géographique, et donc de contourner censure et/ou blocage de contenus géolocalisés.

Bien que les usages domestiques et grand public du VPN poussent les internautes à se tourner vers des fournisseurs professionnels, le statut open source et la prise en charge native par les appareils connectés de certains protocoles permettent à tous de créer et configurer leur propre réseau VPN. Niveau d’expertise requis : élevé. Il faut néanmoins garder à l’esprit qu’un VPN artisanal n’offre pas les mêmes avantages qu’un service d’entreprise (serveur unique, géolocalisation à la maison, consommation excessive de bande passante, erreurs de configuration, etc.).

Aux origines du VPN

L’histoire s’accorde à corréler l'invention du VPN à celle du protocole PPTP. Nous sommes à la fin des années 1990 ; le développement de TCP/IP et l’adoption généralisée de Windows 95 contribuent à l’essor d’Internet. Une petite révolution dans le monde des télécommunications qui connaît également son revers de médaille avec la recrudescence de piratages, en particulier sur les ordinateurs tournant sur l’OS de Microsoft. Et pour cause, à cette époque, le web était essentiellement accessible depuis Internet Explorer.

De Windows NT au VPN

Consciente des risques inhérents à l’utilisation croissante d’Internet, en particulier dans le cadre professionnel (développement des intranets, accès à distance aux serveurs de stockage), la société entreprend de trouver une solution durable qui permettrait de sécuriser les réseaux de communication. Elle missionne une équipe de développeurs dédiés, emmenée par Gurdeep Singh Pall, alors responsable du développement de Windows NT. L’objectif est de taille puisqu’il s’agit d’offrir une réponse attendue par l’ensemble de l’industrie informatique et de consolider l’avenir du projet Internet en tant que réseau ouvert et accessible à tous.

PPTP : le premier protocole VPN

En collaboration avec d’autres entreprises spécialisées dans les équipements réseau, dont Ascend Communication (acquise par Lucent, devenue Alacatel puis Nokia) et 3Com (acquise par HP et intégrée à Aruba Networks), Gurdeep Singh Pall met au point le premier protocole VPN : PPTP.

Dans les grandes lignes, PPTP (Point-to-Point Tunneling Protocol) devait permettre de protéger les connexions PPP (protocole de liaison point à point permettant de transférer des données entre un client et un serveur d’accès distant) en créant un réseau privé virtuel et en convoyant les connexions PPP sur le réseau IP à travers un tunnel isolé (liaisons LAN ou WAN).

On a longtemps reproché à PPTP les trop nombreuses vulnérabilités dont il était criblé. Aujourd’hui, il est même fortement déconseillé de recourir à ce protocole si l’on souhaite établir une connexion VPN. Il n’empêche que le projet a grandement contribué au développement de la sécurité des réseaux, des connexions et des données en ligne. Il a également servi de base à la création du protocole L2TP qui, couplé à IPSec, est toujours utilisé par de nombreux fournisseurs VPN grand public.

Un VPN, à quoi ça sert ?

Un VPN ça sert à :

• Masquer son adresse IP.
• Contourner la censure.
• Se localiser dans un autre pays.
• Sécuriser sa connexion Wi-Fi.
• Faire des économies en ligne.
• Sécuriser un réseau d'entreprise.

Voyons tout cela en détails.

Vous l’aurez compris, le VPN devait initialement répondre aux exigences de sécurité des entreprises offrant des accès distants à leurs serveurs. Aujourd’hui encore, les employés sont régulièrement contraints de se connecter à un réseau privé virtuel pour accéder à leur intranet, phénomène accru par le développement et la généralisation du télétravail.

En parallèle, les VPN se sont ouverts au grand public pour répondre à des exigences personnelles d’anonymat, de confidentialité et de sécurité des données privées en ligne dans le cadre d’une navigation web classique.

Avec l'évolution des technologies et des usages web, les meilleurs VPN ont vu leur champ d'action s'étendre. On n'attend plus seulement d'un tel service qu'il isole et chiffre le trafic, mais également qu'il émule de nouvelles adresses IP, simule des géolocalisations virtuelles, contourne la censure et les géorestrictions de contenus, déjoue les pratiques frauduleuses d'entreprises qui font artificiellement gonfler les prix de leurs prestations.

1 - Masquer son adresse IP (ex. pour les téléchargements)

Essentielle à la navigation en ligne, l’adresse IP publique est le numéro d’identification qui permet à deux appareils (ordinateur / smartphone / tablette et serveurs web) connectés au réseau Internet de communiquer entre eux.

L'IP, une information personelle

Outre son statut d’agent de liaison technique, l’IP publique est chargée d’informations personnelles auxquelles accèdent les plateformes web consultées. Ces données précisent l’emplacement géographique de l’utilisateur (pays, région, parfois même ville) et le nom de son FAI. Des renseignements aujourd’hui activement exploités par les sites web qui s’en servent notamment pour dresser et affiner des profils de visiteurs revendus à des annonceurs.

Bien entendu, ces informations ne sont pas indispensables pour surfer sur Internet. Il est parfaitement possible de les dissimuler sans entraver l’expérience de navigation à l’aide, par exemple, d’un VPN. En recourant à ce type de dispositif, l’internaute se voit attribuer une nouvelle adresse IP publique pour communiquer avec les serveurs des sites web consultés. Les plateformes en ligne n’accèdent plus aux informations de l’adresse IP réelle de leurs visiteurs, mais aux données d’emprunt associées à l’adresse IP virtuelle. En clair, le VPN agit comme leurre et favorise l’anonymat en ligne de ses utilisateurs.

Pourquoi modifier son adresse IP ?

En dehors du suivi en ligne opéré par les services et plateformes web, on peut vouloir modifier son adresse IP lorsque l’on télécharge des fichiers torrent.

Dans la mesure où le téléchargement en P2P mobilise plusieurs serveurs administrés par des tiers distincts (principe des réseaux décentralisés), nul n’est à l’abri de communiquer avec une source (seeder) malintentionnée.

Théoriquement, la liaison directe entre l’appareil qui télécharge un fichier et ceux qui le partagent permet à n’importe quel pair de récupérer très facilement l’IP de l’ordinateur à l’origine du téléchargement, et inversement. Et bien que l’on ne puisse a priori pas faire grand-chose de cette information – mis à part estimer la géolocalisation de l’internaute et connaître le nom son FAI –, le risque zéro n’existe pas. Un hacker qui souhaite se faire la main pourra, par exemple, mener des attaques DDoS contre votre box Internet (ralentissements de la connexion, redémarrages intempestifs de la box, problèmes d’accès à Internet). La menace reste toutefois très relative.

Cas d'usage : le téléchargement de torrents

En revanche, de façon plus pertinente dans le cadre du P2P, l’utilisation d’un VPN pour télécharger des torrents peut aider à dissimuler l’adresse IP des serveurs web interrogés vis-à-vis des FAI.

Encore aujourd’hui, de nombreux fournisseurs d’accès à Internet associent automatiquement le torrenting à une pratique illégale et brident la connexion. Or, dans le cadre du partage de ressources parfois très volumineuses, distribuées sous licence libre ou appartenant au domaine public, et dont la récupération est nettement plus rapide en P2P qu’en direct download, ces restrictions de débits dégradent sérieusement l’expérience de téléchargement.

Avec un VPN, le FAI voit toujours que l’internaute se connecte à un serveur VPN, mais il ne peut plus connaître l’identité des serveurs web interrogés ni déterminer la nature des activités en ligne (ici, le téléchargement en P2P).

2 - Contourner la censure (ex. en Chine, en Iran ou en Russie)

Internet a beau avoir été pensé comme un réseau gratuit, ouvert, libre et sans frontières, les réalités politiques et législatives propres à chaque région du monde changent considérablement la donne. C’est en particulier le cas dans les pays soumis à un régime autoritaire, où le gouvernement exerce aussi bien sa censure sur le territoire physique que sur le web.

Censure : un Internet a deux vitesses

Que l’on soit voyageur ou résidant dissident, défenseur des droits des êtres humains, activiste, opposant dans des États comme la Chine, la Russie, le Cambodge ou l’Iran, il n’est pas possible d’accéder librement à certains contenus et sites web. On pense notamment aux sites d’information étrangers, comme Le Monde ou le New York Times, aux réseaux sociaux, ou à tout autre espace en ligne jugé menaçant pour la sécurité et le maintien du régime en place.

Contourner la censure et retrouver sa liberté avec un VPN

Pour contourner la cybercensure, il faudrait donc pouvoir se connecter à un serveur intermédiaire non bloqué par l’État, situé en dehors du pays surveillé. Or, dans la majorité des cas, l’usage de VPN non autorisés par le gouvernement est illégal. Les régimes les plus oppressifs parviennent même aisément à détecter le trafic VPN et à empêcher les services de fonctionner. C’est par exemple le cas en Chine, où les renseignements pratiquent activement le DPI (deep packet inspection). Même constat en Russie et en Iran qui, depuis le début de la guerre en Ukraine pour l’une et les forts mouvements de contestation pour l’autre, ont renforcé leurs mesures anti-VPN, obligeant certains fournisseurs à développer des technologies plus performantes pour espérer déjouer les tentatives d’isolation et de désinformation des citoyens. On pense à Vypr et son protocole Chameleon, fonctionnel en Chine, ou encore à ProtonVPN et son protocole Stealth, actuellement capable de leurrer la Russie et l’Iran en faisant passer le trafic VPN pour du trafic HTTPS régulier.

En dehors de ces États particulièrement répressifs, quiconque se trouve confronté à la censure web de manière occasionnelle peut la contourner à l’aide d’un VPN.

3 - Se localiser dans un autre pays (ex. débloquer Netflix US)

Parce qu’il simule une adresse IP localisée dans une région du monde choisie par l’internaute, le VPN offre la possibilité de contourner les géorestrictions mises en place par certaines plateformes en ligne.

SVoD : des catalogues différents d'un pays à l'autre

L’exemple le plus représentatif concerne les services de streaming, dont les catalogues varient d’un pays à l’autre. Vous l’aurez sûrement remarqué, impossible d’accéder à certains contenus audiovisuels nord-américains en se connectant à Netflix depuis la France. En revanche, en se connectant à des serveurs implantés aux États-Unis, et donc en émulant sa localisation sur le territoire US, l’internaute peut recourir à un VPN pour débloquer les films et séries Netflix qui lui étaient jusqu’ici interdits.

Réciproquement, si vous êtes en déplacement à l'étranger, vous ne pourrez plus accéder au catalogue de contenus de votre pays d'origine, remplacé par celui du territoire dans lequel votre service de streaming vous localise.

VPN : une nouvelle localisation virtuelle pour le streaming

Modifier virtuellement sa localisation pour accéder à des contenus géobloqués n'est pas ouvertement interdit par la loi en France. C'est en revanche illégal au regard des conditions d'utilisation de nombreux services de streaming qui se réservent le droit de suspendre votre abonnement pour une durée indéterminée. En cause : la négociation et l'acquisition des droits d'exploitation et de diffusion des œuvres, variant d'un pays à un autre.

4 - Sécuriser sa connexion wifi (eg. éviter les hackers)

En plus de ses capacités à duper les services web, contourner la cybercensure, et lever les géorestrictions d'accès à certains contenus, le VPN sécurise les réseaux Internet vulnérables. On pense plus spécifiquement aux réseaux Wi-Fi publics et/ou très fréquentés, souvent mal configurés. Une fois le point de connexion piraté, les hackers peuvent intercepter le trafic qui transite via le hotspot et récupérer quantité de données sensibles telles que des mots de passe, des identifiants bancaires et des numéros de CB, d’autant plus si l’internaute se rend sur des plateformes web non sécurisées HTTPS. L’objectif du VPN est ici d’invisibiliser la connexion et de chiffrer les données de manière à les préserver de toutes tentatives de piratage.

5 - Faire des économies en ligne (ex. réservations de billets)

Vous êtes traqués…. en permanence

Si, dans la majorité des cas, les sites web exploitent les informations relatives à l’IP de leurs visiteurs pour vendre des profils marketing aux annonceurs et, par là même, financer leur modèle économique, certains services en ligne n’hésitent pas à détourner l’usage des cookies pour pister directement les internautes et gonfler artificiellement les prix de leurs produits à chaque nouvelle visite. Une technique malhonnête que l’on observe notamment sur les plateformes de réservation (vols, trains, hôtels), et dont le double objectif consiste à créer un sentiment d’urgence dans le processus d’achat tout en générant le plus d’argent possible.

Déjouez le pistage avec un VPN

Là encore, utiliser un VPN pour dissimuler son adresse IP, voire émuler sa géolocalisation dans un autre pays, peut aider à contrer des pratiques abusives mises en place par des entreprises peu scrupuleuses. Résultat : vous prenez votre temps pour comparer les offres sans prendre le risque de voir les tarifs flamber arbitrairement.

6 - Le réseau d'entreprise (ex. accéder à l'intranet)

Sécuriser l'intranet de l'entreprise

On l’oublie trop souvent, mais l’usage du VPN a d’abord été pensé pour sécuriser les réseaux d’entreprises et l’accès distant aux intranets. Avec la crise sanitaire et la généralisation du télétravail, il est même fort probable que vous y ayez déjà été confrontés.

Dans ce cas précis, la technologie déployée n’a, dans sa forme et ses objectifs, pas grand-chose à voir avec les solutions VPN grand public. Il ne s’agit plus ici de chercher à masquer son adresse IP et modifier virtuellement sa géolocalisation, mais de créer un tunnel direct, chiffré, isolé du reste du trafic Internet public pour autoriser l’accès sécurisé aux serveurs distants de l’entreprise.

Un VPN d'entreprise pour le travail à distance

Les VPN montés dans ce cadre spécifique consistent généralement en des outils développés en interne ou déployés par des sociétés spécialisées dans la sécurité des entreprises. On s’y connecte à l’aide de ses identifiants professionnels, et leur activation permet seulement d’accéder à distance au réseau de l’établissement.

Inutile, donc, de chercher à débloquer des contenus géorestreints ou contourner la censure à l’aide de VPN d’entreprises.

Comment fonctionne un VPN ?

Mais comment fonctionne un VPN ? Concrètement, un VPN consiste en un serveur intermédiaire posté entre un client (l’ordinateur ou le smartphone de l’internaute) et le serveur web interrogé. Lorsque l’utilisateur se connecte à Internet et saisit une requête dans son navigateur (URL, mots clés sur un moteur de recherche), c’est entre son appareil et le serveur VPN que tout se joue.

D’un point de vue technique, l’internaute doit d’abord d’installer un client VPN (logiciel desktop ou application mobile) sur sa machine et démarrer le service. Une fois la connexion VPN initiée, le trafic est chiffré sur l’appareil de l’utilisateur à l’aide d’un algorithme de chiffrement (généralement AES 128 ou 256), puis emprunte un tunnel sécurisé, généré à l’aide d’un protocole VPN (OpenVPN, WireGuard, IKEv2/IPSec pour les plus sérieux), et isolé du reste du trafic Internet régulier (TLS/HTTPS), jusqu’au serveur du VPN.

Réceptionné par le serveur VPN, le trafic est déchiffré, associé à l’adresse IP du serveur relais et redirigé vers le serveur web interrogé, mêlé au trafic HTTPS standard. À la réception de la requête, les sites Internet peuvent donc lire les données sans difficulté, sans jamais connaître l’adresse IP ni la position géographique réelles de leur visiteur. La réponse est renvoyée avec le trafic régulier vers le serveur VPN qui chiffre les données et les achemine jusqu’à l’ordinateur de l’internaute via le tunnel VPN.

Suivant ce schéma, l’internaute est presque totalement anonyme. Presque, car le fournisseur d’accès à Internet demeure le seul élément de la connexion (avec le fournisseur VPN) à connaître l’adresse IP réelle de l’utilisateur. En revanche, la connexion étant chiffrée puis redirigée par le serveur VPN, le FAI n’accède plus au détail des services en ligne visités, ni aux données de connexion autre que les heures de connexion à l’adresse IP du serveur VPN.

VPN : lexique et notions de base

Protocole de tunneling, clé de chiffrement 256 bits, DNS, obfuscation, Kill Switch, fingerprinting… La liste des termes techniques gravitant autour des VPN est longue et parfois incompréhensible pour le grand public.

Voici quelques définitions qui devraient vous permettre de mieux appréhender l’univers du VPN, de comprendre comment fonctionnent ces services et de garder en mémoire les critères importants dans le choix d’une solution plutôt qu’une autre.

Fournisseur VPN

Le fournisseur VPN est l’entreprise à laquelle on souscrit un abonnement pour profiter d’un service VPN. Sont compris les serveurs et l’ensemble des technologies destinées à consolider la sécurité et l’anonymat : protocoles de tunnelisation fiables, chiffrements solides, maintenance et mises à jour des équipements.

Certains fournisseurs proposent des services VPN gratuits. Méfiance ! Gérer un réseau de centaines, voire de milliers de serveurs à travers le monde entraîne forcément des coûts élevés de maintenance. Si le service est gratuit, il faut nécessairement trouver des fonds ailleurs : collecte, exploitation et revente des données personnelles par l’entreprise elle-même sont très probablement à redouter.

Serveur(s) VPN

Un serveur VPN est un équipement relais par lequel passe le trafic Internet, à l’aller comme au retour. C’est son adresse IP qui sera visible des sites et pages web visités. Aujourd’hui, la plupart des services VPN considérés comme fiables disposent de centaines, voire de milliers de serveurs dispersés à travers le monde. Les internautes peuvent alors sélectionner celui qui leur convient en fonction de sa géolocalisation et du nombre d’utilisateurs déjà connectés.

Plus un service de VPN propose de serveurs, meilleures sont les conditions de navigation et de sécurité. Un vaste choix permet en effet de profiter d’une connexion plus performante (moins d’engorgements, alternatives possibles aux IP blacklistées), de brouiller les pistes plus efficacement (les plateformes en ligne identifient toujours partiellement les internautes, même après changement d’IP ; voir « Fingerprinting ») et de contourner les restrictions géographiques de très nombreux pays.

Chiffrement

Le chiffrement est une méthode mathématique permettant de convertir des données lisibles en données codées. Dans le cadre d’Internet, le chiffrement revient à brouiller et verrouiller les données de trafic afin qu’elles soient connues de l’émetteur et du destinataire seulement. Attention : le chiffrement n’empêche pas l’interception du trafic par un tiers. Néanmoins, si l’algorithme utilisé est suffisamment solide, il lui sera impossible d’en exploiter le contenu.

Pour déchiffrer des données sécurisées par un algorithme de chiffrement, il faut une clé secrète. Cette clé agit comme un mot de passe extrêmement complexe. Elle peut être stockée par le système interlocuteur ou transmise en même temps que les données chiffrées.

Dans le détail, il existe deux méthodes de chiffrement :

• Le chiffrement symétrique : une même clé est utilisée pour chiffrer et déchiffrer les données. C’est ce que proposent les services de VPN actuels. Ce type de chiffrement est très rapide et peu gourmand en ressources, ce qui en fait une solution idéale pour coder un très grand volume de données. La taille de la clé est un critère important pour garantir sa résistance aux attaques de force brute. Dans l’idéal, mieux vaut opter pour du 128 à 256 bits, soit des clés de 2128 à 2256 combinaisons ou valeurs possibles. Attention également à l’algorithme utilisé : privilégiez l’AES (jamais compromis jusqu’à présent), éventuellement le Twofish.

• Le chiffrement asymétrique : la sécurisation des données repose sur une clé publique, connue de tous, et une clé privée, à ne communiquer sous aucun prétexte. Ces deux clés (différentes, d’où la notion d’asymétrie) sont couplées mathématiquement et déchiffrent ce que leur alter ego a précédemment chiffré. Cette méthode, beaucoup plus lente que le chiffrement symétrique, est généralement réservée à l’authentification des données (signature numérique, par exemple).

Obfuscation

L’obfuscation (parfois offuscation) est le fait de dissimuler du trafic chiffré dans du trafic standard. Dans le cadre d’une utilisation VPN, cette technique consiste à faire passer le trafic VPN pour du trafic non-VPN, permettant ainsi aux internautes d’utiliser un VPN dans les pays où ce type de service est interdit, de continuer à accéder à des sites et plateformes blacklistant les VPN, ou encore de contourner certains pare-feux.

Paquet

Un paquet est une unité de transmission contenant une partie des données qui circulent sur un réseau. Ainsi, lorsqu’un internaute formule une requête depuis son navigateur, le message est découpé en plusieurs paquets envoyés les uns après les autres au serveur cible. De cette manière, en cas de pertes de paquets, seuls ceux manquants seront rechargés.

En plus d’encapsuler une partie des données, un paquet contient un en-tête regroupant les informations et règles indispensables au transport et à la reconstitution du message (protocole, adresse des systèmes émetteur et récepteur, numérotation, taille, somme de contrôle, etc.).

Bien évidemment, si le chiffrement des données implique le chiffrement des paquets.

Protocole

Le protocole VPN correspond à un ensemble de règles permettant d’établir une connexion sécurisée entre le client VPN et le serveur VPN. Il en existe plusieurs et tous ne se valent pas, tant en termes de sécurité que de rapidité.

Certains protocoles VPN sont intrinsèquement liés à des solutions de chiffrement. C’est notamment le cas d’OpenVPN qui utilise la bibliothèque OpenSSL et propose donc l’AES comme algorithme de chiffrement des données.

D’autres protocoles comme L2TP ne proposent aucun chiffrement. C’est pourquoi il est bien souvent associé à IPSec qui utilise lui-même des algorithmes de chiffrement permettant le transport sécurisé des données sur les réseaux IP (Internet).

Le choix du protocole est primordial lorsque l’on souscrit à un service VPN. Parmi les plus sécurisés et performants, on retiendra OpenVPN et WireGuard. En revanche, on oublie PPTP, certes rapide, mais vieillissant et vulnérable. Gare également à L2TP s’il n’est pas couplé à IPSec.

Tunnel

Un tunnel est un canal virtuel privé permettant d’acheminer des données confidentielles dans un réseau public en toute sécurité. En pratique, ce tunnel chiffré isole le trafic qui y transite du reste du trafic Internet.

Pour établir un tunnel sécurisé, il faut recourir à un protocole de tunneling (voir paragraphe précédent).

Split tunneling

Le split tunneling permet de choisir quelles données emprunteront le tunnel VPN et quelles données circuleront sur le réseau public via une connexion standard. Autrement dit, il s’agit de sélectionner les applications se connectant à Internet via le VPN et celles se connectant à Internet sans intermédiaire. De cette manière, le trafic transitant via les serveurs du VPN est allégé et permet de conserver de bonnes performances de connexion.

FAI

Le fournisseur d’accès à Internet (FAI) est l’organisme qui raccorde les internautes au réseau Internet. À cet effet, il leur attribue un numéro d’identification et peut tracer leurs activités en ligne (heures, dates et lieux de connexions, durée des sessions, équipement utilisé, quantité de données échangées, pages web visités… en bref, tout, sauf le contenu du trafic). En théorie, le FAI n’a pas le droit de recouper ni de communiquer ces informations, excepté sur ordre de la justice ou de la police administrative dans le cadre d’une enquête. Dans le cadre de la loi, toutes ces données d’identification et métadonnées doivent être conservées un an.

Le recours à un VPN ne permet pas de se cacher entièrement du FAI. L’opérateur sait que l’utilisateur se connecte à une IP (le serveur du VPN), connaît la durée de la connexion et journalise la quantité de données échangées. La parade sert uniquement à masquer les métadonnées de connexion générées après le VPN, soit le détail des pages visitées, les durées de visites, la quantité de données échangées sur chaque plateforme, etc. En clair, tout ce qu’intercepte le FAI semble seulement provenir de l’IP du VPN.

Adresse IP

L’adresse IP est un numéro d’identification attribué par le FAI à un équipement connecté à Internet. Ce numéro peut être statique (fixe) ou dynamique (fréquence de changement variable suivant les FAI).

Du côté des FAI, l’adresse IP identifie l’utilisateur en tant que client ayant souscrit auprès d’un opérateur (nom, coordonnées). Les services et sites auxquels l’internaute se connecte accèdent également à l’adresse IP, mais ne peuvent en tirer que des informations techniques (estimation de la position géographique et nom du FAI). Il leur est en revanche possible de tracer les activités en ligne liées aux adresses IP et de dresser un profil utilisateur plutôt précis de leurs visiteurs (durée des visites, nombre de pages vues, nombre de connexions au site, URL des pages consultées). Dans cette configuration, l’usage d’un VPN permet de masquer sa véritable adresse IP auprès des sites web interrogés.

Aujourd’hui, les adresses IP sont réparties entre deux versions du protocole IP : la version 4 et la version 6. Les adresses IPv4 sont notées sous la forme de quatre nombres entiers séparés par des points (plages comprises entre 0.0.0.0 et 255.255.255.255), et codées sur 32 bits (232 combinaisons possibles, soit un peu plus de 4 milliards).

On considère qu’il n’existe plus assez d’adresses IPv4 pour répondre aux connexions Internet simultanées dans le monde. D’où le déploiement des IPv6, codées sur 128 bits (2128 combinaisons possibles, soit 34×1037 environ).

IPv4 et IPv6 n’étant pas compatibles, des solutions provisoires comme l’attribution des deux types d’adresses aux serveurs ont été mises en place. À terme, les adresses IPv4 devraient définitivement disparaître au profit d’adresses IPv6, plus récentes, fiables et sécurisées.

DNS

Un serveur DNS (Domain Name System) s’apparente à un annuaire nécessaire à la traduction des noms de domaine en adresses IP. Dans un réseau IP (Internet), tous les équipements connectés / domaines sont identifiés à l’aide d’une adresse IP. Lorsque l’on saisit le nom de domaine d’un site web dans la barre d’URL, la connexion transite via le DNS qui traduit le domaine (langage humain) en adresse IP, avant de parvenir au serveur interrogé. C’est ce qu’on appelle la résolution de domaine. Ce système est indispensable : sans DNS, il nous faudrait obligatoirement saisir les adresses IPv4 et IPv6 des sites auxquels on souhaiterait accéder.

Fuite DNS

Une fuite DNS est une anomalie dans le processus de tunnelisation mis en place par le VPN. Malgré l’établissement d’une connexion sécurisée, les requêtes DNS échappent au tunnel virtuel, devenant accessibles aux opérateurs de services DNS (FAI le plus souvent). En d’autres termes, le VPN n’est plus qu’à moitié fonctionnel puisque ces opérateurs peuvent désormais savoir quels sites sont visités par l’internaute.

Pour contrer ces failles de sécurité, la plupart des services VPN disposent de leurs propres serveurs DNS et proposent des options de tests pour vérifier que la connexion VPN n’est pas redirigée vers des DNS externes.

Pare-feu

Le pare-feu (firewall) est un logiciel jouant le rôle de filtre entre un ordinateur et un réseau externe. Selon les règles auxquelles il répond, il peut analyser le trafic entrant (Internet vers PC) et/ou sortant (PC vers Internet). Ces mêmes règles lui permettent de bloquer les connexions préalablement spécifiées comme interdites, empêchant les internautes d’accéder à certains sites et services.

Une règle de pare-feu doit spécifier le trafic et les ports utilisés par ce trafic. Ainsi, un pare-feu configuré pour bloquer la navigation web sur le port 80 empêchera l’internaute d’accéder aux sites HTTP. Un pare-feu peut également bloquer une connexion VPN si le protocole de tunneling utilise un port non autorisé. D’où l’importance de bien choisir son protocole VPN.

Hotspot

Un hotspot est un point d’accès au réseau Wi-Fi. Il peut être gratuit (accès public ouvert à tous) ou payant (accès public réservé aux abonnés d’un FAI, par exemple). Dans tous les cas, il convient de sécuriser sa connexion lorsque l’on se connecte à un réseau Wi-Fi public afin d’éviter toute tentative de piratage. Le trafic peut aisément être intercepté, au même titre que les données personnelles. Un VPN permet de chiffrer les données et de les rendre illisibles en cas de cyberattaque.

Kill switch

Le kill switch est un bouton d’arrêt d’urgence qui déconnecte instantanément les appareils d’Internet lorsque la connexion au VPN est interrompue. Cette fonctionnalité est essentielle dans le cadre d’usages à risques, notamment en cas d’utilisation de réseaux Wi-Fi publics où une déconnexion VPN expose les données de l’utilisateur aux cyberattaques.

No log policy

Pour rediriger la connexion des internautes vers les serveurs interrogés, le VPN en déchiffre les données sur ses propres serveurs. Il convient alors que s’assurer que le service n’enregistre aucune trace de la connexion. Dans le cas contraire, ces journaux de connexions pourraient compromettre la sécurité des informations personnelles et l’anonymat de l’internaute (saisie des serveurs, piratage, revente des données par le fournisseur VPN à des tiers). Un VPN de confiance doit donc appliquer une politique de non-journalisation (no log policy en anglais). De nombreux services tentent de montrer patte blanche à l’aide d’audits indépendants fréquents. Dans les faits, il est très compliqué de vérifier la bonne foi des fournisseurs VPN qui demeurent des entreprises privées. Il faudra essentiellement s’appuyer sur la réputation des services pour les croire sur parole.

IP dédiée / IP partagée

Dans la majorité des cas, les VPN proposent à leurs utilisateurs des adresses IP partagées : tous les internautes se connectant à un même serveur se verront attribuer la même adresse IP. De la sorte, le trafic individuel est noyé dans la masse. Il est alors plus difficile pour les plateformes en ligne de dresser un profil précis de leurs visiteurs à partir de leur adresse IP d’emprunt. Toutefois, les adresses IP partagées présentent également des inconvénients : un mauvais voisinage (l’internaute pâtit forcément des comportements en ligne de ceux qui partagent son IP), une inscription sur liste noire (certains services empêchent la connexion d’IP spécifiques à leurs serveurs), des contrôles d’authentification supplémentaires (captcha).

En sus de cette fonction de base, certains services VPN proposent de payer pour une IP dédiée. L’utilisateur se voit attribuer une IP unique et statique qui lui octroie une réputation irréprochable sur le web et facilite la connexion aux services sécurisés. Mais l’IP dédiée présente, elle aussi, des inconvénients puisque son caractère immuable et individuel en fait un élément d’identification de l’utilisateur pour les plateformes en ligne. Bien que cette IP diffère de la véritable adresse de l’internaute, elle n’empêche pas le tracking et la publicité ciblée.

Five / Nine / Fourteen Eyes

Les 5 Eyes

Les Five Eyes (Cinq Yeux) désignent l’alliance des services de renseignement de cinq pays que sont les États-Unis, le Canada, le Royaume-Uni, l’Australie et la Nouvelle-Zélande. Initiée durant la Seconde Guerre mondiale, cette alliance visait à surveiller et partager les informations concernant les communications de l’URSS et du Bloc de l’Est. Toujours actifs, les Five Eyes ont défrayé la chronique en 2013 avec les révélations d’Edward Snowden relatives à la surveillance de masse des citoyens américains, britanniques, australiens, canadiens et néo-zélandais.

Les 9 Eyes

Par extension, les Nine Eyes désignent l’alliance des Five Eyes agrémentée du Danemark, de la Norvège, des Pays-Bas et de la France. Les objectifs restent inchangés : mettre en commun des informations exploitables par les différents services de renseignement propres à chaque pays.

Les 14 Eyes

Les Fourteen Eyes désignent les Nine Eyes, la Belgique, l’Allemagne, l’Italie, l’Espagne et la Suède.

Géoblocage

Le géoblocage consiste à restreindre l’accès à du contenu et/ou à des services en fonction de la géolocalisation de l’internaute. Cette géolocalisation est définie grâce à l’adresse IP. Depuis 2018, le géoblocage injustifié est interdit par l’Union européenne au sein des États membres. Concrètement, cela signifie que les citoyens européens peuvent acheter des biens et services à une plateforme (ex : Netflix, Spotify…) ou une boutique en ligne (ex : Amazon) basées dans un autre pays de l’UE aux mêmes conditions que les clients résidant dans ce pays. Sont exclus de cette obligation les e-services soumis à certaines exigences légales comme la non-détention des droits de propriété intellectuelle dans un autre pays.

Le géoblocage explique, par exemple, que l’on ne puisse accéder à HBO depuis la France, ou à certains titres Spotify en fonction du pays où l’on réside.

Cybercensure

La cybercensure, ou censure d'Internet, est une forme de géoblocage destiné à empêcher les internautes d’un pays, résidents ou en transit, d'accéder à des services et contenus étrangers à des fins politiques et/ou idéologiques.

Fingerprinting

Le fingerprinting est une technique de tracking mise en place par certains services web et qui consiste à récupérer l’empreinte digitale d’un navigateur pour établir un profil de l’internaute, même si son adresse IP est masquée et que les cookies sont désactivés.

Parmi les informations délivrées par le navigateur, on peut citer le numéro de version, les plugins installés, la langue utilisée, le fuseau horaire, mais également le système d’exploitation installé sur l’appareil connecté à Internet, les polices de caractères installées, les équipements détectés (micro, webcam, accéléromètre, haut-parleurs, gyroscope, etc.) L’ensemble de toutes ces informations font qu’il n’existe pas une empreinte de navigateur identique à une autre, mettant à mal la notion d’anonymat en ligne. Il n’existe pas de moyen efficace et durable pour empêcher le fingerprinting. On peut tout de même changer certains comportements de navigation pour s’en prémunir au maximum (utiliser un navigateur populaire, désactiver les scripts, installer un minimum d’extensions, passer par Tor, etc.).

Est-ce légal d'utiliser un VPN ?

Oui, en France, le VPN est légal

En France, il est parfaitement légal d’utiliser un VPN. Rien n’interdit de masquer son adresse IP ni de chiffrer sa connexion Internet. Pour autant, recourir à un VPN pour commettre des actions illégales (harcèlement en ligne, achat de drogues et d’armes, téléchargement de fichiers portant atteinte aux droits d’auteur) ne vous dédouane pas de vos responsabilités. Un délit ou un crime commis derrière un VPN reste un délit ou un crime aux yeux de la loi. Vous restez donc condamnable. La justice peut mener une enquête, réclamer vos logs de connexion à votre FAI, remonter jusqu’à l’IP du serveur VPN utilisé et exiger du fournisseur VPN vos données d’identification (adresse IP, identité réelle) et d’activités en ligne s’il les a conservées.

En revanche, si, comme la plupart des internautes, vous utilisez un VPN pour sécuriser votre connexion sur un réseau Wi-Fi public ou protéger votre anonymat vis-à-vis des sites web et des annonceurs, vous pouvez le faire en toute légalité.

Mais le VPN est interdit dans certains pays

Attention, concernant le reste du monde, il est impératif de se renseigner sur la législation en vigueur dans chaque pays si vous souhaitez utiliser un VPN à l'étranger. En effet, certains États interdisent l'utilisation des VPN, ou limitent leur usage à des solutions validées par les autorités gouvernementales. En cas d'utilisation d’un VPN interdit, vous êtes susceptible d'être arrêté et condamné. Pour rappel, il est illégal d’utiliser un VPN en Chine, en Biélorussie, en Iran, aux Émirats arabes unis ou encore en Turquie.

Un fournisseur VPN peut-il communiquer vos données à la justice ?

Dans certains pays, la loi oblige les fournisseurs VPN à conserver et à fournir les données d’identification et d’activités en ligne de leurs utilisateurs sur demande des autorités. D’où l’importance de vérifier le pays de domiciliation du VPN avant de porter son choix sur un service plutôt que sur un autre.

Les jurisdictions favorables au VPN

À titre d’exemple, des territoires comme les îles Vierges britanniques (ExpressVPN, Surfshark) ou Panama (NordVPN) sont considérés comme des Data Havens, c’est-à-dire des territoires appliquant des lois très strictes, extrêmement favorables au respect de la vie privée. En cas de demande d’obtention d’informations sur un utilisateur formulée par la justice, les fournisseurs VPN situés dans ces pays n'ont aucune obligation de le faire.

La Suisse offre des conditions de respect de la confidentialité et de l’anonymat suffisamment satisfaisantes pour inspirer confiance dans les entreprises VPN qui y siègent. On y retrouve ainsi Proton VPN ou VyprVPN. C'est également le cas de la Roumanie (CyberGhost).

Les gouvernements défavorables au VPN

A contrario, dans des pays où la censure est omniprésente, comme en Chine, en Russie ou en Iran, le gouvernement n'aura aucun problème à obtenir tous types de données concernant les utilisateurs d’un service VPN domicilié sur le territoire restrictif.
Depuis 2022, c'est aussi le cas de l'Inde qui veut mettre fin à l'anonymat en ligne.

Vous l’aurez compris, la juridiction VPN est un élément important à prendre en compte pour garantir la sécurité et la confidentialité de ses données personnelles lorsque l’on fait appel à un fournisseur de réseau privé virtuel. Pour information, la plupart des services gratuits qui vous promettent une connexion sécurisée et illimitée sont le plus souvent installés en Chine.

VPN : les meilleurs fournisseurs

Les meilleurs VPN du moment :

1. Cyberghost VPN
2. NordVPN
3. ExpressVPN
4. SurfShark VPN
5. Proton VPN

1 - Cyberghost

À la tête d’une infrastructure réseau tentaculaire, CyberGhost administre plus de 9 000 serveurs RAM 10 Gb/s, physiques et virtuels, répartis dans 91 pays. Le fournisseur est basé en Roumanie, juridiction VPN jugée favorable au respect de la vie privée malgré son appartenance à l’UE.

Comme nous l'avons détaillé dans notre avis sur CyberGhost, le client du VPN se veut polyvalent et accessible au plus grand nombre. Sur desktop, son interface facile à prendre en main privilégie un format compact, permettant aux internautes de se connecter rapidement au serveur le plus rapide, ou à l’emplacement de leur choix en passant par le sélecteur de pays. Un clic sur la flèche de gauche déploie le service dans une fenêtre détaillée, offrant une vue d’ensemble des fonctionnalités et paramètres de l’outil.

L’affichage complet de CyberGhost regroupe les serveurs disponibles par catégories, ce qui facilite l’accès à des équipements répondant à des besoins précis : jeux en ligne, téléchargement P2P, streaming. La prise en charge des IP dédiées offre la possibilité de consulter les services web tenant des registres d’IP VPN blacklistées comme les plateformes bancaires, tandis que la mise à disposition de serveurs NoSpy (possédés, administrés et hébergés dans les bâtiments du siège social du fournisseur) renforce la sécurité dont bénéficient les données personnelles transitant par l’infrastructure du service.

Côté protocoles, CyberGhost prend en charge OpenVPN, IKEv2 et WireGuard, trois technologies de référence, compatibles avec l’algorithme de chiffrement AES-256.

On termine avec la couverture multiplateforme étendue de CyberGhost, le VPN étant disponible pour les appareils Windows, macOS, Linux, Android et iOS. Il propose également des extensions proxy gratuites, mais fortement limitées, pour les navigateurs Chrome et Firefox, dispose d’applications pour les équipements Amazon Fire TV et Android TV, et peut manuellement être configuré sur les consoles de jeux (PlayStation, Xbox), les box Internet (Freebox), les serveurs NAS et la plupart des routeurs actuellement commercialisés.

CyberGhost ne propose pas de version d’essai gratuit, mais applique une garantie satisfait ou remboursé de 45 jours à l’ensemble de ses forfaits (14 jours pour les souscriptions mensuelles). Chaque abonnement protège jusqu’à 7 appareils simultanément. Une bonne moyenne au regard de la concurrence.

2 - NordVPN

Équipé d’une infrastructure moitié moins imposante, mais deux fois plus performante, NordVPN tire son épingle du jeu grâce à ses 5 500 serveurs RAM capables de préserver la vitesse de connexion originale en limitant l’impact du VPN sur les débits ascendants et descendants. Le service déploie ses équipements physiques et virtuels dans une soixantaine de pays et applique une politique no-log très stricte que sa domiciliation au Panama lui permet de respecter.

Bien que NordVPN n’ait connu que très peu de changements d’interface au cours des dernières années, il poursuit ses efforts pour demeurer accessible à tous les publics, y compris aux internautes les moins expérimentés. Son organisation très visuelle facilite la sélection d’emplacements en fonction des besoins réels des utilisateurs et utilisatrices. À cet effet, en plus d’un bouton de connexion automatique au serveur le plus rapide, le VPN organise ses équipements par spécificités : compatibilité double VPN, prise en charge des IP dédiées, serveurs obfusqués, onion over VPN, P2P.

La flexibilité de connexion dont fait preuve le service s’accompagne de solides garanties de sécurité du trafic, comme nous l'avons démontré dans notre avis sur NordVPN. Le service prend en charge les protocoles OpenVPN et IKEv2, et déploie sa propre solution maison basée sur WireGuard : NordLynx. Tous sont compatibles avec l’algorithme de chiffrement AES-256.

À défaut de se réinventer visuellement, NordVPN s’enrichit régulièrement de fonctionnalités bonus destinées à renforcer la protection des internautes en dehors du tunnel VPN. On pense à son outil de protection anti-menaces, intégrant un bloqueur de pubs, de traqueurs et de téléchargements malveillants, ainsi qu’à son module de surveillance Dark Web, révélant les fuites de données et d’identifiants liés à l’adresse mail du compte.

Plus récemment, NordVPN a dévoilé sa fonction Réseau Mesh, qui autorise ses abonnés à créer un réseau local décentralisé et sécurisé. L’appareil connecté au service se mue en serveur VPN auquel peuvent se connecter jusqu’à 10 appareils associés au même compte, et 50 appareils externes. En mars 2023, Nord Security a annoncé que le Réseau Mesh serait désormais gratuit pour tous et toutes. En clair, inutile de souscrire un abonnement pour profiter de l’option. Il faudra toutefois créer un profil utilisateur sur le site web de NordVPN.

Concernant sa prise en charge multiplateforme, NordVPN développe des applications pour les appareils desktop (Windows, macOS, Linux), mobiles (Android, iOS), et Android TV. Des extensions proxy pour Chrome et Firefox simplifient l’utilisation du VPN sur le navigateur, à condition d’avoir souscrit un abonnement. Il est enfin possible de configurer le VPN sur un routeur, une console de jeux (PlayStation, Xbox, Nintendo Switch) ou une box Internet (Freebox).

Tout comme ses principaux concurrents, NordVPN n’offre pas de version d’essai gratuit, mais applique une politique de remboursement de 30 jours. Chaque abonnement peut être activé sur 6 appareils simultanément.

3 - ExpressVPN

Fondé en 2009 aux Îles Vierges britanniques et racheté par Kape Technologies en 2021, ExpressVPN ne communique pas officiellement sur la taille exacte de son infrastructure. On sait cependant qu’il couvre 94 pays et administre environ 3 000 serveurs RAM 10 Gb/s, propulsés par 24 à 32 cœurs. Des spécifications techniques qui le hissent au rang des VPN les plus rapides, aux côtés de NordVPN.

On pourrait reprocher à ExpressVPN son interface peu moderne et très compacte, mais une telle structure lui permet en réalité de se concentrer sur l’essentiel, à savoir fournir un service intuitif. Le bouton de connexion sélectionne automatiquement le serveur le plus rapide, tandis que le menu des emplacements déroule la liste des pays disponibles, classés par continents ou localisations recommandées.

Ici, nulle fonctionnalité supplémentaire ni équipement optimisé pour des besoins spécifiques. Malgré tout, le VPN parvient à contourner très efficacement les géorestrictions imposées par les services et plateformes de contenus gébloqués, comme nous avons pu le constater dans notre avis sur ExpressVPN.

ExpressVPN ne transige pas non plus sur la sécurité des données personnelles. Outre les avantages liés à la domiciliation de son siège social (politique zero-log applicable), le fournisseur prend en charge OpenVPN et/ou IKEv2 selon les systèmes d’exploitation. Depuis quelques années maintenant, il développe aussi son protocole maison, Lightway, également compatible AES-256.

Disponible sur desktop (Windows, macOS, Linux) et mobile (Android, iOS), ExpressVPN développe des extensions pour Chrome et Firefox, ainsi que des applications pour Android TV et Amazon Fire TV. Les internautes les plus expérimentés disposent d’outils leur permettant de configurer le service sur leur console de jeux (PS, Xbox), leur routeur ou leur box Internet (Freebox).

Chaque abonnement gère jusqu’à 5 appareils simultanément, ce qui semble un peu juste en comparaison de ce que propose la concurrence. ExpressVPN ne propose pas non plus de version d’essai gratuit, mais il propose une garantie de remboursement de 30 jours, applicable à l’ensemble de ses offres.

4 - Surfshark

Bien plus jeune, mais opposant de sérieux arguments à la concurrence, Surfshark talonne le trio CyberGhost / NordVPN / ExpressVPN tant sur le plan de son infrastructure que sur le terrain de ses fonctionnalités. Composé d’environ 3 200 serveurs RAM, son parc réseau s’étend dans une centaine de pays, et offre de bonnes performances grâce au déploiement progressif d’équipements 10 Gb/s.

Côté client, le service VPN opte pour une interface lisible, très clairement structurée. L’écran d’accueil recense la liste des pays disponibles et propose deux raccourcis permettant d’initier une connexion automatique au serveur le plus rapide ou à la localisation la plus proche. On apprécie la mise à disposition de serveurs identifiés par des IP statiques, fonction intégrée tous les abonnements sans surcoût.

Intégrant le multihop, testé avec succès dans notre avis sur Surfshark, le service a récemment dévoilé une version améliorée de sa fonctionnalité avec le Dynamic Multihop. Plus flexible, l’option autorise désormais les internautes à sélectionner manuellement les deux emplacements de connexion par lesquels doit transiter le trafic. Une manière de renforcer encore un peu plus la protection des données personnelles, alors que le routage en double VPN n’obéit plus à des schémas prédéfinis par le fournisseur.

Toujours dans l’optique de limiter les risques d’interception du trafic VPN, Surfshark prend en charge les protocoles OpenVPN (TCP et UDP) et WireGuard, deux valeurs sûres compatibles avec AES-256. D’autres fonctionnalités comme le kill switch (à activer manuellement dans les paramètres du client), l’outil CleanWeb (bloqueurs de pubs, traqueurs, malwares), et les IP dynamiques (changements automatiques des adresses IP VPN toutes les cinq à dix minutes sans avoir besoin de se connecter à un autre emplacement) attestent des solides garde-fous mis en place par le service pour assurer la sécurité de la connexion en toutes circonstances.

On ne regrette qu’une chose : la juridiction dont dépend Surfshark. L’entreprise est en effet basée aux Pays-Bas, pays membre de l’alliance des 9 Eyes (renseignement international). Bien que le fournisseur se défende de loguer les données qui transitent sur ses serveurs (d’où le déploiement de stockage RAM), on ne peut s’empêcher de s’interroger sur la domiciliation de son siège social, alors même que sa fusion avec Nord Security lui offrait la possibilité de déménager au Panama.

5 - Proton VPN

Basé en Suisse, Proton VPN connaît une popularité croissante, notamment pour son engagement strict envers la protection de la vie privée de l'internaute. Si la société Proton AG s'est initialement fait connaître pour son service de messagerie chiffrée, le VPN prend de l'ampleur et notamment au sein des pays connaissant la censure comme la Chine, l'Iran ou la Russie.

VPN, Tor, navigation privée, quelles différences ?

La manière dont on navigue sur Internet conditionne le degré de protection accordé aux données personnelles. Sans surprise, la navigation privée seule ne suffit pas à offrir un niveau de sécurité satisfaisant lorsque l’on surfe sur le web. Pour se protéger efficacement contre le suivi en ligne et les tentatives de piratage, mieux vaut se tourner vers des solutions annexes, comme un VPN ou Tor. Mais quelles sont les différences concrètes entre ces trois méthodes de protection de la vie privée en ligne ?

Navigation privée : un premier pas efficace mais insuffisant

Derrière le concept de navigation privée s'exprime la volonté d’offrir aux internautes des leviers de protection des données privées, faciles à actionner, compatibles avec leurs habitudes sur Internet. Dans les grandes lignes, ce mode intégré à tous les navigateurs sérieux permet de surfer incognito, c’est-à-dire de consulter des sites web sans risquer d’être identifié comme visiteur récurrent.

Un exemple valant mille explications, penchons-nous sur le cas des plateformes de réservation en ligne, spécialistes du pistage et de la hausse artificielle de leurs tarifs. Les voyageurs indécis, ayant décidé de comparer les prix de vols, de trains ou d’hôtels sur plusieurs services, ont tous été confrontés, un jour ou l’autre, à l’augmentation arbitraire des offres d’appel entre deux visites, parfois espacées de quelques minutes seulement. En cause : le suivi actif de l’internaute grâce aux cookies déposés par les sites web et enregistrés dans le navigateur. Une pratique légale qui permet aux plateformes malhonnêtes de créer un sentiment d’urgence à l’achat (plus j’attends, plus les prix augmentent), tout en générant davantage de profits.

C’est ici que le mode incognito révèle son potentiel. Lorsque l’on ouvre une fenêtre de navigation privée, le navigateur n’enregistre plus l’historique de navigation, les informations saisies dans les formulaires (vaut aussi pour les identifiants et mots de passe), les autorisations accordées aux sites web (accès à la position géographique, au micro, à la caméra, etc.), les cookies et les données des sites (nombre de visites, date et heures, pages web visitées, liens cliqués, etc.). Puisqu’elles ne sont plus stockées par le navigateur, ces informations d’identification et de suivi des activités en ligne ne peuvent plus être exploitées par les sites web. Ainsi, chaque fois que vous consultez un même site web depuis une nouvelle fenêtre de navigation privée, vous êtes considéré comme nouveau visiteur.

Malgré la mise en place de garde-fous évidents contre les tentatives d’arnaques commerciales à peine déguisées, la navigation privée se heurte à de nombreuses limites qui l’empêchent de garantir l’anonymat des internautes. Car bien qu’elle garde le secret de vos activités en ligne sur l’appareil (suppression de l’historique) et sur les serveurs web interrogés (suppression des cookies et des données des sites), elle ne masque rien sur le réseau et ne dissimule pas l’adresse IP. En clair, des entités comme le FAI ou l’administrateur réseau peuvent accéder à vos données de navigation, et les sites web peuvent toujours accéder à votre adresse IP.

VPN : la solution la plus simple pour leurrer les sites web

Lorsque l’on utilise un VPN, tout le trafic Internet émis par l’appareil protégé passe par une connexion sécurisée (chiffrement des paquets de données), isolée du reste du trafic HTTPS dans un tunnel verrouillé (protocole VPN). De deux choses l’une : il est difficile pour un tiers malveillant d’intercepter du trafic dissimulé, extrait du réseau Internet public. Et quand bien même la connexion VPN aurait été captée, il faudrait la déchiffrer pour accéder aux données protégées.

On peut donc raisonnablement affirmer qu’une connexion VPN chiffrée AES-256, empruntant un tunnel OpenVPN, WireGuard ou IKEv2/IPSec passe systématiquement sous le radar des outils de surveillance, exception faite des instances gouvernementales, des FAI et des administrateurs réseau. Mais là encore, s’ils peuvent détecter la connexion VPN, la bloquer parfois (cf : cybercensure d’État), ces organismes ne peuvent en aucun cas accéder au contenu.

On rappelle, par là même, que le VPN masque l’adresse IP des internautes aux yeux des serveurs web interrogés. En d’autres termes, le site web visité associe les activités en ligne de ses visiteurs à l’adresse IP du serveur VPN intermédiaire. En changeant de serveur, utilisateurs et utilisatrices adoptent instantanément l’identité virtuelle d’un nouveau visiteur.

Malgré tous ces avantages, il est important de vérifier que le fournisseur prend en charge des protocoles et algorithmes de chiffrement suffisamment solides pour garantir l’inviolabilité de la connexion VPN. Les mises à jour régulières de l’infrastructure, des technologies intégrées et des clients logiciels participent également à la confiance que l’on peut accorder, ou non, à un service VPN plutôt qu’à un autre. Enfin, il est impératif de vérifier la politique de confidentialité appliquée par l’entreprise éditrice, et de se tourner vers des VPN no-log. Dans la mesure du possible, ils doivent avoir été audités à plusieurs reprises et être domiciliés dans un data haven.

On en profite enfin pour insister sur l’anonymat relatif conféré par un VPN. Certes, sites web et pirates ne pourront plus vous identifier comme internaute lié à une IP unique, ni accéder à vos données de trafic. En revanche, votre fournisseur d’accès à Internet sait que vous vous connectez à un serveur VPN, tout comme le fournisseur VPN lui-même et certaines plateformes web tenant des registres d'IP VPN blacklistées.

Tor : la manière la plus efficace de brouiller les pistes

Tor est utilisé par les internautes les plus regardants concernant la protection de leur vie privée. Dans le détail, il s’agit d’un réseau superposé (bâti sur Internet), décentralisé (architecture en P2P) et multi-proxy (la connexion transite par trois serveurs intermédiaires, des nœuds, avant d’interroger un site web). Les proxys en question ne sont pas des serveurs administrés par Tor, mais des équipements gérés par d’autres utilisateurs et utilisatrices du réseau.

En clair, lorsque l’on cherche à atteindre un service via Tor, la connexion passe successivement par trois nœuds aléatoires. Le premier nœud, ou nœud de garde, connaît l’IP réelle de l’internaute, le nœud intermédiaire connaît celle du nœud de garde et le nœud de sortie connaît celle du nœud intermédiaire. La multiplication des relais de connexion rend (presque) impossible l’identification de l’IP de départ.

Il faut également savoir que Tor applique un chiffrement hybride à la connexion, censé garantir le secret total des données qu’elle achemine. Pour simplifier, les données sont chiffrées trois fois (une pour chaque nœud). La première couche est chiffrée à l’aide de la clé publique du nœud de sortie, la deuxième couche avec celle du nœud intermédiaire, et la première couche avec celle du nœud de garde. Ainsi, lorsque la requête atteint le nœud de garde, il déchiffre la première couche pour connaître l’IP du nœud intermédiaire qui, à son tour, déchiffre la deuxième couche pour connaître l’IP du nœud de sortie. Enfin, le nœud de sortie déchiffre la dernière couche et renvoie la requête vers le serveur web interrogé.

Dans un tel schéma, les nœuds ne peuvent pas connaître les IP des équipements avec lesquels ils n’ont pas communiqué directement. Le nœud de sortie ne peut donc pas identifier l’origine de la connexion (internaute), ni le nœud de garde. En théorie, du moins. Comme tout réseau, qui plus est administré par des milliers de personnes différentes, Tor n’est pas infaillible et il arrive, rarement, que la connexion soit routée par des nœuds malhonnêtes.

Doit-on utiliser un VPN en complément de Tor ?

Pourquoi pas. Puisque chaque solution présente des avantages et des inconvénients complémentaires, l’idée d’utiliser Tor via un VPN (Tor over VPN) ou un VPN via Tor (VPN over Tor) peut sembler judicieuse.

Dans le premier cas (Tor over VPN), le nœud d’entrée de Tor n’aura pas accès à l’adresse IP réelle de l’utilisateur, mais à celle générée par le VPN. Inconvénients : l’éditeur VPN a connaissance de la véritable adresse IP de l’utilisateur et sait qu’il se connecte à Tor. Encore une fois, il est important de faire confiance à son fournisseur.

Dans le second cas (VPN over Tor), le fournisseur VPN connaît non pas la véritable adresse IP de l’utilisateur, mais celle générée par le nœud de sortie. Il est donc impossible pour un serveur VPN d’identifier l’internaute, même s’il recueille et logue ses informations de connexion. D'apparence plus sûre que la première solution évoquée, la connexion à un VPN via Tor présente tout de même une vulnérabilité de taille : la persistance d’un point de connexion fixe (le serveur VPN) dans la chaîne de relais renouvelés de Tor.

À choisir, il vaut donc mieux opter pour une connexion Tor over VPN (connexion au VPN, puis connexion Tor). Gardez toutefois à l'esprit qu'un tel modèle risque de ralentir considérablement la vitesse de la connexion. À vous d'estimer le ratio bénéfice/risque, en prenant aussi garde de ne pas tomber dans la parano.

VPN : La FAQ pour aller plus loin