Quel est le VPN le plus sûr ?

18 février 2021 à 08h21
0

Un VPN (réseau privé virtuel) est un tunnel de communication crypté pour les entreprises. Les transactions financières, les communications audio/vidéo, les emails sont chiffrés de bout en bout. Désormais cette technologie BtoB est accessible au grand public. Un moyen technique de protéger leurs informations personnelles sur internet.

Pour choisir le meilleur VPN, la question de la sécurité offerte par le service est donc une question essentielle. Nous vous proposons ici une sélections des VPN que nous avons jugé les plus sûrs, au regard de critères que nous vous présentons en fin d'article.

Il n’existe pas de VPN idéal pour tout le monde. Toutefois, nous ne saurions que vous déconseillé les VPN gratuits. Comme dit l’adage : « Si c’est gratuit, c’est vous le produit ».

ProtonVPN : le plus sûr

En termes de sécurité, ProtonVPN brille par son extrême souci de la confidentialité et ce sur tous les OS. Excellent pour le travail, il l'est moins pour un usage familial.

ProtonVPN
  • Haut niveau de sécurité
  • Interface moderne efficace
  • Intégration au réseau Tor
Avis de la rédaction

ProtonVPN souffle le chaud et le froid avec d'un côté l'une des plus belles interfaces du marché et de l'autre des débits pas toujours satisfaisants. Doté d'un haut niveau de sécurité, c'est un service qui s'adresse avant tout aux journalistes et autres dissidents qui souhaitent préserver leur anonymat à tout prix.

Avis de la rédaction

ProtonVPN souffle le chaud et le froid avec d'un côté l'une des plus belles interfaces du marché et de l'autre des débits pas toujours satisfaisants. Doté d'un haut niveau de sécurité, c'est un service qui s'adresse avant tout aux journalistes et autres dissidents qui souhaitent préserver leur anonymat à tout prix.

Basé en Suisse - plus précisément dans un abri antiatomique de l'armée à 1000 mètres sous la surface, en ce qui concerne son infrastructure critique - et donc hors des alliances des cinq, neuf et quatorze yeux (cf. Sécurité et confidentialité des VPN), Proton VPN part dans de bonnes dispositions, promettant une politique de confidentialité stricte.

Le service propose la fonction Kill Switch, qui permet de stopper tout envoi ou réception de données en cas de déconnexion du VPN, évitant de fait une fuite inopportune d'information sensible pendant les phases de reconnexion. Le Split tunnelling est également bienvenu, surtout dans le cas d'entreprises ayant besoin d'accéder à des ressources en réseau ou hébergées sur un site partenaire. En effet cette fonction permet de faire passer une partie choisie du trafic Internet par le tunnel VPN, et d'en diriger une autre vers une connexion directe.

Le routage alternatif, lui, garantit l'accès sécurisé aux sites et applications ProtonMail dans le cas où ces services sont bloqués par le gouvernement, le FAI ou l'administrateur réseau de l'utilisateur. ProtonVPN se pare en outre de fonctionnalités plus standard, mais assurant aussi la sécurité de ses services. Parmi elles, Netshield, bloqueur de publicités, malwares et trackers ; une protection contre les fuites DNS ; le protocole Smart, qui vous assure de rester connecter au VPN même si on essaie d'en bloquer l'accès…

À noter : ProtonVPN excelle en sécurité mais utilise ici un serveur Surfshark pour une connexion vers New York

L'abonnement « Plus », permet de profiter d'une solution originale de routage réseau maison baptisée « Secure Core ». Cette dernière fait transiter le trafic par plusieurs serveurs situés dans différents pays avant d'accéder à Internet. À l'instar du réseau Tor, cette couche de sécurité supplémentaire a pour objectif d'empêcher des attaquants de surveiller le réseau pour découvrir l'adresse IP des utilisateurs. Les serveurs Secure Core sont situés exclusivement dans les centres de données ultras sécurisés de ProtonVPN en Suisse, en Suède et en Islande.

ProtonVPN revendique ainsi des fonctionnalités de sécurité de premier plan. Le service qui repose sur les protocoles les plus fiables OpenVPN et IKEv2/IPSec utilise différents algorithmes de cryptage comme l'AES-256 pour le trafic réseau, le RSA 4096 bits pour l'échange de clés de session et HMAC avec SHA384 pour l'authentification. Ce n'est pas tout, il est doté d'une fonction de confidentialité persistante (Perfect Forward Privacy ) chargée de protéger le trafic passé en cas de compromission. Si une ancienne clé privée tombe entre de mauvaises mains, il est impossible de la déchiffrer.

NordVPN : le bon compromis

Malgré quelques rares attaques, NordVPN jouit d’une bonne réputation en matière de sécurité et confidentialité.

NordVPN
  • Streaming et accès TV très efficace
  • Très grand nombre de serveurs
  • Protocole VPN NordLynx de dernière génération
L'avis de la rédaction

Figure de proue des VPN, NordVPN continue d'évoluer à marche forcée. Ses performances sont montées d'un cran grâce notamment à l'implémentation du protocole VPN de dernière génération NordLynx. Outre des applications remarquables et désormais entièrement francisées, il se distingue par sa simplicité d'utilisation et son excellente stabilité. Un service que l'on ne peut que vous recommander, si vous cherchez un VPN sans prise de tête.

L'avis de la rédaction

Figure de proue des VPN, NordVPN continue d'évoluer à marche forcée. Ses performances sont montées d'un cran grâce notamment à l'implémentation du protocole VPN de dernière génération NordLynx. Outre des applications remarquables et désormais entièrement francisées, il se distingue par sa simplicité d'utilisation et son excellente stabilité. Un service que l'on ne peut que vous recommander, si vous cherchez un VPN sans prise de tête.

L'entreprise NordVPN est domiciliée au Panama, soit, vous l'aurez compris, en dehors des alliances des cinq, neuf et quatorze yeux.

Par ailleurs, NordVPN fait partie des plus importants fournisseurs VPN, fort d'une infrastructure de 5508 serveurs répartis dans 59 pays et sur 5 continents (Europe, Asie, Pacifique, Amérique, Afrique). Comme ProtonVPN, NordVPN est propriétaire de ses serveurs.

NordVPN revendique par ailleurs une politique « zéro log » très stricte. La société assure en effet ne collecter aucune donnée sur ses utilisateurs, qu’il s’agisse de l’historique de navigation, des contenus et des préférences de recherche, de la destination du trafic, de la durée des connexions, de l’adresse IP, ou encore de la bande passante utilisée. Outre un chiffrement par défaut AES 256 bits, le service propose des serveurs Double VPN qui font transiter la connexion VPN via un second VPN afin de doubler le niveau cryptage. Il comprend également des fonctions de protection Wi-Fi et contre les fuites DNS, pour rediriger les éventuelles requêtes envoyées au FAI vers les serveurs de NordVPN.

Avec les serveurs obfusqués, votre connexion VPN passe inapercue

En termes de protocoles NordVPN prend en charge IKEv2 mais surtout NordLynx, protocole propriétaire basé sur WireGuard et intégrant un double système NAT (Network Address Translation) ; cela permet d’établir une connexion VPN sans avoir à stocker de données identifiables sur le serveur et compromettre la confidentialité des utilisateurs.

NordVPN est, enfin, doté d'une fonction Kill Switch, du Split Tunneling, de serveurs obfusqués et d'un bloqueur de publicité et de sites malveillants : CyberSec.

Surfshark : le challenger

Autant Surfshark séduit par ses nombreuses options de sécurité, autant Surfshark interroge avec ses processus Windows inarrêtables ou ses pisteurs sur la version Android.

Surfshark VPN
  • Vitesse au dessus de la moyenne
  • Nombre illimité d appareils
  • Cryptage renforcé
L'avis de la rédaction

Surfshark constitue une excellente surprise. Ce nouvel acteur offre un service de premier plan qui est presque au niveau des meilleurs VPN du marché. Il se démarque en offrant un nombre de connexions simultanées illimité et des tarifs particulièrement agressifs. C'est l'une des offres les plus attractives pour le grand public.

L'avis de la rédaction

Surfshark constitue une excellente surprise. Ce nouvel acteur offre un service de premier plan qui est presque au niveau des meilleurs VPN du marché. Il se démarque en offrant un nombre de connexions simultanées illimité et des tarifs particulièrement agressifs. C'est l'une des offres les plus attractives pour le grand public.

Premier bon point au tableau, Surfshark est domicilié dans les Îles Vierges britanniques, soit hors des alliances des cinq, neuf et quatorze yeux. Le VPN est fort de 3 200 serveurs, répartis dans 57 pays différents (dont trois localisations en France). Il assure, lui aussi, une politique « zéro log » très stricte, soulignée par une inscription 100 % anonyme avec un mode de paiement par crypto-monnaie. Ainsi le fournisseur ne dispose d'absolument aucune information sur les utilisateurs.

Le VPN jouit par ailleurs d'une sécurité de premier plan avec un cryptage AES 256 bits combiné à un hachage d'authentification SHA512 et un échangeur de clé DHE-RSA 2048 bits. Il repose sur les deux protocoles VPN considérés comme les plus fiables - IKEv2 et OpenVPN - et, depuis peu, sur Shadowsocks, qui permet de contourner la censure de pays restrictifs comme la Chine ou l'Iran. Ses fonctionnalités avancées se composent à nouveau du Kill Switch et du Split Tunneling ainsi que des protections contre les fuites DNS, WebRTC et IPv6.

Pour assurer la meilleure protection possible : connexion vers les USA en passant par un serveur localisé aux Pays-Bas avec protocole Shadowsocks (seulement pour naviguer) et avec la fonction d'obfuscation NoBorders

Un autre point fort de Surfshark est le MultiHop, qui fait passer le trafic à travers deux serveurs VPN situés dans différents pays en même temps. Cette fonction qui peut générer des ralentissements renforce encore un peu plus le masquage de la connexion et de l'identité de l'utilisateur. 

Surfshark va même au-delà du VPN avec la fonction CleanWeb capable de bloquer les publicités, les trackers, les tentatives de phishing et autres logiciels malveillants. Néanmoins l'activation du bloqueur a tendance à provoquer des coupures de la connexion.

Au chapitre des points négatifs, soulignons que l'abonnement annuel à Surfshark reste cher face aux tarifs des autres VPN de cette sélection ; l'application Android, elle, se voit démunie de la fonction d'obfuscation NoBorders.

ExpressVPN : il se défend bien

Les performances d’ExpressVPN sont excellentes mais le service coute très cher pour peu d’options. La présence de deux trackers dans la version Android interroge également en matière de confidentialité.

ExpressVPN
  • De nombreuses plateformes supportées
  • Extensions pour navigateurs
  • Nombre impressionnant de serveurs
L'avis de la rédaction

À la pointe de la technologie, ExpressVPN offre un niveau de service de premier ordre. Difficile de le prendre à défaut que cela soit pour sa politique de confidentialité, les performances et la sécurité de ses serveurs, la qualité de ses applications ou encore sa couverture multiplateforme. Il propose en outre de nombreux guides pédagogiques très soignés pour comprendre, installer et utiliser ses VPN au quotidien.

L'avis de la rédaction

À la pointe de la technologie, ExpressVPN offre un niveau de service de premier ordre. Difficile de le prendre à défaut que cela soit pour sa politique de confidentialité, les performances et la sécurité de ses serveurs, la qualité de ses applications ou encore sa couverture multiplateforme. Il propose en outre de nombreux guides pédagogiques très soignés pour comprendre, installer et utiliser ses VPN au quotidien.

À l'instar de Surfshark, ExpressVPN est basé dans les Îles Vierges britanniques, n'étant ainsi pas soumis au Patriot Act et aux injonctions des cinq, neuf et quatorze yeux.

ExpressVPN protège par défaut toutes les données qui transitent par ses tunnels virtuels privés avec le cryptage de haut niveau AES 256 bits. Cette technologie génère des clés 256 bits permettant de masquer la véritable adresse IP de l'utilisateur, de mélanger le trafic avec celui des autres utilisateurs, ou encore chiffrer les communications entre les serveurs VPN et son ordinateur. En plus de ces clés, ExpressVPN assure une solide couche de sécurité supplémentaire grâce à sa technologie maison TrustedServer qui permet d’écrire les données uniquement sur la mémoire vive volatile.

Le service propose aussi une fonction Kill Switch, le Split Tunneling et une protection contre les fuites DNS. Notons toutefois que ExpressVPN collecte quelques données utilisateurs, même si le fournisseur promet d'effacer systématiquement toutes les informations sensibles. Cela comprend les applications et leurs versions qui se connectent à ses serveurs, la date de connexion (pas l’heure), et le total des données transférées quotidiennement. Aucune de ces données ne peut toutefois compromettre l’identité des utilisateurs.

Il y a du choix dans le chiffrement. Lightway est un protocole maison tout nouveau.

Enfin, si ExpressVPN arrive à la fin de cette sélection, c'est que malgré les promesses de l'entreprise en termes de sécurité, nous repérons deux trackers présents sur son application Android, et qu'il est impossible de connaître le protocole de cryptage utilisé en mode automatique. Sont également absent bloqueurs de publicités et fonctionnalité MultiHop.

Soulignons tout de même que le service reste transparent quant à son protocole propriétaire Lightway : ce dernier n'ayant pas encore été audité, ExpressVPN continue de proposer différents protocoles VPN dont OpenVPN (UDP ou TCP), IKEv2, L2PT, préférant ne pas déployer son jeune protocole en version bêta.

Comment améliorer la confidentialité sur internet ?

Le choix du protocole est chose importante. Le protocole IPsec/IKEv2 est populaire pour sa vitesse et sa reconnexion rapide mais serait exploitable par la NSA… Préférez donc l’OpenVPN plus rapide et fiable, ou encore mieux, le protocole WireGuard (qui peut être moins stable selon les usages). Il existe encore un moyen de rester discret sur internet : utiliser un serveur obfusqué. Cet anglicisme signifie que le serveur va camoufler l’usage d’un VPN.

Ordinairement, les paquets de données transitant par un serveur VPN possèdent des caractéristiques (une sorte de signature logicielle) suggérant que le serveur utilisé est un serveur VPN (interdit dans certains pays nous le disions, par certaines entreprises ou organismes ou juste une plateforme de stream). L’obfuscation crée une surcouche de données pour envelopper le tunnel sécurisé VPN et le faire passer pour un serveur internet ordinaire.

Comment évaluer la sécurité et la confidentialité des VPN ?

On aurait tendance à croire qu’installer un VPN est suffisant pour naviguer, télécharger ou regarder des contenus en streaming de manière sécurisée. Certes le VPN assure le chiffrement de votre trafic Internet, mais pour ce faire il donne les pleins pouvoirs à l’opérateur VPN. Ce dernier pourrait donc, s’il le souhaite, connaitre exactement vos habitudes de navigation, de consommation, de téléchargement sur le Web.

Le choix du service VPN par lequel vous allez passer est donc crucial et ne peut pas se fonder uniquement sur des critères de rapidité (débit, latence) ou de tarif, pas plus que vous n’allez acheter un bagage de luxe à un vendeur à la sauvette. Par ailleurs, il faut distinguer la sécurité des technologies utilisées (authentification, protocole de communication, systèmes de protection supplémentaires) de la confidentialité de vos communications. En effet, certains VPN exposent potentiellement votre adresse IP (votre identité numérique sur le Web) en passant d’un serveur à un autre, ou lors de la reconnexion (quand le VPN se déconnecte).

Dans le premier cas, on parle de leaking. Il peut s’agir de fuite de DNS (DNS leaking) ou de fuite de requêtes webRTC (webRTS leaking) car la plupart des navigateurs - sauf Safari - autorisent les requêtes webRTC. La fonction Kill Switch vise justement à stopper tout envoi ou réception de données tant que la connexion VPN n’est pas rétablie.

Le respect de la juridiction

Les opérateurs VPN assurent normalement une sécurité maximale pour vos données ; toutefois ils constituent des sociétés privés, soumises juridiquement à la réglementation des états auxquels ils appartiennent.

Le respect de la vie privé est une notion plus ou moins absolue selon le pays. En Chine par exemple, les VPN qui ne « coopèrent » pas avec les autorités sont interdits, et des centaines de sites sont inaccessibles grâce à la « Grande Muraille numérique » (un gigantesque pare-feu bloquant certaines adresses IP)... Ces autorités luttent ainsi contre la cybercriminalité et probablement certains opposants au système politique en place… En Russie, même topo. Seuls les VPN autorisant l'accès aux données à l’agence Roskomnadzor (Service fédéral russe de supervision des communications, des technologies de l’information et des médias) sont autorisés. Les internautes doivent alors se connecter à un serveur VPN extérieur à la Russie pour préserver au mieux leur intimité.

En Europe de l’Ouest, la liberté de communication et la confidentialité des données sont globalement bien respectés ; mais il existe des exceptions, notamment avec les accords internationaux de partage de renseignements et les alliances des cinq, neuf et quatorze yeux.

Les alliances des 5, 9 et 14 yeux

Sans tomber dans le roman d’espionnage ou la théorie du complot, on peut avancer le fait que l’information est l’or du XXIe siècle. Pendant la guerre froide, la collecte d’informations entre les deux blocs (USA/URSS) était un enjeu stratégique aussi bien géopolitique qu’économique.

Le réseau ECHELON (« les grandes oreilles ») construit pour espionner l’URSS et les pays communistes a évolué vers un réseau international d’écoute des communications, contre le terrorisme principalement, mais aussi en faveur de « l’intelligence économique » (entendez par là, l’espionnage industriel). C'est dans cette dynamique que cinq pays anglo-saxons se sont associés pour former l'alliance Five Eyes (ou groupe des cinq, selon le gouvernement canadien).

Le FVEY (abréviation de Five Eyes) regroupe les Etats-Unis, le Canada, le Royaume-Uni, la Nouvelle -Zélande et l’Australie. Du partage de renseignements, les accords entre ses pays s'est élargi à la surveillance de l'activité en ligne. Les VPN relevant de ces pays (comme Betternet, HideMyAss, Hotspot Shield, IPVanish, My Expat Network, Private Internet Access, SaferVPN, SurfEasy, etternet, TunnelBear, VPN Unlimited, Windscribe) ont donc été volontairement écartés de cette sélection.

Par ailleurs, certains pays européens (Danemark, France, Norvège et Pays-Bas) se sont alliés avec les Cinq Yeux pour former ce que l’on appelle les Neuf Yeux. Concrètement si vos données peuvent être utilisées par un des pays de cette alliance, elles pourraient être partagées avec les autres "yeux". Aussi, les VPN dont le siège est basé dans ces pays (ActiVPN, BeeVPN, GooseVPN, OperaVPN, Unlocator,) ont aussi été écartés de notre sélection.

Enfin, d’autres pays européens (Allemagne, Belgique, Espagne, Italie, Suède) ont créé l'alliance des 14 Yeux, avec les pays des 9 Yeux. De la même manière, nous avons retiré de notre sélection les VPN (AirVPN Avira Phantom VPN, PrivateVPN, Zenmate) provenant de ces pays. Nous avons toutefois gardé Mullvad car son code est open source et la transparence de l’entreprise est remarquable.

Nous attirons votre attention sur le fait que les VPN de ces pays ne sont pas mauvais. La préservation de votre sécurité et la confidentialité de vos données restent une priorité fondamentale. Par ailleurs, la connaissance d'associations comme les cinq, neuf ou quatorze yeux, n'ont pas à vous faire sombrer dans des logiques de complotisme paranoïaque à la « on nous écoute ». En effet, c’est aussi grâce à ces systèmes de renseignements que les autorités luttent contre le terrorisme et la pédophilie, par exemple.

Les pays appartenant à ces alliances disposent donc d’instances de surveillance et de régulation pour d’éventuels accès à nos données privées, sous conditions strictes. Si les pays n’appartenant pas aux cinq, neuf et quatorze yeux sont a priori plus sûrs car non liés avec d’autres gouvernements, ce n'est pas toujours vrai et aucun organisme indépendant ne vérifie cette promesse.

Parallèlement, un pays comme la France est plus pointilleux (et donc protecteur pour l’internaute) concernant l’usage des données personnelles (notamment avec le RGPD) qu’un pays comme le Panama, par exemple. En somme, la question revient à savoir si vous préférez donner pouvoir sur vos données à un pays lointain (dont vous ne connaissez pas la législation) ou à un pays qui peut écouter vos échanges mais de manière contrôlée ?

Les critères d'évaluation de la confidentialité des données

En plus des classiques tests de vitesse (débit ascendant et descendant, latence), nous avons étudiés plusieurs facteurs liés à la sécurité et la confidentialité des données utilisateurs.

Certains VPN ont une politique claire de non-journalisation (conservation) de vos données, vérifiée par des organismes indépendants. D’autres services VPN relèvent d’une juridiction (plus) respectueuse de la vie privée (basés dans des pays n’appartenant pas aux alliances des cinq neuf ou quatorze Yeux), tout du moins en théorie. En effet, dans les paradis fiscaux (Iles Vierges Britanniques, Panama, Suisse…), par exemple, qui est le garant d’une confidentialité totale ?

D’autres VPN encore filtrent les spams et les publicités invasives depuis leur client logiciel. Enfin, certains services utilisent plusieurs serveurs situés dans différents pays (multi hop routing) pour qu'il soit impossible de remonter à l’utilisateur.

Il est également possible de trouver des serveurs Tor pour anonymiser au maximum vos communications. De tels serveurs garantissent un maximum de sécurité et de confidentialité et seront plus rapide qu’en passant directement par le navigateur Tor. Dans tous les cas, votre trafic internet passera par plusieurs serveurs, situés dans plusieurs pays. Revers de la médaille, la connexion est beaucoup plus lente, rendant le streaming ou torrent inexploitable.

Pour vérifier qu'il n'y ai pas de fuite de DNS dans les VPN testés, nous avons utilisé le service DNS Leak test et IPleaktest. À noter qu'il existe des différences entre les VPN selon les plateformes Windows, macOS, Android et iOS. Certaines fonctions ou protocoles de sécurités disparaissent sur les versions mobiles.
Sur Windows, nous avons remarqué des fonctionnements suspicieux ; le partage des données est par exemple coché par défaut dans les paramètres, alors même que la Nétiquette réclame l’opt-in, soit le consentement de l’internaute, pour activer ce genre d'option.

À titre d'exemple, nous n'avons pas retenu (entre autres) ZenMate VPN : la connexion à un serveur VPN suisse décèle des requêtes vers le Royaume-Uni et l'Allemagne (deux pays membres des alliances 5/9/14 Yeux).

Enfin, certaines versions de VPN embarquent des trackers pour potentiellement épier et collecter des données. Ces pisteurs servent (selon les sociétés de VPN) à détecter d’éventuels bugs ou à améliorer leurs services. Nous avons vérifié ces trackers et les signatures considérées louches sur le site Exodus. De fait, derrière cette louable intention se cache souvent l’identification (géographique…) et le profilage (sites consultés, suivi GPS…) des usagers.

Modifié le 01/03/2021 à 15h30
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
1

Pourquoi nous faire confiance ?

Pour vous, Clubic sélectionne puis teste des centaines de produits afin de répondre aux usages les plus courants. De la qualité pour tous et à tous les prix, voilà notre objectif ! En savoir plus

Haut de page