Un VPN me protège-t-il d’un piratage ?

Au cours d’une étude menée en juillet 2020, l’Institut National de la Consommation (INC) a dévoilé que plus de 90 % des internautes sondés avaient déjà été victimes d’un acte de cybermalveillance au moins une fois au cours de leur vie. Pour autant, 80% des personnes interrogées s’estimaient suffisamment sensibilisés et informés sur les risques liés à Internet. Différents réflexes et solutions, parmi lesquels l'utilisation d'un VPN, permettent de se prémunir durablement contre le piratage informatique et d’assurer la sécurité de ses données personnelles.

Quelles sont les principales techniques de piratage en ligne ?

Le phishing, ou hameçonnage

Lorsque l’on parle de piratage informatique, l’une des premières méthodes d'attaques auxquelles on pense concerne bien entendu l’hameçonnage, ou phishing en anglais. Vieux comme le monde, ce procédé consiste à usurper l’identité d’un tiers de confiance (sites web de ventes en ligne, réseaux sociaux, sociétés de transport et de livraison, établissements bancaires, etc.) afin de récupérer, à l’insu des utilisateurs piégés, toutes sortes d’informations sensibles et confidentielles comme des identifiants (login et mots de passe), des éléments d’identité (nom, prénom, date de naissance, adresse) et des numéros de carte bancaire.

Il va sans dire que le phishing demeure l’une des techniques de vol d’informations privilégiées par les pirates informatiques. Pour preuve, toujours selon l’étude de l’INC, 70% des répondants affirmaient avoir eu affaire au moins une fois dans leur vie d’internaute à une tentative d’hameçonnage. Et malgré les mises en garde répétées, encore trop nombreux sont ceux à tomber dans le piège de hackers de plus en plus inventifs et aux attaques de plus en plus sophistiquées.

Les périodes de forte activité du commerce en ligne, comme les fêtes de fin d’année, les soldes ou encore le Black Friday, sont très prisées des cybercriminels. Depuis quelques mois, la plateforme officielle Cybermalveillance.gouv.fr a repéré une recrudescence de mails et de SMS frauduleux. Les pirates à l’initiative de ces messages se font passer pour des transporteurs officiels (La Poste, Colissimo, Chronopost, UPS, etc.) et réclament un complément d’affranchissement nécessaire à l’accomplissement de la prétendue livraison. Les utilisateurs sont alors invités à cliquer sur un lien les redirigeant vers des sites web frauduleux où saisir leurs coordonnées bancaires.

L’injection de logiciels malveillants

Il arrive également que les hackers se servent des voies électroniques et prétextent une livraison pour injecter un virus sur les appareils à pirater. Une méthode qui consiste à envoyer un lien vérolé sur lequel cliquent les utilisateurs et qui débouche sur le téléchargement du malware. Une fois l’ordinateur ou le téléphone contaminés, les pirates accèdent au système et récupèrent toutes les données qu’ils jugent lucratives (identifiants, fichiers, numéros de carte bancaire stockés en clair dans des applications de prise de notes, etc.).

Dans les cas extrêmes, les hackers installent des ransomwares sur le système. Pour déverrouiller l’appareil pris en otage, la victime est sommée de payer une rançon. Rançon qu’il est bien évidemment déconseillé de payer dans la mesure où aucune garantie ne permet de s’assurer du déchiffrement et de la restitution des partitions système, des dossiers et/ou des données cryptés par ces types de logiciels malveillants.

Le piratage des réseaux Wi-Fi publics

Les réseaux Wi-Fi publics et/ou très fréquentés apparaissent également comme une menace pour la sécurité des données personnelles des internautes. Souvent mal sécurisés, ils se déploient comme des terrains de jeu parfaits pour les hackers souhaitant perfectionner leurs attaques.

D’un point de vue technique, les pirates recherchent et exploitent les failles de sécurité résultant de mauvaises configurations Wi-Fi. De cette manière, ils prennent le contrôle des points de connexion publics et interceptent toutes les données qui transitent entre l’appareil de l’utilisateur et le hotspot compromis. Si, en plus, l’internaute saisit des informations confidentielles comme un mot de passe ou un numéro de carte bancaire sur des sites web non sécurisés par le protocole HTTPS, alors la récupération de ces données privées ultra sensibles n’est plus qu’une formalité.

Il peut également arriver qu’un pirate plus expérimenté et plus rusé mette en place un faux réseau se faisant passer pour un hotspot légitime. Ici, plus besoin de hacker un Wi-Fi existant : le hacker n’a qu’à se servir en identifiants et données privées sur les appareils se connectant sans protection à son réseau vérolé.

Le VPN : une solution de sécurité efficace pour protéger sa connexion et ses données privées

Ces quelques techniques confirment que les pirates s’appuient sur différents procédés pour récupérer toutes sortes de données privées. Mais la majorité de ces actions présente un objectif commun : pirater des informations personnelles pour les exploiter contre d’autres personnes (usurpation d’un compte de messagerie), les revendre sur le dark web ou en profiter directement pour faire des achats.

Complémentaire d’un bon antivirus, un VPN apparaît donc comme une sage précaution. Il existe de solutions payantes ou des VPN gratuits. Un « Virtual Private Network », ou VPN, est un réseau privé virtuel qui permet d’échanger de manière sécurisée des données sur le web notamment. Concrètement, il se positionne en intermédiaire entre les appareils des utilisateurs et les sites web consultés. Ainsi placé, il sécurise la connexion et le trafic entre un ordinateur, un smartphone ou une tablette et Internet.

Comment fonctionne un VPN ?

Nous l’avons vu, le VPN consiste en un intermédiaire entre l’internaute et le web. D’un point de vue technique, l’utilisateur télécharge un client VPN (logiciel PC ou application mobile) qui, une fois activé, fait passer la connexion via un serveur additionnel tenu par le fournisseur VPN avant que le trafic n’interroge les serveurs des sites web consultés. Par là même, la réponse retournée par les plateformes web transite également par le serveur VPN avant d’arriver sur l’appareil de l’utilisateur.

Toutes les connexions passant par un VPN sont chiffrées à l’aide d’un algorithme de cryptage, le plus sécurisé et le plus répandu étant l’AES, utilisé avec une clé 128 ou 256 bits. Cet algorithme de cryptage est dit symétrique, c’est-à-dire qu’une seule et même clé permet de chiffrer et déchiffrer le contenu protégé.

Une fois les paquets de données chiffrés, ils transitent via un tunnel privé généré par le VPN à l’aide d’un protocole de tunneling. Dans le détail, ce tunnel isole le trafic VPN du reste du trafic Internet et l’achemine vers les serveurs du VPN. Parmi les protocoles VPN les plus réputés, on peut citer les classiques OpenVPN, WireGuard, IKEv2, L2TP. Certains fournisseurs VPN mettent également à disposition de leurs utilisateurs des protocoles développés en interne. On pense à Lightway chez ExpressVPN, ou encore NordLynx chez NordVPN.

Enfin, les serveurs VPN déchiffrent la requête précédemment cryptée et la redirigent sur le réseau Internet public, vers les serveurs des sites web visités. Dans le sens retour, la réponse des serveurs web interrogés passe également par le serveur VPN où elle est chiffrée et acheminée vers l’appareil de l’internaute via le tunnel sécurisé établi à l’aide d’un protocole VPN.

Pourquoi et de qui un VPN protège-t-il vos données sensibles ?

Dans les grandes lignes, utiliser un VPN pour protéger sa connexion permet :

• D’invisibiliser le trafic et donc de le rendre très difficile à intercepter par les pirates et autres tiers malveillants ;
  
• D’empêcher la lecture en clair des données chiffrées en cas d’interception de la connexion privée ;
  
• De masquer son adresse IP, son emplacement géographique et ses comportements en ligne aux yeux des sites web visités. Lesdites plateformes accèdent en effet à l’adresse IP et à la géolocalisation du serveur VPN : l'utilisateur est anonyme. Par ailleurs, dans la mesure où un même serveur VPN traite simultanément les connexions de plusieurs utilisateurs différents, le trafic et les activités en ligne d’un internaute spécifiques sont noyés dans la masse de trafics et d’activités d’autres utilisateurs.

Un VPN garantit donc la confidentialité et la sécurité de vos données, quel que soit l'endroit où vous utilisez votre appareil, chez vous ou sur une terrasse de café, connecté à un hotspot public. Les bornes offrant un accès Wi-Fi gratuit (aéroports, hôtels, cafés…) sont particulièrement vulnérables aux renifleurs ou aux programmes informatiques qui sont utilisés pour décoder les données afin de les rendre lisibles.

En chiffrant le trafic à l’aide d’un algorithme de cryptage solide et en l’isolant du reste du trafic Internet public via un tunnel sécurisé, un VPN empêche les pirates, les organismes de surveillance d’État et les fournisseurs d'accès à Internet (FAI) de consulter vos messages instantanés, l'historique de votre navigation, les informations relatives à votre carte bancaire, les téléchargements ou tout autre type d’information que vous envoyez sur un réseau. Il masque également votre adresse IP (et donc votre identité en tant que client bénéficiaire d’un abonnement Internet chez un FAI spécifique) et votre position géographique.

L’un des avantages du VPN réside dans sa couverture multiplateforme. On peut en effet se servir de ce type de solution de sécurité sur un ordinateur de bureau comme sur un appareil mobile, qu’il s’agisse d’un laptop, d’un téléphone ou d’une tablette.

Les règles d’or à appliquer en plus de l'utilisation d'un VPN

Un VPN est une solution indispensable pour renforcer la confidentialité et la sécurité de ses échanges sur le web. Vos données personnelles sont à l’abri, brouillées à l’aide d’un algorithme de cryptage et invisibilisées par le tunnel VPN.

Il est toutefois impératif de rester vigilant sur le web, et ce même si l’on se connecte à Internet via un VPN.

D’une part, le risque zéro n’existe pas. Un fournisseur peut rencontrer des défaillances au niveau de son infrastructure réseau : failles exploitables par des pirates sur un serveur mal configuré, fuites de données (IP, DNS, interruption inopinée du VPN laissant s’échapper le trafic en dehors du tunnel sécurisé), etc.

Dans certains cas, il peut également arriver qu’une entreprise conserve des données d’identification et d’activité en ligne à des fins commerciales ou en vue de se conformer à la législation en vigueur dans le pays de domiciliation du VPN.

Quoi qu’il en soit, il est important de porter son choix sur un service VPN appliquant une politique de confidentialité stricte « no-log » ou « zero-log », et dont le siège social est établi en dehors des États membres de diverses alliances internationales de surveillance et de renseignement.

Il est également vivement conseillé d’éviter les services VPN gratuits dont le modèle économique repose généralement sur la collecte et la revente des données personnelles à des tiers, et qui, à cause du manque de moyens financiers, peinent à maintenir une infrastructure réseau en bonne santé. Si toutefois le prix des abonnements VPN constitue un frein à votre utilisation d'un service VPN, la rédaction de Clubic a établi un classement des meilleurs fournisseurs VPN gratuits.

Assurez-vous enfin que le service VPN pour lequel vous optez intègre des fonctionnalités de sécurité essentielles sur lesquelles les meilleurs services VPN ne transigent pas comme un kill switch, des options de contrôle des fuites DNS, des protocoles VPN modernes, fiables et stables, et un réseau de serveurs étendu (tant en termes de pays couverts que de serveurs disponibles) .

D’autre part, malgré ses nombreuses qualités, un VPN ne vous protège pas de tout, et en particulier de vous. À cet égard, il est indispensable d’avoir ce que les spécialistes appellent une bonne « hygiène numérique ».

Elle implique de protéger ses identifiants avec un gestionnaire de mots de passe, d’être très vigilant lorsqu’on reçoit des mails, de ne jamais cliquer sur des liens suspects ou envoyés par des émetteurs inconnus, de vérifier la sécurité et l'intégrité de ses téléchargements à l’aide de services en ligne comme VirusTotal, d’installer un bon antivirus sur son appareil et sa boîte de réception, de ne pas communiquer ses mots de passe (gardez à l’esprit qu’aucun site web de confiance ne vous le demandera jamais), ou encore de mettre régulièrement à jour son système d’exploitation ainsi que ses logiciels et ses applications installés, en particulier ceux gérant votre vie privée.