Quels sont les dangers des VPN gratuits ?

Face aux tarifs parfois élevés des meilleurs VPN, nombreux sont celles et ceux à se tourner vers des offres gratuites. Une bonne affaire en apparence qui, dans bien des cas, a tôt fait de virer au cauchemar pour la sécurité des données personnelles.

Pourquoi utiliser un VPN ?

Une navigation privée pas si privée

En navigation classique comme en mode incognito, surfer sur le web laisse des traces qui permettent d’identifier et de pister les activités en ligne des internautes.

Premier marqueur : l'adresse IP

Attribué de manière arbitraire et personnelle par le FAI, l’adresse IP associe les appareils connectés à Internet (box ou réseau mobile) à un contrat client. Contrat auquel sont notamment rattachées les informations de facturation (nom, prénom, adresse, numéro de téléphone, moyen de paiement) et d’utilisation (dates et heures de connexion à Internet, durée des sessions, sites visités, temps passé sur chaque page consultée) de l’abonné.

Si l’adresse IP sert d’abord à identifier l’internaute auprès du fournisseur d’accès à Internet, son caractère public permet également aux plateformes web de le repérer en tant que visiteur unique, et d’analyser son parcours de navigation sur les pages web qu’elles administrent.

En plus de dévoiler ses activités intrasites, l’IP publique révèle quelques données personnelles, comme une estimation de la position géographique et le nom du FAI. De ces deux informations, les sites web ne peuvent pas faire grand-chose. Au mieux, elles établissent des statistiques. Au pire, elles peuvent éventuellement bloquer l’accès à des contenus dits géorestreints. On pense, par exemple, aux services de streaming dont les catalogues diffèrent d’un pays à un autre en fonction des accords d’exploitation et de diffusion des œuvres signés dans chaque région où ils opèrent.

Second marqueur : les cookies et autres trackers

Dans la majorité des cas, ces dispositifs de suivis en ligne sont déposés dans le navigateur et permettent aux éditeurs comme aux annonceurs de suivre avec précision, et dans le temps, la fréquence et la durée des visites des internautes. Outre les données de navigation au sein du domaine, certaines balises collectent des informations sur les spécifications techniques de l’appareil utilisé pour surfer sur Internet (type, système d’exploitation, numéro de version, applications et logiciels utilisés pour consulter le site web). D’autres outils comme les cookies intersites sont capables de tracer les activités en ligne des utilisateurs et utilisatrices sur l’ensemble des sites hébergeant des publicités gérées par un même annonceur.

Toutes ces informations sont bien évidemment collectées, conservées, croisées dans le but de générer un profil marketing très détaillé de l’internaute, vendu à prix d’or aux annonceurs.

Troisième marqueur : le fingerprinting.

Bien que fleurissent de plus en plus de boucliers anti-suivis efficaces, la lutte contre le traitement des empreintes numériques de navigateurs se révèle autrement plus ardue. Pour rappel, le fingerprinting consiste en la collecte de toutes les données techniques délivrées par l’interface de navigation. Cela comprend le fuseau horaire, la version du navigateur, la configuration du navigateur (affichage des barres de favoris, d’outils, d’adresse), les extensions installées, la langue, mais également type d’appareil utilisé pour se connecter à Internet, la résolution de l’écran, la version du système d’exploitation, l’agencement du clavier, les polices de caractères installées, l’état et l’utilisation de la batterie, la présence ou non d’un gyroscope, d’un capteur de proximité, d’une webcam, d’un haut-parleur, d’un micro… Autant d’informations qui font du navigateur de l’internaute une interface unique, permettant d’identifier avec précision un visiteur parmi les autres, même s’il a bloqué les cookies tiers et activé le mode incognito.

Un VPN pour masquer son IP et ses données privées

Au regard de toutes les technologies plus ou moins sophistiquées développées pour pister et analyser les profils d’internautes, difficile de s’en départir avec les seuls outils de lutte anti-suivi intégrés aux navigateurs les plus populaires. C’est ici que l’utilisation d’un VPN prend tout son sens.

Pour faire simple, un VPN, ou réseau privé virtuel, consiste en un dispositif permettant de chiffrer, d’isoler et de dévier la connexion Internet via un serveur intermédiaire avant de la réacheminer vers le serveur web interrogé.

Concrètement, les données de trafic sont chiffrées localement sur la machine de l’internaute, circulent via un tunnel généré par un protocole VPN sécurisé, à l’écart du trafic Internet public (HTTP/HTTPS), et rebondissent sur un serveur VPN, virtuellement ou physiquement localisé dans un pays choisi par l’utilisateur en amont de la connexion.

Une fois réceptionnée par le serveur VPN, la connexion est déchiffrée et emprunte l’adresse IP dudit serveur, avant d’être redirigée vers la plateforme web cible via le réseau Internet public.

En suivant un tel schéma, il est extrêmement difficile d’intercepter la connexion entre l’appareil et le serveur VPN, et impossible d’en déchiffrer le contenu. Et si le FAI peut toujours voir que l’on se connecte à un service VPN, il n’est plus en mesure de connaître les plateformes et pages web consultées. Par là même, les sites Internet ne peuvent plus identifier ni localiser l’internaute, l’adresse IP qui leur est transmise correspondant en réalité à celle du serveur VPN intermédiaire.

En clair, l’utilisateur profite d’un anonymat et d’une sécurité renforcés vis-à-vis de tous les tiers pouvant tirer profit de ses données de connexion (FAI, hackers, éditeurs et annonceurs).

Comment les VPN gratuits se financent-ils ?

Pour qu’un service VPN soit pleinement fonctionnel, il lui faut travailler au développement d’une infrastructure réseau étendue, performante, stable et sécurisée, mais également déployer des clients logiciels sur un maximum de plateformes et mobiliser une assistance technique réactive. Une gestion et une maintenance qui engendrent des coûts (techniques, salariaux), que les entreprises répercutent la plupart du temps sur leurs abonnements.

À mesure que l’offre VPN payante s’est étoffée, de nombreux acteurs du secteur ont pris le parti de séduire les internautes en proposant des services gratuits. Une stratégie en apparence bénéfique pour les internautes, mais qui dissimule en réalité bien des dangers. Il faut bien, en effet, que ces entreprises y trouvent leur compte financièrement. Et, dans la majorité des cas, ce sont les données personnelles qui trinquent. Un comble quand on choisit justement de se tourner vers une solution VPN pour protéger son anonymat et ses informations sensibles.

1 - La publicité intégrée

Principale source de revenus des VPN gratuits, la publicité envahit souvent les clients logiciels et applications mobiles déployées par les fournisseurs.

Bien qu’une telle pratique puisse être discrète et ne pas gêner l’expérience d’utilisation outre mesure, il faut garder à l’esprit que les annonceurs paient les entreprises VPN pour diffuser leurs publicités. Bien souvent, ces annonces sont personnalisées, ce qui signifie que les internautes partagent, malgré eux, certaines données personnelles avec les régies partenaires du fournisseur VPN. Parmi les informations monétisables, on peut citer les données d’identification renseignées à l’inscription au service, mais également l’historique de navigation que le VPN est censé garder secret.

2 - La revente des données personnelles

Si la présence de publicité laisse peu de doute quant au modèle économique mis en place par le fournisseur VPN, certaines entreprises n’hésitent pas à leurrer les internautes et jouent de l’absence d’annonces pour appâter de nouveaux clients. En réalité, il est fort probable que le service traque les activités en ligne de ses utilisateurs et utilisatrices.

Les données de navigation sont alors collectées, conservées, traitées et revendues à des annonceurs ou courtiers en données qui seront à même de vous proposer des publicités ciblées, basées sur votre historique de navigation VPN.

3 - Le partage des données avec la société mère

Une majorité de VPN gratuits réputés appartiennent à des sociétés mères, éditrices d’autres solutions payantes. Il n’est alors pas rare que le fournisseur VPN soit partie prenante d’un montage financier interne, dans lequel il revend les données privées de ses utilisateurs et utilisatrices à d’autres entités gérées par ses actionnaires.

Le procédé peut sembler moins grave que la revente d’informations personnelles à des annonceurs tiers. Pourtant, le résultat est le même : le parcours de navigation protégé par le VPN est traqué et analysé afin que la société mère puisse promouvoir auprès des internautes ses autres produits de manière ciblée.

4 - La distribution de malwares

Il faut enfin faire état des très nombreuses solutions qui, en plus de souffrir de nombreuses vulnérabilités pour cause de maintenance approximatives, distribuent volontairement des malwares sur les machines des internautes. On pense bien évidemment aux spywares, qui permettent aux fournisseurs de revendre sur le dark web des données collectées en dehors du parcours de navigation (identifiants, mots de passe, numéros de CB, etc.), mais également aux ransomwares grâce auxquels les développeurs de VPN gratuits peuvent obtenir rémunération directement auprès des utilisateurs et utilisatrices infectés.

On en profite pour rappeler qu’il est fortement déconseillé de payer une rançon exigée par des pirates informatiques. Vous n’aurez en effet jamais la certitude de récupérer l’accès à vos dossiers et partitions pris en otage.

Comment choisir un VPN gratuit ?

Pour autant, tous les fournisseurs de VPN gratuits ne se financent pas selon des business models malhonnêtes, frauduleux ou criminels. Certaines solutions plus transparentes que d’autres proposent des versions de démonstration de leur service payant ou des offres d’essai gratuit. Il faut alors souvent faire avec des limitations fonctionnelles (débits bridés, nombre de serveurs restreint, limite mensuelle de bande passante).

Opter pour une garantie de remboursement

D’autres mettent en place des politiques de remboursement très souples, offrant à leurs utilisateurs et utilisatrices la possibilité d’essayer le service sans limite de fonctionnalité ni de transfert de données. C’est notamment le cas d’ExpressVPN, qui applique une garantie satisfait ou remboursé de 30 jours à l’ensemble des forfaits qu’il propose. Après avoir souscrit à une offre mensuelle, semestrielle ou annuelle, libre à chacun d’annuler son abonnement avant la fin du délai d’un mois, sans avoir à motiver sa rétractation.

Contrôler la taille et la rapidité de l'infrastructure

Au-delà des conditions d’essai avantageuses qu’il propose – accès à la totalité de ses fonctionnalités, de son infrastructure et de ses technologies –, ExpressVPN coche toutes les cases des meilleurs VPN gratuits, à commencer par un parc réseau étendu et performant.

À la tête de plus de 3 000 serveurs RAM (suppression automatique des données stockées à chaque redémarrage des équipements) répartis dans 94 pays, le service fait état de très bons débits ascendants et descendants, garantissant une connexion VPN aussi fluide qu’une connexion non protégée. Le déploiement de serveurs 10 Gb/s améliore considérablement ses performances, prévenant les engorgements dus à d’éventuelles surcharges, offrant une expérience de navigation rapide et confortable en toutes situations.

S’il ne dispose pas d’équipements optimisés pour le streaming ou le P2P, les tests menés dans notre avis sur ExpressVPN ont à plusieurs reprises prouvé que le fournisseur s’affranchissait sans difficulté des mesures anti-proxy et anti-VPN mises en place par les plateformes de SVOD les plus intransigeantes. ExpressVPN peut ainsi débloquer n’importe quel catalogue Netflix, Amazon Prime Video, Disney + ou HBO, en France comme à l’étranger.

Vérifier les protocoles VPN et algorithmes de chiffrement

Élément clé, garant de la sécurité de la connexion, le protocole VPN doit également constituer un critère de sélection à prendre en compte avant d’opter pour un VPN gratuit.

Soucieux de se plier aux dernières exigences, ExpressVPN prend en charge les protocoles OpenVPN (UDP et TCP) et Lightway (UDP et TCP), tous deux compatibles avec l’algorithme de chiffrement AES-256, réputé inviolable. On rappelle également que Lightway, solution maison, est basé sur WireGuard, ce qui lui confère une vitesse et une qualité de protection optimales. Plus léger qu’OpenVPN, son code est également moins dense, ce qui facilite les opérations de maintenance et réduit considérablement les risques de failles non patchées.

Examiner la politique de confidentialité

La politique de confidentialité constitue bien évidemment le dernier élément à étudier avant de choisir un VPN gratuit ou offrant une période d’essai gratuit.

Claire et transparente, celle d’ExpressVPN stipule bien que le fournisseur applique une politique de non-journalisation très stricte (VPN no log) que lui permettent ses serveurs RAM et sa juridiction VPN. Le siège social de l’entreprise est en effet domicilié aux Îles Vierges britanniques, data haven dont la législation plus que favorable au respect de la vie privée et de l’anonymat en ligne garantit la sécurité et la confidentialité des données personnelles de ses abonnés.

Afin de montrer patte blanche, le fournisseur n’hésite pas non plus à se plier régulièrement à des audits d’infrastructures, de réseaux et de clients logiciels. Les derniers contrôles en date, menés par les cabinets indépendants Cure53 et KMPG, ont ainsi confirmé la sécurité des applications desktop et mobiles d’ExpressVPN, la sûreté de ses équipements RAM (technologie TrustedServer), la fiabilité de son protocole Lightway, et le respect de la politique de traitement des données promise par le fournisseur. Dans un souci de transparence, ces rapports d’audit sont accessibles au public.

Bonus : juger la couverture multiplateforme

L'étendue de la couverture multiplateforme peut faire pencher la balance en faveur d’un VPN plutôt qu’un autre.

Considéré comme l’un des services les plus complets à ce niveau, ExpressVPN dispose de clients pour les principaux systèmes d’exploitation desktop (Windows, macOS, Linux) et mobiles (Android, iOS). Le fournisseur développe par ailleurs des extensions web pour les navigateurs Chromium (Chrome, Edge, Opera, Vivaldi, Brave) et Firefox, ainsi que des applications pour Android TV et Amazon Fire TV.

Il est enfin possible d’installer ExpressVPN sur de nombreux équipements connectés pour lesquels des applications dédiées n’existent pas. On pense aux consoles de jeux (PlayStation, Xbox, Nintendo Switch), aux serveurs NAS (dont Synology), aux box Internet (Freebox), aux routeurs, ou encore à diverses box TV (Apple TV).