VPN : à qui faire vraiment confiance, et pourquoi ?

Tous les VPN essaieront, dans une certaine mesure, de se présenter comme le service le plus sûr pour les utilisateurs. Mais qu'en est-il réellement ? Est-il possible pour un simple internaute de s'assurer qu'un VPN le protège réellement ?

Il existe bien des facteurs à prendre en compte lorsqu'on choisit un VPN : vitesse, prix, fonctionnalités et enfin la sécurité. Pour beaucoup, ce dernier point est probablement le plus important de tous. Qu'il s'agisse de passer un pare-feu national comme le Great Wall Of China ou tout simplement de se protéger d'annonceurs trop curieux pendant sa navigation, beaucoup placent dans leur VPN une confiance, parfois aveugle, quant à la protection de leur vie privée. Les VPN gratuits en particulier, peuvent poser problème.

« On place le même niveau de confiance dans un VPN que dans son fournisseur internet »

Cette phrase est à garder en tête lors du choix de son VPN. Il est nécessaire de rappeler que les fournisseurs d'accès Internet ont accès aux données de navigation de leurs abonnés et que jusqu'à l'arrivée du protocole HTTPS, ils étaient presque omniscients. Aujourd'hui, ils sont toujours capables de voir quels sites sont visités sans, pour autant, connaître les détails de la navigation intra-site.

Aux États-Unis, les fournisseurs sont autorisés à vendre les données de leurs utilisateurs depuis 2017 sans avoir obtenu leur consentement au préalable. Même si le cadre légal français est bien plus strict qu'outre-atlantique, nos F.A.I. sont obligés de garder pendant 1 an des « données techniques » et des métadonnées tels que :

• L'URL
• L'identifiant de l'utilisateur
• La date, l'horaire et le lieu des communications.
• Des données permettant d'identifier le destinataire d'un message

Ces données sont en effet conservées pendant un an pour les besoins d'enquêtes pénales depuis la loi sur la sécurité quotidienne de 2001. Cette obligation a été étendue aux hébergeurs internet par la loi pour la confiance dans l'économie numérique de 2004 et les VPN en tombent donc sous le coup, du moins s'ils sont domiciliés en France.

Il faut garder à l'esprit qu'utiliser un VPN ne revient pas à simplement cacher son trafic à son F.A.I. mais juste à déplacer le problème et confier ces données à une autre entité qui peut ou non décider de les garder ou de les utiliser. Pour choisir le VPN qui ne fera ni l'un ni l'autre, il convient de se poser les questions suivantes.

1. Attention aux VPN gratuits

Les VPN gratuits sont souvent la première option envisagée par les internautes à la recherche d'une navigation plus sûre. Il arrive souvent que ces derniers sautent sur le premier résultat dans Google ou les stores d'application en pensant qu'un grand nombre de téléchargements ou une première place dans les moteurs de recherche est synonyme de fiabilité et de confiance. Les VPN gratuits sont généralement limités d'une manière ou d'une autre, dans le meilleur des cas en termes de fonctionnalités et de débit, dans le pire des cas en sacrifiant votre vie privée. Beaucoup préfèrent d'ailleurs la seconde option, et une étude menée par top10vpn.com rapporte que :

• 60% des 30 premiers résultats issus de la recherche « VPN » dans l'App Store sont des applications liées à des entreprises chinoises
• 86% de ces applications ont des politiques de confidentialités déplorables dont certaines disant explicitement partager les données des utilisateurs avec des entreprises chinoises
• 64% des applications n'ont pas de site dédié ou de présence en ligne en dehors de la page de l'application sur l'App Store
• 52% possèdent des adresses e-mail de contact génériques (Gmail, Hotmail, Yahoo, etc.) personnelles
• 83% des mails envoyés au support client ont été ignorés

Les processus d'approbation d'applications d'Apple et Google ne sont donc pas aptes à écrémer les services VPN, laissant l'utilisateur seul juge des services proposés. De manière générale, les VPN gratuits sont à prohiber pour éviter toute mauvaise surprise.

2. Pays de domiciliation et politique no-log

La politique no-log est le Saint Graal de la sûreté lorsqu'on parle de VPN. Un fournisseur qui applique une politique no-log stricte ne gardera aucune trace de vos données sur ses serveurs. Selon son pays de domiciliation, un VPN va garder des données qui peuvent prendre différentes formes :

• Des données de connexions détails techniques comme le serveur auquel l'utilisateur s'est connecté, sa bande passante, l'adresse IP fournie par le VPN, etc.
• L'adresse IP (celle fournie par votre FAI)
• Le trafic internet comme l'historique de téléchargement et de navigation, les achats en ligne, etc.

Ces logs sont souvent récupérés dans le cadre de lois de conservation de données comme celles mentionnées plus haut dans l'article. Beaucoup de pays possèdent des lois similaires, et il existe même des alliances entre pays dont le but premier est le partage des données de leur citoyens :

• L'alliance « Five-Eyes » qui regroupe l'Australie, le Canada, la Nouvelle-Zélande, le Royaume-Uni et les États-Unis
• L'alliance « Nine-Eyes » qui regroupe les pays cités précédemment en plus de la France, le Danemark, le Pays-Bas et la Norvège
• L'alliance « 14-Eyes » qui regroupe les pays cités précédemment en plus de l'Allemagne, la Belgique, l'Italie, la Suède et l'Espagne

Il va sans dire que les VPN domiciliés dans ces 14 pays sont à éviter catégoriquement si vous ne souhaitez pas voir vos données potentiellement scrutées par une quinzaine de gouvernements.

Mais vers quels pays se tourner alors ? Il existe plusieurs pays sans loi de conservation des données. Ces Édens de la vie privée se situent souvent en Europe de l'Est ou dans des territoires insulaires. Même si cette liste n'est pas exhaustive, elle devrait permettre de dresser une carte de pays sûrs pour les VPN :

• L'argentine
• Le Brésil
• La Bulgarie
• Chypre
• La République Tchèque
• L'Islande
• Le Panama
• La Roumanie
• La Serbie
• Taiwan
• l'Ukraine

Ces pays possèdent des législations qui permettent l'application d'une politique no-log stricte, allant même parfois jusqu'à déclarer la conservation de données anticonstitutionnelle.

3. Le stockage RAM, meilleur ami des serveurs VPN

Lorsqu'il s'agit de protection de la vie privée, faire tourner ses serveurs VPN sur de la mémoire vive volatile (RAM) au lieu des classiques disques durs et SSD reste le meilleur moyen de garantir qu'aucune donnée ne soit sauvegardée à l'insu des utilisateurs. Ces serveurs profitent de la volatilité de la mémoire pour assurer la non-journalisation des données. L'utilisation de mémoire vive signifie qu'à chaque redémarrage du serveur, la totalité des données stockées sont tout simplement effacées, sans risque que celles-ci puissent être récupérées comme sur des disques de stockage classiques.

Bien que cette méthode soit un peu brutale et requiert la réinstallation des logiciels nécessaires au bon fonctionnement du VPN à chaque redémarrage, elle permet de s'assurer qu'aucune donnée ne sorte du serveur peu importe la raison : demande des autorités, fuite de données, etc. Peu de VPN ont adopté la mémoire vive pour leurs serveurs, le déploiement pouvant se montrer coûteux selon la taille de l'infrastructure.

4. Les protocoles de connexion

Les protocoles de connexion sont le coeur du fonctionnement d'un VPN, ils assurent la liaison entre un appareil et un serveur en sécurisant les données qui y transitent. Chaque protocole possèdent ses avantages et inconvénients, mais certains restent plus sûrs que d'autres.

OpenVPN et Wireguard sont de bonnes références. Ces deux protocoles proposent leur code en ligne, permettant à chacun d'en effectuer un audit pour s'assurer de la sécurité et de la fiabilité ainsi que détecter de potentielles failles. Ils sont assez répandus et la majorité des fournisseurs les ont intégrés à leurs services.

5. Les clés de cryptage et de chiffrement

Aujourd'hui la majorité des VPN utilisent le chiffrement AES-256, un protocole de chiffrement répandu dans le monde de l'informatique et qui a fait ses preuves puisqu'il est approuvé et utilisé par la NSA. Il répond donc parfaitement aux exigences en sécurité des VPN, d'où son adoption répandue.

6. Le « Kill Switch », bouton d'arrêt d'urgence du VPN

Le « Kill Switch » est une fonctionnalité qui permet d'instantanément couper la connexion Internet dès que la liaison entre l'appareil et le serveur est compromise. Cela évite que les données de l'utilisateur soient dévoilées en cas de déconnexion. Les VPN qui possèdent cette fonctionnalité l'activent souvent par défaut, mais certains laissent l'option de la désactiver.

7. Le service a-t-il déjà connu une fuite de données ?

Une bonne politique de non-journalisation et des serveurs équipés de mémoire vive volatile minimisent grandement les risques liées à une fuite de données. Toutefois, ces évènements peuvent laisser les utilisateurs inquiets sur la capacité du service à les protéger et il est donc normal de douter des VPN en ayant déjà été victime par le passé, surtout si l'ampleur est importante.

8. Quelles sont les méthodes de paiement proposées ?

Disons-le tout de suite : les paiement via carte bancaire ou Paypal ne sont pas ce qu’il y a de plus anonyme. Les services acceptant le Bitcoin ou d’autres cryptomonnaies pour les transactions sont généralement plus sûrs car ils n’ont pas besoin d'enregistrer, même temporairement, toutes les informations personnelles que les méthodes classiques de paiement divulguent.

9. Un audit de sécurité, ça en dit long

Un VPN qui dit utiliser toutes les technologies mentionnées et appliquer une politique no-log doit encore en prouver la bonne exécution. Pour montrer patte blanche, les fournisseurs font souvent appel à des organismes indépendants pour effectuer des audits de sécurité. Ils soumettent donc leur infrastructure à une évaluation menée par une entreprise tierce. Ces audits sont généralement menés à plusieurs reprises et par des organismes reconnus dans leur domaine comme PricewaterhouseCoopers (PwC).

10. Les engagements politiques et sociaux du fournisseur

Même si il ne s'agit pas d'une condition sine qua non, s'intéresser aux actions que mènent des fournisseurs de VPN et aux valeurs qu'ils défendent peut aider à s'assurer de leurs motivations profondes. Plusieurs VPN font en effet partie de coalitions et de groupes luttants pour défendre la neutralité du net, le droit à la vie privée et la liberté d'expression. Citons par exemple la VPN Trust Initiative, l'Electronic Frontier Foundation ou Internet Society.

Si vous cherchez un VPN sûr cochant toutes les cases, CyberGhost, NordVPN ou encore Proton VPN figurent en tête de liste de notre comparatif. Basé respectivement en Roumanie, au Panama et en Suisse, les fournisseurs VPN appliquent une politique no-log stricte et possèdent une infrastructure entièrement équipée de serveurs RAM. Ils proposent tous les protocoles de connexion et de chiffrement dont nous avons parlé et n'ont jamais souffert de fuites de données.