Avis Opera VPN : un service trop a-proxy-matif

01 mars 2024 à 09h02
Clubic - notre avis sur Opera VPN
Clubic - notre avis sur Opera VPN

Lorsque Opera dévoile son VPN gratuit et illimité en 2015, l’entreprise norvégienne entend faire bouger les lignes encadrant la protection des données privées sur le marché de la navigation web. Six ans plus tard, peut-on encore le considérer comme une alternative fiable aux meilleurs VPN payants ?

Opera VPN
  • Gratuit et illimité
  • Facile à configurer et à prendre en main
  • Accès au catalogue Netflix US
  • Ne protège que le navigateur Opera
  • Simple proxy
  • Sécurité basique HTTPS/TLS, AES-128
  • Pas de kill switch
  • Impossible de choisir une localisation précise
  • Peu de serveurs
  • Un seul serveur aux USA (lent)
  • DNS Google
  • Politique de confidentialité floue

Qu'est-ce que Opera VPN ?

Né du rachat du fournisseur VPN SurfEasy par Opera, Opera VPN a très vite suscité l’engouement comme la critique. Pour ses défenseurs, l’intégration d’une telle fonction à un navigateur en fait une technologie innovante, astucieuse, à portée des internautes les moins au fait des enjeux liés à la sécurité des données privées en ligne. Pour ses détracteurs, il s'agit d’un argument marketing de plus dans la guerre des navigateurs, sans réelle garantie concernant la protection des informations personnelles et de l’anonymat.

Aujourd’hui, Opera VPN demeure l’un des principaux atouts que l’entreprise joue sans se priver. Indissociable du navigateur, la fonction ne nécessite ni configuration ni connaissance spécifique en sécurité des réseaux. Un clic sur un bouton suffit à activer ce bouclier qu’Opera se plaît à promouvoir comme un filtre de protection manquant cruellement à ses concurrents.

Il faut ici garder en tête qu’Opera VPN n’est pas un standalone, mais bien une option intégrée à un navigateur. À ce titre, le service ne peut que protéger le trafic Opera, et non l’ensemble de l’appareil sur lequel le navigateur est installé. Il faut également se souvenir que la division web et sécurité d’Opera (navigateur, applications, performances, vie privée) a été rachetée par des fonds d’investissement privés chinois en 2016. Or, comme chacun sait, la Chine et le respect de la vie privée ne font pas bon ménage.

Opera VPN est-il gratuit ?

Opera VPN est gratuit sur toutes les plateformes (desktop et Android), sans limites d’utilisation de la bande passante.

Télécharger et installer Opera VPN

Puisque Opera VPN n’est pas un standalone mais un composant du navigateur, il est impératif de télécharger et d’installer Opera. On précise par là même que seules les requêtes saisies dans Opera peuvent prétendre à la sécurité VPN offerte par le navigateur.

Une fois les formalités effectuées, il convient d’autoriser le service d’anonymat dans les paramètres du logiciel. Il suffit pour cela de saisir le chemin opera://settings/vpn dans la barre d’URL, puis d’activer l’interrupteur. Une icône VPN apparaît à gauche de la barre d’adresse.

Opera VPN - Paramètres
Opera VPN - Paramètres

Principales fonctionnalités

Interface et prise en main

Opera VPN se déploie dans une fenêtre flottante lisible, parfaitement intégrée au navigateur. Son interface minimaliste et facile à prendre en main regroupe une série de fonctionnalités rigoureusement essentielles, à savoir un interrupteur de connexion/déconnexion, le cumul des données transférées pour le mois en cours, une courbe d’utilisation détaillée sur sept jours glissants, un menu déroulant pour les emplacements géographiques disponibles et l’adresse IP virtuelle attribuée par le serveur VPN actif.

Opera VPN - activé
Opera VPN - activé

En haut à droite du module, l’icône des paramètres (roue crantée) offre un accès rapide aux options de configuration avancées. Ces réglages liés aux paramètres du navigateur s’ouvrent dans un nouvel onglet et permettent d’automatiser certains comportements d’Opera VPN : connexion automatique du service au lancement d’Opera, split tunneling sommaire obéissant à des règles très spécifiques (activation des moteurs de recherche par défaut et des sites intranet en contournant le VPN), édition et gestion de règles de contournement VPN personnalisées.

Opera VPN - paramètres
Opera VPN - paramètres

En misant sur une ergonomie balisée et en limitant ses options de configuration au strict minimum, Opera VPN s’adresse à un très large public : celui des internautes standard, conscients des enjeux liés à la collecte des données personnelles en ligne, mais pas suffisamment connaisseurs pour envisager une solution VPN à part entière.

Choix des serveurs

À l’image des efforts d’accessibilité mis en œuvre par Opera pour séduire le plus grand nombre, la sélection et la configuration des serveurs VPN disponibles relèvent d’une simplicité déconcertante. Une fois connectés au VPN (activation de l’interrupteur dédié), les internautes déverrouillent le menu déroulant des emplacements et n’ont le choix qu’entre quatre localisations, sans donnée complémentaire au sujet de l’état de charge des serveurs : Europe, Amériques, Asie, Meilleur emplacement. Des intitulés plus que vagues qui ne permettent de sélectionner ni villes, ni même pays spécifiques. Il faudra se contenter d’une géolocalisation aléatoire rattachée à l’un des continents référencés. En clair, n’envisagez pas de passer par Opera VPN pour accéder intentionnellement à du contenu géorestreint ; tout dépendra de la localisation virtuelle attribuée de manière arbitraire par le service.

Opera VPN - activé
Opera VPN - activé

Autre objet d’étonnement : la définition du « meilleur emplacement » selon Opera. Sur les quinze séries de tests (vitesse et sécurité) effectués, douze d’entre elles ont retourné les États-Unis comme emplacement optimal. Or, au regard des mesures relevées (voir paragraphe « Tests de vitesse), on confirme qu’il s’agit du pire emplacement, d’autant que l’adresse IP identique (77.111.246.40) attribuée à chaque connexion nous pousse à soupçonner un serveur unique sur le territoire nord-américain. Et qui dit un seul serveur dit nécessairement surcharge d’internautes, donc piètres débits et mauvaise qualité de navigation.

Protocoles et chiffrement

C’est ici que les choses se gâtent sérieusement pour Opera VPN. Depuis la fenêtre de connexion comme depuis les paramètres du service, impossible de choisir manuellement un protocole de tunneling. À bien y regarder, impossible, même, de savoir quel protocole VPN est utilisé par Opera pour sécuriser le trafic. Un flou accentué par l’absence quasi totale de communication autour des techniques de chiffrement utilisées, aussi bien sur le blog officiel de l’entreprise que dans les FAQ ou sur les forums du navigateur.

Au détour de quelques sites spécialisés, on finit toutefois par comprendre qu’Opera VPN se passe de tout protocole VPN, optant pour une protection HTTPS/TLS classique (ce que vient confirmer une analyse WireShark du réseau). Traduction : Opera VPN n’est pas un VPN, mais un simple proxy. Il permet certes de masquer son adresse IP et son emplacement géographique, mais il n’offre aucune protection des données en plus de ce que proposent déjà la très grande majorité des sites et serveurs web.

Opera VPN -  analyse
Opera VPN - analyse

Dans un billet de blog officiel, on apprend également qu’Opera VPN chiffre le trafic à l’aide « d’algorithmes 256 bits », sans plus de détails concernant la dénomination de ces fameux algorithmes. Après déchiffrement du trafic avec WireShark, c’est l’AES-128-GCM (SHA256) qui est utilisé dans notre cas. Pourtant, la vérification de l’ordre de priorité de la suite de chiffrement TLS établi par notre système Windows (commande PowerShell Get-TlsCipherSuite) prouve que l’AES-256 est bien disponible côté client et aurait dû prévaloir sur l’AES-128 côté serveur.

Opera VPN - analyse
Opera VPN - analyse
Opera VPN - analyse
Opera VPN - analyse

Support technique

Pour l’assistance personnalisée, on repassera. Opera VPN ne propose ni chatbot, ni formulaire de contact, ni adresse email, ni numéro de téléphone permettant de joindre le support technique en cas de questions ou de problèmes. Les seules options disponibles se résument à une rubrique d’aide succincte, une FAQ tout aussi exsangue et un forum dédié au navigateur dans son ensemble.

Tests de vitesse

Pour cet avis, nous avons effectué des tests de vitesse à l’aide de la plateforme nPerf sur un PC Windows 11, équipé d’une connexion Ethernet fibrée (débit descendant annoncé : 1 Gb/s ; débit ascendant annoncé : 700 Mb/s).

Les mesures ont été relevées trois fois par jour (9h, 13h, 18h) pendant cinq jours, sans et avec Opera VPN pour les quatre localisations disponibles (meilleur emplacement, Europe, Amériques, Asie). Nous avons ensuite effectué une moyenne des débits et du ping pour chaque emplacement de manière à obtenir un aperçu représentatif des performances du proxy dans le temps.

Opera VPN - Benchmarks
Opera VPN - Benchmarks

Le déséquilibre est marquant. Alors que l’Europe (très bonne vitesse en upload, débit acceptable en download) et l’Asie (vitesse en upload attendue, débit en download étonnamment élevé) affichent des chiffres corrects, on reste circonspect face à la faiblesse des résultats obtenus aux États-Unis. Des débits catastrophiques que l’on impute à l’unique serveur disponible outre-Atlantique – la même adresse IP nous a été attribuée à chaque fois –, chargé de traiter l’intégralité des connexions nord-américaines.

Tests de sécurité

Jusqu’à présent, Opera VPN nous a laissé sur notre faim en matière de sécurité. Outre son statut dissimulé de proxy (connexion HTTPS/TLS) et l’absence constatée de chiffrement 256 bits, la protection mise en place par le service ne s’applique qu’au trafic émis et reçu dans Opera browser. Opera VPN ne protège donc ni le trafic (sur les réseaux Wi-Fi publics, notamment), ni l’anonymat, ni les informations de navigation des internautes en dehors du navigateur duquel il dépend.

Fuites DNS, WebRTC et IPv6

Pour nous assurer de la sécurité de notre connexion et de notre anonymat, nous avons contrôlé les éventuelles fuites DNS (dnsleaktest.com), WebRTC (browserleaks.com) et IPv6 (IPv6leak.com) conjointement à nos tests de vitesse. Nous n’avons rencontré aucune anomalie : Opera VPN est, a priori, fiable.

Opera VPN - WRTC Leak
Opera VPN - WRTC Leak

Ces analyses ont toutefois mis en lumière un système d’attribution d’IP très curieux. En nous connectant en Asie (DNS à Singapour), nous avons obtenu une IP suédoise et avons été localisés à Amsterdam par de nombreux sites web. Même constat en Europe (DNS aux Pays-Bas), avec une IP suisse et une localisation suédoise. S’il ne pose pas de réel souci pour l’anonymat, un tel procédé peut vite devenir gênant lorsqu’il s’agit d’accéder à du contenu géorestreint (voir paragraphe "Opera VPN pour le streaming").

Opera VPN - leaking
Opera VPN - leaking

Politique de confidentialité

Difficile d’évoquer la politique de confidentialité d’Opera VPN sans s’attarder sur celle du navigateur dans son ensemble. Au regard de la collecte et de la gestion des données personnelles, l’entreprise est assez claire : Opera attribue un numéro d’identification à chaque installation du navigateur. Cet ID est conservé par la société, au même titre que celui de l’appareil. Sont également récupérées des informations ciblées telles que les spécifications matérielles du PC ou du smartphone sur lequel est installé Opera browser, le système d’exploitation, la configuration de l’environnement et les statistiques d’utilisation des fonctionnalités du navigateur (heures, dates et durées des sessions, notamment).

Opera VPN - politique de confidentialité
Opera VPN - politique de confidentialité

En théorie, toutes ces données sont anonymisées et conservées trois ans (obligation RGPD) dans le but d’aider Opera à améliorer et personnaliser ses produits et services, dont les campagnes publicitaires et promotionnelles. À ce sujet, l’entreprise ne se cache d’ailleurs pas de monétiser les informations collectées à partir de l’ID utilisateur et de sa géolocalisation.

Dans ce contexte, Opera VPN échappe seulement à la collecte et au traitement des informations concernant les activités en ligne et l’adresse IP réelle de l’internaute. Rien n’est dit au sujet de l’horodatage, des durées de sessions, des adresses IP factices attribuées, de l’utilisation de la bande passante, ni même de la mise en relation de toutes ces données avec l’ID unique du navigateur.

Dans les conditions d’utilisation (paragraphe 3-f), on apprend également qu’Opera VPN n’est pas une solution de bout en bout (infrastructure en partie dépendante de tiers comme Google). À ce titre, l’entreprise se refuse de garantir la sécurité des informations transmises par le biais de la connexion VPN. Un comble pour un service dédié à l’anonymat, la confidentialité et la protection des données privées.

Siège social et traitement des données en dehors de l’UE

Le flou qui accompagne la gestion des données privées s’étend par ailleurs au-delà de leur collecte et de leur traitement. De notoriété publique, Opera est une société norvégienne dont le siège social est établi à Oslo.

On sait que la Norvège est encadrée par des lois strictes favorables au respect de la vie privée. Suivant cette logique, le pays n’adhère à aucune alliance internationale du renseignement (5, 9, 14 Eyes). En revanche, on sait que les services du renseignement norvégien collaborent de manière épisodique avec les Five Eyes sur des sujets relatifs à l’exploitation des réseaux informatiques.

Toutefois, la juridiction de laquelle dépend Opera n’est pas forcément évidente. On rappelle en effet qu’en 2016, la société a cédé une grande partie de ses activités, dont son navigateur et son VPN, à un consortium d’investisseurs chinois (Beijing Kunlun Tech, Qifei International Development, Keeneyes Futures Holdings, Golden Brick Capital Private Equity Fund) pour un peu moins de 600 millions de dollars. En plus des applications et logiciels compris dans la transaction, les nouveaux propriétaires ont acquis le droit de conserver le nom de la société, Opera Software AS.

L’entreprise norvégienne délestée a, quant à elle, poursuivi ses activités (essentiellement publicitaires et commerciales) sous le nom d’Opera Software ASA pendant un an, avant d’être rebaptisée Otello Corporation.

Aujourd’hui, la marque Opera n’appartient plus qu’au consortium susmentionné. Et bien que l’entreprise ait maintenu son siège social à Oslo, on ne peut faire abstraction de sa nouvelle identité chinoise et de toutes les problématiques liées au respect de la vie privée qui en découlent. Par là même, déterminer de quelle juridiction relève réellement Opera Software AS, et donc Opera VPN, n’a plus rien d’indéniable.

Un sentiment de confusion générale entretenu par un paragraphe tout aussi trouble, situé à la fin de la politique de confidentialité d’Opera (International Data Transfers). On y apprend que les données personnelles collectées peuvent être communiquées à des partenaires (qui ?) exerçant en dehors de l’Union européenne (où ?). Le transfert de ces informations peut également être soumis à un niveau de sécurité autre (comprendre : moindre) que celui imposé par les lois européennes.

Opera VPN - data transfers
Opera VPN - data transfers

Pour seule marque de confiance, Opera affirme exiger de ses partenaires leur adhésion sans réserve aux règles encadrant le transfert des données personnelles en dehors de l’UE.

Audit


Pour la première fois depuis sa création, Opera VPN s’est soumis à un audit externe mené par Cure53. Dans les grandes lignes, différents tests ont été menés par le cabinet indépendant afin de vérifier la sécurité de l’infrastructure backend (réseau, serveurs, etc.) et des clients VPN intégrés à Opera (desktop et mobile). Afin d’effectuer correctement ces vérifications (tests d’intrusion White Box), Cure53 a pu accéder au code source du VPN, ainsi qu’aux détails de configuration, à la documentation et à l’architecture interne.

Dévoilé en mars 2022, le résumé des résultats est accessible sur le site web de Cure53. Au total, quatorze problèmes de sécurité ont été remontés dont huit failles importantes (cinq représentant un risque vraiment élevé). Le cabinet d’audit affirme que les vulnérabilités les plus inquiétantes ont été corrigées dans la foulée et revérifiées par les équipes de Cure53, avant de conclure sur la qualité des mesures de protection mises en place par Opera contre les cyberattaques (mobile, desktop, réseau, serveur).

Opera VPN pour le streaming

Les restrictions imposées par Opera concernant le choix des emplacements VPN ne permettent pas d’accéder aux catalogues des plateformes SVOD dans les pays de son choix, exception faite des États-Unis (seul serveur pour la localisation Amériques). Nos relevés quotidiens nous ont par ailleurs permis d’établir la disponibilité de plusieurs serveurs en Suède et à Singapour.

Curieusement, nous avons pu accéder à Netflix et visionner des contenus sans difficulté depuis les zones Europe et Asie. Plus étonnant encore, Netflix US est librement accessible alors même que l’ensemble des internautes souhaitant obtenir une IP américaine se connectent tous à un unique serveur, trahissant nécessairement le recours (non toléré) à une solution de contournement des restrictions géographiques. Nous n’avons pas non plus rencontré de problèmes pour accéder aux contenus HBO.

Opera VPN - Streaming
Opera VPN - Streaming

Opera VPN nous a également permis de visionner des flux Amazon Prime Video et Disney+ aux États-Unis.

Nous avons eu affaire à quelques surprises concernant Prime Video : pour un emplacement Asie, la plateforme nous a situés en Suède (alors que Netflix nous reconnaît à Singapour). Même scénario pour l’emplacement Europe, Amazon nous détectant aux Pays-Bas quand Netflix nous imagine en Suède (voir paragraphe "Tests de sécurité").

Opera VPN - Streaming
Opera VPN - Streaming

Opera VPN pour le torrent

Opera VPN ne fonctionnant que dans le navigateur, il n’offre aucun avantage ni aucune protection supplémentaire pour le P2P.

Réseau pays et serveurs Opera VPN

Initialement, Opera avait délégué la gestion de toute sa partie VPN à sa filiale canadienne SurfEasy, revendue en 2017. Depuis lors, l’entreprise développe l’intégralité du projet en interne et se garde bien de communiquer en détail sur le nombre de serveurs disponibles.

Outre les trois emplacements génériques proposés dans le sélecteur et la vérification des serveurs à l’utilisation du service, difficile de prendre la mesure exacte du parc dont dispose le service. Nos analyses de vitesse et de sécurité nous ont a priori permis d’établir la présence d’un seul serveur sur le territoire nord-américain (Washington). En revanche, la diversité des adresses IP attribuées pour les zones Asie et Europe nous a permis de compter une vingtaine de serveurs supplémentaires ailleurs dans le monde.

Ce décompte n’a évidemment rien d’officiel, mais on en profite pour rappeler qu’un nombre trop limité de serveurs implique des surcharges, des ralentissements, des instabilités et des blocages plus récurrents des connexions.

Enfin, comme nous avons pu le constater au cours de nos vérifications de sécurité, l’entreprise n’est pas propriétaire de ses DNS et passe par ceux de Google. Une information à mettre en parallèle avec les pratiques floues de gestions des données par Opera, et qui soulève des questions vis-à-vis du respect de l’anonymat et de la confidentialité de ses utilisateurs.

Opera VPN - DNS
Opera VPN - DNS

Opera VPN sur iPhone et Android

Jusque fin 2018, Opera VPN était disponible sur Android en tant que standalone. Aujourd’hui, la fonctionnalité a été absorbée par le navigateur mobile et propose les mêmes options que sur Windows ou Mac, emplacements de connexion compris. Par là même, le proxy n’est actif qu’au sein du navigateur et ne protège donc pas le reste du smartphone (applis et réseau).

Opera VPN sur Android
Opera VPN sur Android

Opera VPN n’existe plus sur iPhone, ni comme application à part entière, ni en tant que fonction pour Opera browser.

Les autres fonctionnalités d’Opera VPN

Ni kill switch – pourtant indispensable –, ni extension de navigateur, ni IP fixe : tout ce qu’il y a à savoir et à découvrir au sujet d’Opera VPN a déjà été abordé, ce qui en fait une solution plutôt incomplète.

Le service s’essaie toutefois à une forme de split tunneling avec l’option de contournement du proxy pour les moteurs de recherche. Soit.

Conclusion et avis

S’il ne fallait retenir qu’une seule chose de cet avis, c’est qu’Opera VPN n’est certainement pas à la hauteur de la sécurité et de la confidentialité qu’il se plaît à mettre en avant. Une conclusion tranchée qui découle de nombreuses recherches et de tests techniques nous ayant conduit à mettre en évidence trois points importants. Ces éléments doivent vous pousser à réviser votre choix si vous cherchez une solution de protection fiable pour vos données personnelles et votre anonymat.

Premièrement, Opera VPN n’est pas un VPN, comme l’indique son appellation trompeuse, mais un simple proxy. À ce titre, et en l’absence de protocole VPN, il ne garantit pas plus de protection concernant le trafic que n’en proposent la plupart des sites web HTTPS.

Deuxièmement, Opera VPN certifie le chiffrement 256 bits des données utilisateur. Nos analyses WireShark et nos vérifications de configuration des suites de chiffrement TLS prises en charge par Windows 11 nous ont prouvé que le niveau de sécurité effectif était moindre que celui promis (AES-128).

Enfin, la politique de confidentialité trouble d’Opera ainsi que le brouillard entourant l’identité de la société mère du navigateur et sa juridiction entretiennent une confusion palpable autour de la gestion des informations collectées par le service. Dès lors que le doute s’installe, il nous semble impossible d’enjoindre les internautes à faire confiance à Opera VPN pour espérer protéger leur vie privée et rester anonyme en ligne.

Finalement, le seul point positif d’Opera VPN réside dans sa capacité à contourner les restrictions Netflix. Mais même là, le service ne convainc pas outre mesure, alors que, surchargé, le seul serveur disponible aux États-Unis offre des débits bien trop faibles pour que l'on puisse espérer profiter d’une expérience de streaming fluide et confortable.

3

En se présentant comme un VPN gratuit et illimité, Opera VPN joue la carte de la malhonnêteté. Ce proxy basiquement sécurisé (HTTPS/TLS, AES-128, absence de kill switch) n’offre aucune garantie de sécurité en plus de ce que proposent la majorité des sites et serveurs web existants. On lui reproche également une gestion trouble des données personnelles collectées que le rachat d’Opera par un fonds d’investissement privé chinois ne fait qu’opacifier.
On lui reconnaît toutefois sa capacité à contourner les mesures anti-VPN et anti-proxy mises en place par les plateformes de streaming (Netflix, Amazon Prime Video, HBO). Mais les restrictions de choix d’emplacements imposées par le service ainsi que le nombre limité de serveurs disponibles ne permettent pas d’accéder à des contenus géorestreints précis, ni d’en profiter sans interruptions systématiques.

Les plus

  • Gratuit et illimité
  • Facile à configurer et à prendre en main
  • Accès au catalogue Netflix US

Les moins

  • Ne protège que le navigateur Opera
  • Simple proxy
  • Sécurité basique HTTPS/TLS, AES-128
  • Pas de kill switch
  • Impossible de choisir une localisation précise
  • Peu de serveurs
  • Un seul serveur aux USA (lent)
  • DNS Google
  • Politique de confidentialité floue

Chloé Claessens

Je démonte, je remonte, je répare, je bidouille, j’expérimente, je détourne, je façonne, je recommence. Acharnée, rien ne m’électrise plus que de passer des heures à essayer de comprendre le pourquoi...

Lire d'autres articles

Je démonte, je remonte, je répare, je bidouille, j’expérimente, je détourne, je façonne, je recommence. Acharnée, rien ne m’électrise plus que de passer des heures à essayer de comprendre le pourquoi du comment, jusqu’à ce que ça fonctionne. Si je ne suis pas derrière mon écran à tester des softs ou à écrire sur la Silicon Valley, vous me trouverez au potager à configurer un circuit d’irrigation connecté, alimenté en énergie solaire.

Lire d'autres articles
Cet article contient des liens d'affiliation, ce qui signifie qu'une commission peut être reversée à Clubic. Les prix mentionnés sont susceptibles d'évoluer. 
Lire la charte de confiance
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page