Tor et VPN : quelles différences ?

29 novembre 2020 à 09h45
Sponsorisé par
ExpressVPN
0
Sponsorisé par ExpressVPN

Dans le cadre d’une navigation réellement privée et sécurisée, deux options reviennent régulièrement sur le tapis : le réseau Tor et la souscription à un VPN .

Sujettes à toutes les comparaisons, ces deux solutions font état d’autant de points communs que de divergences. Alors, pour quel outil opter ? Décryptage de deux systèmes qui s’appliquent essentiellement à des usages différents.

Tor ? VPN ? Quésaco ?

Ils participent tous deux à la protection de la vie privée sur Internet. Pour autant, il s’agit bel et bien de deux systèmes différents. Alors, que sont-ils, au juste ?

Pour bien comprendre leurs rôles respectifs, il convient de revenir sur la manière dont fonctionne une connexion à Internet. Basiquement, lorsqu’on navigue sur le web (recherche Google, saisie d’une adresse dans la barre d’URL, visite de plusieurs pages sur un site), on formule une requête sur la machine locale (PC, tablette, smartphone) qui transite via les serveurs d’un fournisseur d’accès à Internet avant de se connecter aux serveurs du service sollicité. Le FAI fait donc office de passerelle entre l’appareil, auquel est attribuée une adresse IP, et Internet. Son positionnement stratégique lui permet d’accéder aux informations d’identification de l’utilisateur et de son équipement, ainsi qu’aux données relatives à la connexion (durée, sites web visités, temps passé sur une page, fichiers téléchargés, etc.). Surfer sur le web revient à céder de nombreuses informations personnelles à un tiers, même en navigation privée.

C’est face à ce constat mi-effrayant, mi-oppressant, que se pose l’éventualité du recours à un VPN ou à Tor.

Un VPN (Virtual Private Network, ou réseau privé virtuel en français) est un outil permettant d’isoler des données du reste du trafic qui transite via le schéma de réseau traditionnel. En pratique, le VPN crée un tunnel de connexion virtuel entre l’ordinateur et les serveurs du service. Les requêtes formulées sont chiffrées localement, empruntent le tunnel virtualisé de manière sécurisée et sont déchiffrées sur le serveur du VPN avant de transiter à nouveau sur le réseau Internet. Les FAI sont clairement écartés et ne peuvent à aucun moment accéder au détail de la navigation. Pour faire transiter sa connexion par un VPN, il est essentiel d’installer un logiciel ou une application client sur l’appareil dont on se sert pour naviguer sur le web.

Tor, pour The Onion Router, est un réseau mondial décentralisé auquel on accède notamment via le navigateur Tor Browser. Contrairement au VPN, il ne centralise pas les connexions sur les serveurs d’une seule entité, mais établit un circuit de relais aléatoires, renouvelé toutes les dix minutes, par lesquels transitent les données de connexion. Autrement appelés nœuds, ils sont hébergés par les autres utilisateurs du réseau. Dans le détail, la connexion de l’utilisateur est sécurisée par un chiffrement à trois couches. Lorsqu’une requête est formulée, elle passe par un premier nœud qui déchiffre une couche révélant les informations de destination du prochain nœud. Le second nœud déchiffre la seconde couche pour relayer la connexion vers le troisième nœud. Enfin, ce dernier nœud, dit de sortie, déchiffre la troisième couche et redirige la connexion vers le site que l’on cherche à atteindre.

Pourquoi chiffrer et anonymiser sa connexion Internet ?

Qu’il s’agisse de Tor ou d’un VPN, les promesses de chiffrement et d’anonymat sont bien là. Outre la possibilité de passer sous le radar de FAI quasi omniscient, sécuriser ses activités en ligne de la sorte permet d’échapper aux surveillances gouvernementales, au pistage opéré par les sites web et aux tentatives de piratage.

Il existe un argument récurent consistant à rétorquer que l’on n’a rien à cacher. Par conséquent, recourir à l’une ou l’autre de ces solutions trahirait un aveu de culpabilité criminelle. Or, dans le cadre d’un web classique parfaitement transparent, il est plus que légitime d’aspirer à l’anonymat et au chiffrement de ses informations personnelles. On pense aux dissidents russes et chinois, aux journalistes et blogueurs exerçant dans des pays où la liberté d’informer est mise à mal, aux lanceurs d’alertes, mais également aux utilisateurs lambdas soucieux de protéger leurs identifiants de connexion, leurs habitudes de navigation, leur vie privée, tout simplement.

Quelles que soient les raisons qui poussent à opter pour Tor ou un VPN, anonymat et chiffrement sont intrinsèquement liés. On ne peut que partiellement espérer protéger ses activités en ligne si l’un ou l’autre de ces paramètres n’est pas respecté.

Avantages, inconvénients et risques liés à l’utilisation de Tor ou d’un VPN

On l’a vu, anonymat et chiffrement des données comptent parmi les avantages les plus importants du recours à Tor ou à un VPN. Mais la liste des bénéfices ne s’arrête pas là. Au même titre que chacune de ces solutions éprouve inconvénients et risques.

Solidité et confidentialité

Tor, grâce à sa structure décentralisée et son circuit de relais, garantit un niveau de sécurité très élevé, aussi bien concernant l’identité de l’utilisateur que de ses données de connexion. Si l’on reprend le schéma expliqué ci-dessus (trois couches de chiffrement, trois nœuds), on comprend aisément que seul le premier nœud peut obtenir des informations concernant la provenance de la connexion tandis que le dernier nœud prend connaissance du contenu de la requête et de la destination. Le nœud intermédiaire empêche, quant à lui, aux nœuds d’entrée et de sortie de communiquer sur les informations qu’ils détiennent. Par là même, le renouvellement régulier des circuits de connexion rend impossible l’identification d’un utilisateur en particulier.

Un mode de fonctionnement plus solide que celui appliqué par un VPN qui se contente d’établir un seul relais de connexion. Par ailleurs, le service centralise toutes les connexions sur ses propres serveurs. Et bien que souvent chiffrées sur la machine de l’utilisateur, elles sont indéniablement déchiffrées sur les serveurs du VPN. Par conséquent, il est tout à fait plausible qu’en lieu et place du FAI, ce soit l’éditeur du VPN installé qui collecte et consigne les informations d’identification et de connexion. Et ce même s’il affirme appliquer une politique « no log ».

On n’oublie cependant pas que l’utilisation de Tor ne protège pas complètement des tentatives de journalisation des activités. Il peut arriver qu’un administrateur logue les connexions à son serveur Tor. Néanmoins, la multiplication des nœuds permet de minimiser les interceptions de données. Par ailleurs, il faut toujours veiller à privilégier les connexions HTTPS et les adresses en .onion pour parer les risques liés à un nœud de sortie corrompu.

Côté VPN, nul n’est à l’abri de crashs ou d’erreurs qui pourraient laisser fuiter des données personnelles. Des aléas auxquels tentent de remédier certains services comme ExpressVPN grâce au « killswitch », option d’urgence qui bloque instantanément le trafic Internet en cas d’interruption inattendue de la connexion VPN.

Enfin, le caractère open source de Tor implique que n’importe quel hacker peut en analyser le code, découvrir des vulnérabilités et les exploiter tant qu’aucun correctif n’a été déployé.

Couverture

Alors qu’il est impératif de passer par Tor Browser, Tails (distribution GNU/Linux) ou tout autre système compatible avec Tor pour profiter de la protection promise par le réseau, le VPN couvre l’ensemble des applications et logiciels connectés à Internet installés sur l’appareil.

Dans les deux cas, en plus masquer son adresse IP, l’utilisateur est en mesure de dissimuler sa géolocalisation, et donc de contourner la censure géographique liée aux politiques de certains pays et services web.

Tarifs, maintenance et rapidité de connexion

Tor est gratuit et maintenu par une communauté de bénévoles actifs. Cependant, malgré des efforts louables, la multiplication des nœuds lui vaut d’essuyer des ralentissements de connexion.

On pourrait s’interroger sur d’éventuelles pressions subies par les individus porteurs du projet (développeurs, chercheurs en sécurité, data analysts, etc.). La plupart des identités étant connues du grand public, nul doute que des organisations comme la NSA ont tenté, et tentent encore, d’obtenir des informations sur les utilisateurs du réseau. Une question que l’on peut également soulever au sujet des sociétés éditrices de VPN.

Côté VPN, le modèle économique diffère. On trouve généralement les prestations offertes d'un côté, et les abonnements de l'autre. Bien qu’opter pour un service gratuit soit séduisant, surtout dans le cadre d’une utilisation ponctuelle, mieux vaut s’en abstenir. À terme, il faut bien que les entreprises se rémunèrent. Et si ce n’est en faisant souscrire un abonnement payant, alors on peut légitimement craindre pour la confidentialité de ses données privées.

En outre, opter pour une formule payante offre quelques garanties supplémentaires concernant la maintenance du service, la stabilité et la fluidité des connexions. Car sur dernier ce point, la plupart des VPN assurent des connexions plus rapides que celles transitant par Tor.

Dernier point à prendre en compte : la pérennité du service. Alors qu’il serait inenvisageable de mettre Tor à terre du fait de sa structure décentralisée et distribuée, il est facile de faire fermer un service VPN.

Quid de l’utilisation combinée de Tor et d’un VPN ?

C’est une possibilité envisageable. Puisque chaque solution présente des avantages et des inconvénients complémentaires, l’idée d’utiliser Tor via un VPN ou un VPN via Tor peut sembler judicieuse.

Dans le premier cas (Tor via VPN), le nœud d’entrée de Tor n’aura pas accès à l’adresse IP réelle de l’utilisateur, mais à celle générée par le VPN. Inconvénients : l’éditeur VPN a connaissance de la véritable adresse IP de l’utilisateur et sait qu’il se connecte à Tor. Encore une fois, il est important de faire confiance à son fournisseur.

Dans le second cas (VPN via Tor), le fournisseur VPN connaît non pas la véritable adresse IP de l’utilisateur, mais celle générée par le nœud de sortie. Il est donc impossible pour un serveur VPN d’identifier l’internaute, même s’il recueille et logue ses informations de connexion. Plus sûre que la première solution évoquée, la connexion à un VPN via Tor présente tout de même une vulnérabilité : la persistance d’un point de connexion fixe (le serveur VPN) dans la chaîne de relais renouvelés de Tor.

Alors, Tor ou VPN ?

Au final, s’il fallait trancher, il faudrait identifier et analyser ses habitudes de navigation. La complexité et la solidité de sa structure font de Tor un allié des utilisateurs expérimentés, qui connaissent les risques auxquels ils s’exposent en passant par le réseau (nœuds de sortie corrompus, connexions HTTP non sécurisées, failles liées à JavaScript, etc.). Il faut également savoir que plus les utilisateurs de Tor sont nombreux, plus il y a de nœuds différents et plus il est facile de brouiller les pistes face à la surveillance et aux pirates.

reseau

Plus facile d’accès et plus rapide, le VPN s’adresse principalement au grand public soucieux de préserver son anonymat et de sécuriser des données personnelles plus tangibles (identifiants de connexion, numéros de compte bancaire, etc.). Dans le cadre d’une connexion à un réseau public (Wi-Fi d’université, d’entreprise, d’hôtel, de restaurant), c’est également vers le VPN qu’il faut se tourner, tout en gardant à l’esprit que le fournisseur connaît la véritable adresse IP de l’utilisateur et peut loguer son historique de navigation.

Et si l’on préfère coupler la sécurité de Tor aux performances du VPN, il vaut mieux privilégier la connexion VPN via Tor afin de masquer son adresse IP au fournisseur VPN et de transmettre l’adresse du VPN au nœud de sortie qui, en cas de corruption, pourra très difficilement identifier la provenance de la connexion. Pour garantir une perte minime de performances lors de l'usage conjoint de Tor et d'un VPN, nous vous conseillons ExpressVPN et son protocole Lightway.

L'affiliation sur Clubic

Le contenu sur Clubic étant entièrement gratuit, l'affiliation est utilisée pour financer le site. Cet article contient donc des liens d'affiliation. Ainsi, lorsque vous achetez via un lien sur notre site, cela ne vous coûte pas plus cher, mais une commission d'affiliation est reversée à Clubic. Consultez notre charte  pour en savoir plus.

Article proposé et conçu par La Rédaction Clubic en partenariat avec ExpressVPN
Lire la charte de confiance
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
1

Lectures liées

Pegasus : Macron demande des clarifications aux autorités israéliennes
Face au blocus des communications à Cuba, les USA envisagent de déployer Internet via des ballons
Cyberattaque : la France est dans le viseur de hackers chinois
Vous pouvez vérifier si votre mobile a été infecté par le logiciel Pegasus, voici comment !
Intel serait en pourparlers pour racheter GlobalFoundries, deuxième plus gros fondeur au monde
Xbox : une mise à jour de l'application familiale pour mieux contrôler les dépenses des enfants
PrintNightmare : le patch ne suffit pas, il faut éditer la base de registre...
La Commission européenne repousse son projet de taxe numérique à octobre
Droits voisins : l'Autorité de la concurrence inflige une amende de 500 millions d'euros à Google
Intel : bientôt une usine en France ?
Haut de page