Même lorsque certains fournisseurs de VPN payants ont du mal à garantir la confidentialité des utilisateurs, il serait naïf d’espérer une protection parfaite de la part d’un VPN totalement gratuit.
L’option d’utiliser un VPN gratuit est toujours tentante. D’ailleurs, j’en utilise un moi-même (je vous en parlerai) pour des recherches générales et pour vérifier les versions internationales de certains sites web.
Dans cet article, je vais vous expliquer comment choisir un VPN gratuit, quels sont les risques généralement associés à ces services et s’il existe des fournisseurs de VPN réellement gratuits. De plus, je partagerai quelques exemples concrets qui ont démenti les allégations de confidentialité de certaines entreprises de VPN.
En fin de compte, ce sujet concerne les VPN en général, car même les VPN payants ne sont pas aussi irréprochables qu’ils veulent bien le faire croire.
Allons-y !
VPN et confidentialité
Je n’oserais pas qualifier les VPN, qu’ils soient gratuits ou payants, de produits « axés sur la confidentialité ».
Certes, vous bénéficierez d’une sécurité acceptable, mais la confidentialité totale devient un leurre dès que vous vous connectez à Internet, même en utilisant les meilleurs VPN dits « sans logs ». Leurs politiques de confidentialité contiennent des subtilités et leurs structures d’entreprises sont tellement complexes qu’on peut affirmer sans risque que l’anonymat complet n’est pas à l’ordre du jour.
Par ailleurs, je doute qu’il soit possible de fournir de tels services sur Internet sans enregistrer quoi que ce soit.
Et pour être honnête, c’est un peu comme choisir entre la peste et le choléra. Au lieu de faire confiance à votre fournisseur d’accès Internet et au gouvernement, vous confiez vos données à une entité basée dans un pays étranger dont vous ignorez tout. C’est peut-être plus risqué que vous ne le pensez.
Il est essentiel de comprendre que l’utilisation d’un VPN doit être une décision éclairée, en sachant pertinemment qu’un certain partage de données est inévitable. Ainsi, la prochaine fois que vous chercherez un VPN pour le streaming, vous saurez à quoi vous attendre.
Cependant, un utilisateur « lambda », qui ne se livre pas à des activités illégales, n’a pas grand-chose à craindre et peut tout à fait se fier à de bons VPN 👍.
L’utilisation idéale d’un VPN, selon moi, devrait être le divertissement sans restrictions, la sécurité sur les réseaux Wi-Fi publics, une confidentialité générale (mais pas absolue) et l’accès à des ressources spécifiques pour les personnes vivant dans des régimes restrictifs sur Internet.
Mais je parlais de bons VPN, qui sont généralement payants. Qu’en est-il des autres ?
Services VPN gratuits
Difficile d’échapper à l’adage « si c’est gratuit, c’est vous le produit ».
Analysons un cas concret pour comprendre comment ces entreprises procèdent.
Voici un extrait de la FAQ du service Hola VPN, qui propose une version gratuite :
Source: Hola
Cet exemple montre qu’ils indiquent clairement que les utilisateurs sans Hola VPN partagent leur bande passante inactive avec d’autres utilisateurs (bravo pour la transparence, mais attendez…). Ensuite, ils précisent que seules les requêtes spécifiques provenant de sites mis sur liste blanche (sans plus de détails) seront acheminées.
En tant qu’utilisateur, j’aimerais davantage de précisions sur la façon dont Hola utilise « certaines ressources de mon appareil ». Par exemple, dans quelle mesure et comment précisément utilisent-ils ces ressources ? Est-ce que quelqu’un utilise Internet pour faire tout et n’importe quoi avec mon adresse IP ?
Ils renvoient ensuite les utilisateurs à leurs conditions générales d’utilisation, où j’ai trouvé une explication sur la façon dont ils maintiennent la gratuité du service :
Il est précisé que l’utilisateur gratuit « peut » devenir un pair du réseau Bright Data (co-fondé par le même propriétaire), une entreprise proposant des solutions de proxy web et de récupération de données.
De plus, les utilisateurs gratuits acceptent automatiquement le SLA de Bright Data SDK. Le lien m’a mené au contrat de licence d’utilisateur final du SDK Bright Data, qui suppose également que l’utilisateur accepte leur politique de confidentialité. J’ai parcouru les deux documents et n’ai pas trouvé le mot « Hola ».
Je pense que vous comprenez l’importance des « structures d’entreprises complexes » et pourquoi les experts en sécurité déconseillent l’utilisation de services VPN gratuits.
Mais ce n’est pas tout.
Risques liés à l’utilisation des services VPN (gratuits)
L’exemple ci-dessus n’est que la partie émergée de l’iceberg 🧊, et l’utilisation d’un VPN gratuit peut engendrer des conséquences désagréables.
- Antécédents douteux de l’entreprise : la plupart du temps, les fournisseurs de VPN 100% gratuits n’ont aucun lien avec de vraies personnes. De plus, il peut exister des preuves de pratiques commerciales douteuses qui incitent à la méfiance.
- Collecte et partage de données : pour compenser la gratuité du service, ils peuvent partager des informations personnelles avec des entreprises tierces (principalement des annonceurs) ou les vendre sur le dark web.
- Sécurité insuffisante : comment peuvent-ils se permettre d’embaucher des développeurs qualifiés s’ils continuent à offrir des services entièrement gratuits ? Cela se traduit par une expérience utilisateur bâclée et des protocoles de sécurité de qualité médiocre.
- Distribution de logiciels malveillants : c’est un risque grave potentiel lié à l’utilisation d’un VPN gratuit. Dans ce cas, le service peut paraître attrayant, mais le processus de monétisation est malhonnête et dissimulé. Cela peut infecter votre appareil avec des logiciels malveillants tels que des logiciels espions ou des rançongiciels, entraînant de graves conséquences.
- Partage de ressources : bien que Hola l’ait mentionné dans sa FAQ, ces informations peuvent aussi être dissimulées dans les conditions d’utilisation et les politiques de confidentialité que la plupart des utilisateurs ne lisent jamais.
- Publicités : un service VPN gratuit peut être envahi de publicités, que ce soit dans l’interface utilisateur, dans le navigateur, ou en redirigeant les utilisateurs vers des sites web différents.
- Performances limitées : c’est une conséquence inévitable des services VPN gratuits légitimes. Ils proposent souvent des forfaits de base gratuits pour inciter certains utilisateurs à passer à un abonnement payant à terme.
Voilà quelques-uns des risques associés à l’utilisation de ces services gratuits.
Voyons maintenant quelques exemples qui illustrent les problèmes qui peuvent survenir avec une société VPN, qu’elle soit gratuite ou payante.
IPVanish
IPVanish, un VPN basé aux États-Unis, qui se dit « sans logs et audité indépendamment », a collaboré avec le département américain de la Sécurité intérieure en 2016 pour leur fournir les données personnelles d’un utilisateur, notamment son nom complet, son adresse e-mail, son adresse IP, etc.
L’affaire concernait le stockage et la diffusion de pornographie infantile, et je suis ravi que le délinquant ait été puni.
Cependant, cet incident a prouvé qu’IPVanish conservait bien des logs, malgré ce qu’elle prétendait.
Suite à cet événement, IPVanish a été vendue à StackPath en 2017.
PureVPN
PureVPN est un autre fournisseur qui a collaboré avec les forces de l’ordre (FBI), ce qui a conduit à l’arrestation de l’un de ses utilisateurs.
Cette fois, il s’agissait d’un cyberharceleur utilisant son service VPN « sans logs ». Néanmoins, le fournisseur de VPN a été en mesure de fournir toutes les informations personnelles nécessaires, notamment l’adresse IP réelle, permettant finalement de relier l’activité illégale à son auteur.
Encore une fois, félicitations aux forces de l’ordre pour avoir arrêté le criminel.
Cependant, cela soulève des questions quant à la signification de l’expression « sans logs » pour les sociétés de VPN, qui semble être davantage un argument marketing qu’une réalité.
HideMyAss
Cette fois, c’est un membre du groupe de hacktivistes LulzSec qui pensait que l’utilisation d’un VPN était un blanc-seing pour faire n’importe quoi en ligne.
Plus précisément, un membre de LulzSec a mené une cyberattaque contre Sony Pictures Entertainment en utilisant le service VPN HideMyAss (HMA) en 2011.
HMA était déjà au courant de l’implication des membres du groupe de hackers dans l’utilisation de leurs services grâce à une fuite en ligne, mais n’a rien fait, faute de preuves d’une quelconque activité illégale.
Une décision de justice a changé la donne, et l’affaire s’est terminée par l’arrestation du hacker grâce à la coopération de HMA avec le FBI.
Personnellement, je suis opposé à toute forme d’activité criminelle, en ligne ou hors ligne, avec ou sans connexion VPN. Cependant, le fait que « peu » de ces cas soient connus prouve une chose : les VPN ne sont pas conçus pour garantir une confidentialité absolue, surtout vis-à-vis des forces de l’ordre.
De plus, certaines entreprises peuvent conserver les informations personnelles de leurs utilisateurs, même si leur site web affiche clairement la mention « sans logs ».
Il serait toutefois injuste de ne pas mentionner les exemples suivants, qui prouvent qu’il existe des entreprises qui protègent davantage la vie privée de leurs clients.
- Les autorités suédoises n’ont rien trouvé lorsqu’elles ont saisi un serveur VPN Mullvad le 18 avril 2023. Cela correspond à la politique de confidentialité de Mullvad, qui stipule que « les données de ses clients n’existent pas » puisqu’ils ne conservent rien.
- De même, la saisie par les autorités turques des serveurs d’ExpressVPN en 2017 a validé les affirmations du fournisseur de VPN selon lesquelles il ne conserve aucune information sur ses utilisateurs.
Vous voyez, il n’existe pas de ligne directrice fixe pour définir un bon VPN ou pour le distinguer d’un mauvais.
Choisir un bon VPN (gratuit ou payant)
Mes deux années d’expérience personnelle et de recherches sur ces outils m’ont permis d’acquérir quelques conseils à partager avec vous.
Je ne vais pas m’étendre sur les fonctionnalités VPN à rechercher. Il s’agit plutôt d’une enquête générale que vous devriez mener sur l’entreprise si la confidentialité est votre priorité.
#1. Juridiction
L’utilisateur lambda ne le sait peut-être pas, mais il existe des alliances de surveillance à l’échelle mondiale qui permettent aux pays de partager les données de leurs citoyens. Les groupes les plus connus sont les alliances des cinq, neuf et quatorze yeux.
A minima, un utilisateur soucieux de sa vie privée devrait opter pour une entreprise de VPN dont le siège social ne se situe PAS dans l’un de ces pays.
De plus, les acheteurs devraient éviter les fournisseurs de VPN basés dans des régimes autoritaires.
#2. 100% gratuit ?
Il est fort probable qu’une entreprise qui propose des services VPN uniquement et totalement gratuits adopte une approche « non professionnelle ».
Comme je l’ai déjà mentionné, les entreprises offrent des services gratuits en espérant que vous passerez à leurs forfaits payants. De plus, cela les aide à se faire connaître grâce au bouche-à-oreille.
Mais cela ne signifie pas que tous les fournisseurs de VPN payants sont excellents.
Si cela vous intéresse, ProtonVPN propose une option gratuite que je considère comme « sûre ». Windscribe est une autre alternative gratuite, mais elle est basée au Canada, un pays membre de l’alliance Five Eyes.
#3. Historique de service
L’histoire nous enseigne beaucoup, notamment les sociétés de VPN à éviter.
En tant qu’utilisateur, vous pouvez effectuer une recherche rapide sur Google avec des expressions telles que « Nom de l’entreprise VPN » + données utilisateur divulguées ou « VPN » + fuite de données. Cela vous permettra de savoir s’il y a des problèmes.
De plus, vous pouvez consulter Reddit pour obtenir des avis « impartiaux ». Mieux encore, demandez à votre entourage quel service VPN ils utilisent.
Sachez que des rachats peuvent avoir lieu, ce qui peut annoncer une refonte totale des politiques opérationnelles. Il vous appartient de faire confiance ou non aux nouveaux propriétaires.
#4. Équipe fondatrice
Consultez la section « À propos » d’un site web de VPN et recherchez des informations concernant de vraies personnes.
C’est généralement un signe d’alerte majeur si vous ne parvenez pas à identifier les fondateurs ou les personnes travaillant pour l’entreprise. Dans l’idéal, vous devriez voir des photos et leurs profils sur les réseaux sociaux.
Le minimum qu’un VPN puisse faire est de fournir des détails sur sa société mère, si c’est le cas.
Personnellement, je n’utilise aucun service, et encore moins un VPN, s’il n’y a pas d’informations de ce type sur son site web.
Optez pour un VPN payant de qualité !
Il n’y a pas d’alternative aux VPN payants pour les utilisateurs intensifs. Les VPN gratuits de qualité ou les versions gratuites des VPN premium auront des restrictions auxquelles vous ne pourrez pas échapper.
Rappelez-vous que les VPN 100% gratuits disposent d’un mécanisme pour générer des revenus, même si cela ne semble pas évident de prime abord. Ce n’est pas nécessairement une question d’argent ; ils peuvent chercher à couvrir leurs coûts par d’autres moyens, notamment en vendant vos données personnelles, votre bande passante, en diffusant des publicités, en installant des logiciels malveillants sur vos appareils, etc.
Soyez l’utilisateur et non le produit.
Je vous quitte 🫡.
PS : Curieux de connaître la vitesse de votre VPN ? Voici comment tester la vitesse de votre VPN ?