vpn dangers

Face aux tarifs parfois élevés des meilleurs VPN, nombreux sont celles et ceux à se tourner vers des offres gratuites. Une bonne affaire en apparence qui, dans bien des cas, a tôt fait de virer au cauchemar pour la sécurité des données personnelles.

Pourquoi utiliser un VPN ?

Une navigation privée pas si privée

En navigation classique comme en mode incognito, surfer sur le web laisse des traces qui permettent d’identifier et de pister les activités en ligne des internautes.

Premier marqueur : l'adresse IP

Attribué de manière arbitraire et personnelle par le FAI, l’adresse IP associe les appareils connectés à Internet (box ou réseau mobile) à un contrat client. Contrat auquel sont notamment rattachées les informations de facturation (nom, prénom, adresse, numéro de téléphone, moyen de paiement) et d’utilisation (dates et heures de connexion à Internet, durée des sessions, sites visités, temps passé sur chaque page consultée) de l’abonné.

Si l’adresse IP sert d’abord à identifier l’internaute auprès du fournisseur d’accès à Internet, son caractère public permet également aux plateformes web de le repérer en tant que visiteur unique, et d’analyser son parcours de navigation sur les pages web qu’elles administrent.

En plus de dévoiler ses activités intrasites, l’IP publique révèle quelques données personnelles, comme une estimation de la position géographique et le nom du FAI. De ces deux informations, les sites web ne peuvent pas faire grand-chose. Au mieux, elles établissent des statistiques. Au pire, elles peuvent éventuellement bloquer l’accès à des contenus dits géorestreints. On pense, par exemple, aux services de streaming dont les catalogues diffèrent d’un pays à un autre en fonction des accords d’exploitation et de diffusion des œuvres signés dans chaque région où ils opèrent.

blocage vpn amazon

Second marqueur : les cookies et autres trackers

Dans la majorité des cas, ces dispositifs de suivis en ligne sont déposés dans le navigateur et permettent aux éditeurs comme aux annonceurs de suivre avec précision, et dans le temps, la fréquence et la durée des visites des internautes. Outre les données de navigation au sein du domaine, certaines balises collectent des informations sur les spécifications techniques de l’appareil utilisé pour surfer sur Internet (type, système d’exploitation, numéro de version, applications et logiciels utilisés pour consulter le site web). D’autres outils comme les cookies intersites sont capables de tracer les activités en ligne des utilisateurs et utilisatrices sur l’ensemble des sites hébergeant des publicités gérées par un même annonceur.

Toutes ces informations sont bien évidemment collectées, conservées, croisées dans le but de générer un profil marketing très détaillé de l’internaute, vendu à prix d’or aux annonceurs.

Troisième marqueur : le fingerprinting.

Bien que fleurissent de plus en plus de boucliers anti-suivis efficaces, la lutte contre le traitement des empreintes numériques de navigateurs se révèle autrement plus ardue. Pour rappel, le fingerprinting consiste en la collecte de toutes les données techniques délivrées par l’interface de navigation. Cela comprend le fuseau horaire, la version du navigateur, la configuration du navigateur (affichage des barres de favoris, d’outils, d’adresse), les extensions installées, la langue, mais également type d’appareil utilisé pour se connecter à Internet, la résolution de l’écran, la version du système d’exploitation, l’agencement du clavier, les polices de caractères installées, l’état et l’utilisation de la batterie, la présence ou non d’un gyroscope, d’un capteur de proximité, d’une webcam, d’un haut-parleur, d’un micro… Autant d’informations qui font du navigateur de l’internaute une interface unique, permettant d’identifier avec précision un visiteur parmi les autres, même s’il a bloqué les cookies tiers et activé le mode incognito.

Un VPN pour masquer son IP et ses données privées

Au regard de toutes les technologies plus ou moins sophistiquées développées pour pister et analyser les profils d’internautes, difficile de s’en départir avec les seuls outils de lutte anti-suivi intégrés aux navigateurs les plus populaires. C’est ici que l’utilisation d’un VPN prend tout son sens.

Pour faire simple, un VPN, ou réseau privé virtuel, consiste en un dispositif permettant de chiffrer, d’isoler et de dévier la connexion Internet via un serveur intermédiaire avant de la réacheminer vers le serveur web interrogé.

Concrètement, les données de trafic sont chiffrées localement sur la machine de l’internaute, circulent via un tunnel généré par un protocole VPN sécurisé, à l’écart du trafic Internet public (HTTP/HTTPS), et rebondissent sur un serveur VPN, virtuellement ou physiquement localisé dans un pays choisi par l’utilisateur en amont de la connexion.

Une fois réceptionnée par le serveur VPN, la connexion est déchiffrée et emprunte l’adresse IP dudit serveur, avant d’être redirigée vers la plateforme web cible via le réseau Internet public.

En suivant un tel schéma, il est extrêmement difficile d’intercepter la connexion entre l’appareil et le serveur VPN, et impossible d’en déchiffrer le contenu. Et si le FAI peut toujours voir que l’on se connecte à un service VPN, il n’est plus en mesure de connaître les plateformes et pages web consultées. Par là même, les sites Internet ne peuvent plus identifier ni localiser l’internaute, l’adresse IP qui leur est transmise correspondant en réalité à celle du serveur VPN intermédiaire.

En clair, l’utilisateur profite d’un anonymat et d’une sécurité renforcés vis-à-vis de tous les tiers pouvant tirer profit de ses données de connexion (FAI, hackers, éditeurs et annonceurs).

Comment les VPN gratuits se financent-ils ?

Pour qu’un service VPN soit pleinement fonctionnel, il lui faut travailler au développement d’une infrastructure réseau étendue, performante, stable et sécurisée, mais également déployer des clients logiciels sur un maximum de plateformes et mobiliser une assistance technique réactive. Une gestion et une maintenance qui engendrent des coûts (techniques, salariaux), que les entreprises répercutent la plupart du temps sur leurs abonnements.

À mesure que l’offre VPN payante s’est étoffée, de nombreux acteurs du secteur ont pris le parti de séduire les internautes en proposant des services gratuits. Une stratégie en apparence bénéfique pour les internautes, mais qui dissimule en réalité bien des dangers. Il faut bien, en effet, que ces entreprises y trouvent leur compte financièrement. Et, dans la majorité des cas, ce sont les données personnelles qui trinquent. Un comble quand on choisit justement de se tourner vers une solution VPN pour protéger son anonymat et ses informations sensibles.

1 - La publicité intégrée

Principale source de revenus des VPN gratuits, la publicité envahit souvent les clients logiciels et applications mobiles déployées par les fournisseurs.

Bien qu’une telle pratique puisse être discrète et ne pas gêner l’expérience d’utilisation outre mesure, il faut garder à l’esprit que les annonceurs paient les entreprises VPN pour diffuser leurs publicités. Bien souvent, ces annonces sont personnalisées, ce qui signifie que les internautes partagent, malgré eux, certaines données personnelles avec les régies partenaires du fournisseur VPN. Parmi les informations monétisables, on peut citer les données d’identification renseignées à l’inscription au service, mais également l’historique de navigation que le VPN est censé garder secret.

2 - La revente des données personnelles

Si la présence de publicité laisse peu de doute quant au modèle économique mis en place par le fournisseur VPN, certaines entreprises n’hésitent pas à leurrer les internautes et jouent de l’absence d’annonces pour appâter de nouveaux clients. En réalité, il est fort probable que le service traque les activités en ligne de ses utilisateurs et utilisatrices.

Les données de navigation sont alors collectées, conservées, traitées et revendues à des annonceurs ou courtiers en données qui seront à même de vous proposer des publicités ciblées, basées sur votre historique de navigation VPN.

3 - Le partage des données avec la société mère

Une majorité de VPN gratuits réputés appartiennent à des sociétés mères, éditrices d’autres solutions payantes. Il n’est alors pas rare que le fournisseur VPN soit partie prenante d’un montage financier interne, dans lequel il revend les données privées de ses utilisateurs et utilisatrices à d’autres entités gérées par ses actionnaires.

Le procédé peut sembler moins grave que la revente d’informations personnelles à des annonceurs tiers. Pourtant, le résultat est le même : le parcours de navigation protégé par le VPN est traqué et analysé afin que la société mère puisse promouvoir auprès des internautes ses autres produits de manière ciblée.

4 - La distribution de malwares

Il faut enfin faire état des très nombreuses solutions qui, en plus de souffrir de nombreuses vulnérabilités pour cause de maintenance approximatives, distribuent volontairement des malwares sur les machines des internautes. On pense bien évidemment aux spywares, qui permettent aux fournisseurs de revendre sur le dark web des données collectées en dehors du parcours de navigation (identifiants, mots de passe, numéros de CB, etc.), mais également aux ransomwares grâce auxquels les développeurs de VPN gratuits peuvent obtenir rémunération directement auprès des utilisateurs et utilisatrices infectés.

On en profite pour rappeler qu’il est fortement déconseillé de payer une rançon exigée par des pirates informatiques. Vous n’aurez en effet jamais la certitude de récupérer l’accès à vos dossiers et partitions pris en otage.

Comment choisir un VPN gratuit ?

Pour autant, tous les fournisseurs de VPN gratuits ne se financent pas selon des business models malhonnêtes, frauduleux ou criminels. Certaines solutions plus transparentes que d’autres proposent des versions de démonstration de leur service payant ou des offres d’essai gratuit. Il faut alors souvent faire avec des limitations fonctionnelles (débits bridés, nombre de serveurs restreint, limite mensuelle de bande passante).

Opter pour une garantie de remboursement

D’autres mettent en place des politiques de remboursement très souples, offrant à leurs utilisateurs et utilisatrices la possibilité d’essayer le service sans limite de fonctionnalité ni de transfert de données.

Contrôler la taille et la rapidité de l'infrastructure

Au-delà des conditions d’essai avantageuses qu’il propose, un bon VPN se doit d'être à la tête d'une infrastructure réseau solide, la plus étendue possible. Des serveurs optimisés pour le streaming ou le P2P sont un plus.

Vérifier les protocoles VPN et algorithmes de chiffrement

Élément clé, garant de la sécurité de la connexion, le protocole VPN doit également constituer un critère de sélection à prendre en compte avant d’opter pour un VPN gratuit. Le service choisi doit impérativement prendre en charge OpenVPN et/ou WireGuard, tous deux compatible avec l'algorithme de chiffrement AES-256.

Examiner la politique de confidentialité

La politique de confidentialité constitue bien évidemment le dernier élément à étudier avant de choisir un VPN gratuit ou offrant une période d’essai gratuit. En plus d'être no-log, il doit pouvoir justifier de résultats d'audits indépendants, récents et documentés.

Bonus : juger la couverture multiplateforme

L'étendue de la couverture multiplateforme peut faire pencher la balance en faveur d’un VPN plutôt qu’un autre. Les OS les plus populaires doivent être pris en charge (Windows, macOS, Android, iOS), et l'on apprécie la mise à disposition de guide de configuration sur les équipements non compatibles avec une appli VPN native. Pensez enfin à choisir un service pouvant fonctionner sur plusieurs appareils à la fois.

Pour en savoir plus sur les réseaux privés virtuels gratuit ou proposant des périodes d'essai gratuit, n'hésitez pas à consulter notre comparatif des meilleurs VPN, ainsi que nos avis sur CyberGhost, NordVPN, Proton VPN et Surfshark VPN.