VPN et proxy permettent tous deux de relayer le trafic de leurs utilisateurs, et ainsi de masquer leur adresse IP. Alors, quelles différences existe-il entre ces deux technologies ?
Si l’on devait schématiser, on pourrait dire que tous les VPN sont des proxys, mais qu’un proxy n’est pas forcément un VPN. Quels sont les points communs et les différences existants entre ces deux systèmes ? L’un prévaut-il sur l’autre ? Et certains VPN gratuits ne seraient-ils pas finalement des proxys ?
Proxy, VPN, même combat ?
Dans le cadre d’un usage Internet, un proxy est un serveur intermédiaire entre un appareil connecté (ordinateur, smartphone) et un serveur web. Il agit comme relais dans le processus de connexion : lorsque l’on saisit une URL dans son navigateur, le trafic transite d’abord par le proxy qui redirige la requête vers le site interrogé. Par là même, les données renvoyées par le site web passent par le proxy avant de s’afficher dans le navigateur. En clair, on ne se connecte pas au serveur web directement, c’est le serveur proxy qui s’en charge.
De cette combine découle un grand avantage pour l’utilisateur dont la véritable adresse IP, désormais privée, n’est jamais communiquée aux serveurs cibles. Le proxy, en redirigeant le trafic, lui attribue sa propre adresse IP, renforçant l’anonymat de l’internaute.
On pourrait donner une définition équivalente du VPN : un intermédiaire entre le client (ordinateur, smartphone, routeur) et le serveur (site web), réceptionnant le trafic émis et reçu avant de le rediriger vers qui de droit. L’adresse IP communiquée n’est plus celle de l’utilisateur mais celle du serveur VPN auquel il s’est connecté.
Mais il y a un piège. Car si le proxy et le VPN semblent parfaitement identiques en apparence, les deux technologies divergent dans leur mode de fonctionnement pour répondre à des usages spécifiques, abordant les questions de sécurité, de confidentialité et d’anonymat sous un angle différent.
Une sécurité à deux niveaux
Entre surveillance et absence de chiffrement: les limites du proxy
Dans le détail, le proxy fonctionne sur la couche application des modèles OSI et TCP/IP. Cette caractéristique lui permet de « manipuler » les pages web : le flux de données retour, c'est-à-dire en provenance des sites web, peut être filtré et interdit d’affichage. C’est ce qui explique, par exemple, que l’on ne puisse pas accéder à certains sites – au hasard, n'importe quel réseau social – depuis le réseau interne d’une entreprise ou d’un campus universitaire. Pour autant, tous les proxys ne restreignent pas l’accès à Internet de la même façon. Ces limitations dépendent de règles définies en amont par l’administrateur réseau.
Le proxy est également en mesure d’historiser les activités sur Internet et de garder en cache tout ou partie des éléments chargés une première fois.
De deux raisons l’une : l’administrateur peut surveiller le trafic et associer une connexion Internet non conforme à un utilisateur spécifique grâce à ses identifiants (nom d’utilisateur, adresse IP de son appareil).
Seconde raison : la plupart des entreprises ayant à gérer un très grand nombre de connexions à Internet chaque jour, il est plus que judicieux de conserver une version préchargée des pages web régulièrement visitées de manière à ne pas surcharger inutilement la bande passante, ce qui provoquerait une baisse de vitesse de la connexion.
Il existe également des proxys adaptés aux usages domestiques. Dans ce cas, l’administrateur réseau étant l’internaute lui-même, le risque de voir son trafic web surveillé par une entité tierce est partiellement écarté. Néanmoins, le proxy ne chiffrant pas de lui-même la connexion Internet, les données de trafic non protégées en amont restent soumises aux risques de piratage. Même constat pour les proxys utilisés sur un réseau public qui n’empêcheront jamais un hacker de sniffer le trafic et d'en exploiter les données.
L’anonymat, la confidentialité et la sécurité au cœur des objectifs du VPN
Bien qu’il repose également sur un modèle client-serveur, le principe du VPN est tout autre. Tout d’abord, il est nécessaire d’installer et de se connecter à un logiciel sur sa machine. Sans cet agent, impossible d’établir de communication privée entre un ordinateur (Windows, macOS, Linux), un smartphone (Android, iOS) ou un routeur et les serveurs du fournisseur VPN.
Une fois configuré, le VPN établit une liaison chiffrée – le tunnel – entre l’appareil de l’utilisateur et les serveurs du fournisseur VPN. Le tunnel est toujours sécurisé grâce au protocole VPN, qu’il soit standardisé (OpenVPN, WireGuard L2TP/IPSec, IKEv2/IPSec pour les plus fiables) ou propriétaire (NordLynx chez NordVPN, Lightway chez ExpressVPN ou Chameleon chez VyprVPN, par exemple).
Attention: bien que le tunnel VPN soit sécurisé, il convient de s’assurer que le protocole utilisé soit couplé à un algorithme de chiffrement solide pour garantir la sécurité et l’intégrité des paquets de données transmis. La plupart des fournisseurs VPN grand public proposent aujourd’hui des clés de 128 à 256 bits. Dans le cas d’une configuration maison, on privilégie l’utilisation d’OpenVPN (compatible AES 128 et 256).
Toutes les données qui transitent via ce tunnel sont chiffrées à l’entrée à l’aide de l’algorithme de chiffrement initialement configuré, ce qui confère une double sécurité aux données qui circulent. Dans le cas où le protocole VPN serait compromis et la connexion privée interceptée, sur un réseau Wi-Fi public, par exemple, il serait impossible aux hackers – ou à d’autres instances officielles comme les FAI ou les services de renseignement – de les exploiter.
Reste la question de l’historisation des données de connexion. Avant d’opter pour un service plutôt que pour un autre, il est indispensable de s’assurer que le fournisseur applique une politique de stricte non-journalisation (no log) des données. Un paramètre de sécurité essentiel puisque les données chiffrées par l’internaute sont ensuite déchiffrées par le serveur du VPN avant d’être redirigées vers le site web interrogé. Ce qui signifie concrètement que le serveur VPN accède sans œillères aux informations de la requête.
La plupart des VPN appartenant à des entreprises privées, il est difficile de vérifier objectivement le respect de leur politique no log. Néanmoins, certains fournisseurs plus scrupuleux et soucieux de montrer patte blanche font régulièrement appel à des cabinets indépendants pour réaliser des audits de sécurité de leur infrastructure VPN.
Pour choisir une solution de confiance, il est également conseillé de faire des recherches sur le pays de domiciliation du VPN et les éventuels scandales ayant éclaboussé les entreprises VPN avant de souscrire un abonnement chez tel ou tel fournisseur.
Enfin, dans la mesure du possible, mieux vaut opter pour un service VPN dont les serveurs sont équipés de stockage RAM (la mémoire volatile s'efface à chaque redémarrage du serveur) et non de disques durs (les données sont stockées jusqu'à réécriture du DD).
Proxys publics, VPN gratuits : gare aux fuites de données
Comme partout sur Internet, il peut être tentant de se laisser séduire par les solutions les plus économiques. Prudence cependant : si l’utilisateur opte pour un service gratuit, il compromet presque systématiquement sa connexion, la sécurité de sa vie privée, l'intégrité de son anonymat et la confidentialité de ses données personnelles. Parmi les dangers liés à un proxy ou un VPN gratuit, on peut évoquer les instabilités, les failles de sécurité répétées, généralement non patchées pour cause de maintenance aléatoire des serveurs, l’enregistrement et l’exploitation des métadonnées et données de connexion par le propriétaire du service telles que l’horodatage, l’adresse IP source, les sites web visités, les identifiants de connexion ou les coordonnées bancaires. Ces données peuvent aussi être revendues.
Il existe toutefois une poignée de fournisseurs VPN gratuits de confiance. Il faudra en revanche faire une croix sur certains aspects du service réservés à leurs équivalents Premium (vitesse bridée, accès restreint à quelques serveurs et pays seulement, limites de transferts de données).
Des serveurs par milliers au service d’un web libre
Une autre différence notoire entre proxy et VPN réside dans le nombre de serveurs mis à disposition des utilisateurs. Par définition, un proxy n’offre un accès qu’à un seul serveur. Par conséquent, recourir à un proxy pour accéder à du contenu géobloqué n’a pas grand intérêt, à moins que l’accès à ce contenu ne soit autorisé par la localisation géographique du proxy. En d’autres termes, il ne sera possible d’accéder à des plateformes réservées aux États-Unis qu’à condition que le serveur proxy soit également basé aux États-Unis, par exemple. Inutile de compter sur un proxy pour espérer débloquer efficacement les catalogues étrangers des services de streaming, donc.
Pour contourner géoblocages et censure, il est recommandé de passer par un VPN dont les centaines de serveurs dispersés à travers le monde facilitent l’accès aux services et sites web soumis à restrictions géographiques. Plus il y a de serveurs, meilleures seront les conditions et la liberté de navigation.
La multiplication des serveurs dans un même pays est également un argument en faveur de la rapidité de connexion du VPN. Plus il y a d’utilisateurs connectés à un même serveur, plus les risques d’engorgement, et donc de chute de débits, sont élevés. Il est donc essentiel de pouvoir choisir manuellement le serveur VPN auquel on souhaite se connecter pour préserver sa vitesse de connexion.
Conclusion
In fine, pour un usage personnel et domestique, le serveur proxy ne sert qu’à dissimuler sa véritable adresse IP auprès des services en ligne et sites web consultés. En revanche, l’absence de chiffrement en fait un outil peu adapté aux utilisateurs cherchant à préserver leur anonymat et la confidentialité de leurs données. Son statut de serveur unique ne permet pas non plus de contourner efficacement géoblocages et censure Internet partout dans le monde. Il faudra donc réserver le recours à un serveur proxy pour des tâches ponctuelles en prenant garde de ne jamais y faire transiter de données sensibles (coordonnées bancaires, identifiants de connexion), et en veillant toujours à utiliser une connexion TLS (HTTPS).
A contrario, les protocoles et chiffrements hautement sécurisés offerts par les meilleurs VPN permettent de renforcer considérablement son anonymat et la sécurité de ses informations personnelles en ligne, à condition toutefois que la politique de non-journalisation des données soit respectée.
Tout savoir sur les VPN. Consultez nos autres définitions
- Onion over VPN : comment et pourquoi utiliser Tor en plus d'un VPN
- Qu'est-ce que le split tunneling et à quoi ça sert ?
- Quelles différences entre la navigation privée, TOR et un VPN ?
- Tout savoir sur votre adresse IP
- Qu'est-ce que le kill switch d'un VPN ?
- Zoom sur le protocole VPN Wireguard
- Protocoles et VPN : tout savoir et identifier celui qu'il vous faut
- Sécurité vs protection de la vie privée : les différences-clés
- Zoom sur les protocoles NordLynx et WireGuard