Le rôle des réseaux privés virtuels (VPN) est de préserver l’anonymat de l’utilisateur sur Internet. Mais comme l'a rappelé un rapport récent, au même titre que n'importe quel service, les VPN ne sont pas à l’abri des violations de données. Ils peuvent également être gérés par n'importe qui. Il est donc conseillé de passer minutieusement en revue toutes leurs options avant de s’inscrire à un service. Et c’est encore plus vrai quand le VPN est gratuit. Ces services ne sont pas forcément mauvais, mais les connexions Internet, l'électricité et les serveurs coûtent de l'argent. Quel est alors le modèle économique ? Plusieurs cas de figure existent : afficher des publicités, vendre les données de leurs abonnés ou se servir d’une partie de leur réseau pour acheminer les données des utilisateurs payants.

Les services payants n’imposeront pas ces pratiques, mais si vous n'avez pas les moyens de vous offrir ce type de service, voici ce qu’il faut vérifier pour s’assurer de la confidentialité des échanges. En règle générale, le VPN doit conserver et partager le moins d'informations possibles sur l’utilisateur. Ces mêmes critères d'évaluation d'un réseau privé virtuel gratuit s'appliquent également aux VPN payants, en particulier, les offres extrêmement bon marché qui proposent un abonnement à vie.

S’informer sur le gestionnaire du VPN

Les bons VPN indiquent clairement où se trouve leur siège social, comment l'entreprise est gérée et quelle est sa structure. Un aperçu de la philosophie du VPN est également utile. (Crédit : PCWorld)

Gérer un réseau privé virtuel n'est pas compliqué et n'importe qui peut s’en servir. Par conséquent, il faut toujours vérifier qui exploite le VPN. Le trafic peut très bien passer par une entreprise de confiance, soucieuse du respect de la vie privée, qui offre un service gratuit limité pour attirer de nouveaux clients… Mais il se peut aussi que la société choisie, veut au mieux, monétiser les habitudes de navigation de l’utilisateur, et au pire, exploiter ses données.

La vigilance est donc de mise. Vérifiez qui gère le service, comment l'entreprise est structurée et où elle est située. Le lieu où opère le VPN n’est pas anodin, car selon sa localisation, il peut accorder à une autorité et au gouvernement de fouiller dans les données de l’utilisateur. Certains pays ont conclu un accord pour partager des renseignements entre eux. Les États-Unis ont par exemple conclu des alliances d’intelligence avec divers pays.

Avoir une idée claire des données collectées par le VPN

La politique de confidentialité d'un VPN doit expliquer clairement quelles informations sont collectées. (Crédit : PCWorld)

Les meilleurs services VPN ne conservent pratiquement aucune donnée : aucune adresse électronique, aucune adresse IP, aucun journal des sites visités sur Internet, et, pour les VPN payants, aucun paiement traçable. Il est rare de trouver un VPN gratuit qui offre un tel niveau de confidentialité. L'écrasante majorité conserve des données sur les utilisateurs. Un bon VPN n’hésitera pas à fournir des détails sur ses pratiques en matière de sécurité et de confidentialité dans un langage clair et simple et expliquera ses conditions de service.

Par exemple, la politique de confidentialité de ProtonVPN explique clairement et en détail quelles informations sont collectées et stockées (elles sont minimes). L'entreprise indique, également sans détour, comment fonctionne son modèle économique. Dans son cas, les utilisateurs payants subventionnent l'accès limité des membres gratuits. Cette approche est raisonnable pour un VPN gratuit et réputé : l’utilisateur gratuit est aussi bien protégé des mauvais acteurs que l’utilisateur payant, mais il bénéficie de beaucoup moins de fonctionnalités.

Savoir ce que fait le VPN avec les données

La politique de confidentialité d'un VPN doit également expliquer clairement comment seront partagées (le cas échéant) les données de l’utilisateur. (Crédit : PCWorld)

De la même façon que le fournisseur doit informer clairement l’utilisateur sur les données qu’il conserve, il doit aussi préciser avec qui ces données seront partagées. Méfiez-vous de tout service qui décrit sa politique en termes vagues ou qui ne divulgue pas ces informations. Vous constaterez souvent que les VPN gratuits (et même certains VPN payants) gagnent de l'argent en agrégeant vos données avec celles d'autres utilisateurs et en les vendant. Il est également courant que les VPN se réservent le droit de partager les données des utilisateurs avec les agences gouvernementales dans le cadre d’enquêtes criminelles. Si vous avez de bonnes raisons de vous inquiéter de la surveillance gouvernementale, mieux vaut opter pour un service payant garantissant une confidentialité à toute épreuve.

Connaître le modèle économique du VPN

Les grands services payants bien connus qui offrent un niveau gratuit sont les VPN les plus faciles à vérifier. (Crédit : PCWorld)

Si l’on ne rémunère pas le service d’un VPN avec de l'argent, il est probable que celui-ci se rétribue autrement, et le plus souvent par le biais des publicités, qui peuvent également représenter un risque pour la sécurité. Ou alors, il fournit des données ayant une valeur marchande à des parties intéressées. Les services à destination des particuliers ou pour de petites structures ont plus souvent recours à ces pratiques pour fonctionner.

Mais certains fournisseurs importants agrègent aussi les données de leurs clients avec celles d'autres utilisateurs pour les vendre. Pour éviter que vos informations personnelles soient vendues, soyez particulièrement prudents avant de télécharger une application VPN gratuite. Examinez-la minutieusement. Ce n’est pas parce que l’application a été téléchargée de très nombreuses fois qu’il faut faire confiance au VPN.

Se préoccuper de la sécurisation des données par le VPN

 

La plupart du temps, il faudra creuser la FAQ et les pages d'assistance du VPN pour trouver des informations sur les méthodes de cryptage. (Crédit : PCWorld)

La question de la sécurisation des données se pose à un double niveau. Pour les données en transit, c'est-à-dire quand on utilise activement le service, mais aussi pour toutes les données conservées sur l’utilisateur et sur ses habitudes de navigation. Sur le premier point, les protocoles pris en charge par le VPN indiquent le niveau général de puissance de chiffrement, car ils définissent comment la connexion démarre (le « handshake »), comment elle génère la « clé » qui sert à chiffrer et déchiffrer les données pendant la session (l'échange de clés), combien de temps ces clés persistent et la méthode utilisée pour protéger la connexion établie.

Les méthodes plébiscitées par les experts sont OpenVPN, IKEv2/IPSec et Wireguard, et elles sont largement utilisées par les fournisseurs de VPN, même si leur configuration varie. En effet, un fournisseur peut coller aux valeurs par défaut de l'industrie pour se vanter de vitesses plus rapides, tandis qu'un autre peut augmenter la longueur et la taille des clés utilisées pour le cryptage afin de renforcer la sécurité. Déjà, il est préférable d'ignorer tout VPN qui n'utilise pas une clé RSA de 2048 bits et un chiffrement AES de 128 bits au minimum, ce qui permet d’en éliminer un certain nombre. Concernant la collecte des données, regardez comment l'entreprise stocke toutes les informations, qui y a accès et avec qui elle les partage. Vous devez savoir si les données sont cryptées et comment, quelles personnes ont accès aux bases de données et aux logs des utilisateurs, et avec quels tiers ces données sont éventuellement partagées.

Opter pour les meilleurs VPN gratuits

Une manière de se simplifier la vie est de commencer par choisir des services VPN payants connus et reconnus qui proposent un abonnement gratuit, comme ProtonVPN, Windscribe ou HotSpot Shield. Vous pouvez également essayer des VPN limités, comme celui qui est intégré au navigateur desktop d'Opera et à la version full-fat du navigateur mobile Android - il permet de préserver la confidentialité de toute navigation Web effectuée dans Opera. (Les navigations réalisées à partir d’un autre programme ou d’une autre application, y compris le système d'exploitation, ne sont pas confidentielles).

Si vous trouvez qu'un VPN gratuit n'offre pas assez de fonctionnalités ou si ses pratiques de monétisation ne vous conviennent pas, vous devrez plutôt vous tourner vers un VPN payant. Les questions à se poser restent identiques, mais les réponses seront moins difficiles à trouver et plus conformes aux meilleures pratiques du secteur.