Aller au contenu principal
VPN

Les VPN, une offre survendue, pas toujours comprise et encore moins transparente

Naviguer sur internet avec un VPN vous protège-t-il ? Savez-vous exactement ce que sont les VPN ? Êtes-vous sur de la sécurité de vos données en utilisant un service de VPN ?

David Patiashvili 10 min de lecture
Illustration : Les VPN, une offre survendue, pas toujours comprise et encore moins transparente
Naviguer sur internet avec un VPN vous protège-t-il ?
Sommaire

    À force de voir les publicités vantant les différents VPN mis à disposition du grand public, que cela soit en offre payante ou gratuite, je me suis dit que le public en question ne comprenait pas nécessairement ce qu’est réellement le VPN. Car si les consommateurs comprenaient le fonctionnement des VPN, je pense qu’ils ne seraient pas autant plébiscités et qu’il n’y aurait pas autant de publicités et autant d’acteurs.

    Sachez, en préambule de cet article, que l’usage d’un VPN permet de cacher certaines choses mais, parallèlement, en rend d’autres plus facilement accessibles . Les VPN sont ce que les cookies tiers sont pour les sites, une manière de collecter des informations sur les utilisateurs.

    Tout d’abord qu’est-ce qu’un VPN ?

    C’est la question de base que vous avez dû vous poser à la vue de l’une des nombreuses offres vous proposant l’installation d’un VPN, que ce soit via votre antivirus ou une publicité sur internet, et plus encore si vous avez décidé de passer le pas et de souscrire à une offre VPN gratuite ou payante.

    J’ai fait l’expérience de demander à plusieurs personnes de répondre à cette question. Aspect “technique” mis à part, elles m’ont fourni les réponses suivantes : un VPN permet d’avoir une autre IP ; permet le téléchargement sans se faire connaître, ainsi qu’une navigation sécurisée et anonyme ; il donne accès à des sites ou contenus restreints. Au vu de cela, je ne peux que dire “Bravo”. Bravo aux équipes marketing des sites qui proposent ce service, elles réalisent d’excellentes publicités car elles vous convainquent d’acheter leur produit sans vous expliquer ce que vous donnez en contrepartie, hormis votre argent pour les offres payantes.

    Essayons donc de vous expliquer ce qu’est un VPN, sans entrer dans l’aspect purement technique. VPN est le sigle de Virtual Private Network (ce qui signifie, pour les non anglophones, Réseau Privé Virtuel). À la base, ce système est utilisé par les sociétés pour créer des réseaux propres à leur infrastructure, permettant à leurs collaborateurs de se connecter depuis chez eux et d’avoir accès aux back-offices et dossiers partagés, par exemple.

    Pour faire simple, un VPN vous permet de connecter votre appareil à un autre réseau en plus du vôtre. Ainsi, lorsque votre ordinateur a un VPN de configuré, celui-ci est branché à la fois à votre box Internet et une autre nommée “VPN”.

    Réseau VPN
    Schéma de connexion

    Lorsque vous êtes chez vous, vous avez accès, via votre box, à l’ensemble des appareils qui y sont connectés. Lorsque l’un de ces appareils accède à Internet, l’IP - c’est-à-dire l’adresse virtuelle de l’internaute est celle de votre box, quel que soit l’appareil. Donc que ce soit votre téléphone connecté via Wifi à votre box ou votre ordinateur fixe, pour Internet c’est uniquement votre Box qui est vue.

    Lorsque vous êtes connecté via un VPN, tout en gardant les fonctionnalités de votre réseau personnel, vous avez en plus accès à un autre réseau privé, ainsi qu’aux éléments qui y sont connectés (ex. : un dossier de partage, un autre ordinateur, une imprimante, etc.). Réciprocité oblige, votre ordinateur connecté au réseau privé est, lui aussi, accessible depuis ces éléments. Lorsque vous passez par un VPN pour accéder à un site Internet, ce n’est plus l’IP de votre box mais celle du VPN qui est présentée comme la vôtre.

    Dans quel cadre utilise-t-on un VPN ?

    Tout d’abord, comme précisé précédemment, en premier lieu un VPN répond à des besoins professionnels en permettant de se connecter à des infrastructures distantes de manière sécurisée afin d’accéder à des dossiers réseaux, des back-offices, etc. Des éléments qui, par nature, n’ont pas à être accessibles au public.

    Cas suivant : le piratage. Afin que l’adresse IP de la box Internet du pirate ne soit pas connue (et permette donc de remonter jusqu’à lui), celui-ci utilise un VPN pour se faire passer pour une autre box qui se trouve à un autre endroit géographique, qu’il s’agisse d’une autre adresse, d’une autre ville ou même d’un autre pays. Plus difficile donc de retrouver la trace du pirate une fois son méfait accompli…

    Autre cas, que l’on rencontre de plus en plus : l’accès à certains sites ou média inaccessibles depuis le pays de l’utilisateur. Certains sites n’autorisent l’accès à leurs pages que depuis un pays en particulier et pas depuis un autre. Par exemple, certaines vidéos Youtube ne peuvent être lues que depuis la Russie. Ainsi, si un utilisateur souhaite y accéder depuis chez lui à Paris, il devra avoir un VPN localisé à Moscou.

    Derniers cas, celui qui est globalement mis en avant par la majorité des services de VPN : la sécurisation des informations échangées via Internet et l’anonymisation de l’utilisateur (celui-ci se voyant attribuer une autre adresse IP qui, par ailleurs, est sûrement mutualisée avec d’autres utilisateurs de VPN).

    Mais est-ce vraiment “plus” sécurisé que lors de l’utilisation de votre internet “habituel” ?

    VPN, la boîte noire de l’utilisateur

    Lorsque vous utilisez un VPN, il faut comprendre que tout votre trafic Internet va transiter par un tiers, c’est-à-dire que toutes vos données vont passer par un prestataire, aussi bien celles que vous envoyez que celle que vous recevez. Ainsi, en accédant à un site Internet, vous envoyez une requête à ce prestataire qui va se charger de récupérer le contenu et de vous le transmettre.

    Seulement vous ne savez absolument pas comment ce prestataire utilise les données collectées pendant ces échanges. Dans le cas des services de VPN gratuits, comment pensez-vous que ces derniers se rémunèrent ? Contrairement à une idée bien ancrée, rien n’est gratuit sur Internet : soit vous payez un service de votre poche, soit vous le payez avec vos données. Et lorsque c’est “Gratuit”, c’est que vous achetez le service avec vos données, donc… Où se trouve l’anonymat ? Je vous déconseille fortement les offres gratuites. Si vous souhaitez avoir recours à un VPN, optez plutôt pour un mini-serveur personnel que vous paierez 2,99 € par mois et installez-y un VPN en 44 secondes (c’est du moins le temps de déploiement vanté par Scaleway)

    Voici le lien d’un ancien article, pour vous faire une idée sur la collecte des données.

    Le piratage

    Sachez qu’il est plus simple de pirater un serveur que de pirater un ordinateur domestique, pour la simple raison que, par définition, votre appareil est derrière votre box. Cela veut dire qu’il n’est pas difficilement possible d’accéder directement à votre appareil depuis l’extérieur du réseau de votre domicile (sauf si vous le configurez pour). En effet, c’est votre Box qui est en première ligne : il faut donc d’abord pirater la box, avant de s’attaquer à l’ordinateur. Alors que dans le cas d’un serveur, c’est lui qui est en première ligne.

    Partant de là, il est presque plus intéressant, pour des pirates, de prendre possession d’un serveur VPN que d’essayer d’accéder à votre machine personnelle, la quantité étant plus intéressante pour ces derniers que le cas par cas. D’où les campagnes de phishing. Vous pensez bien que s’il y a autant d’e-mails frauduleux, c’est qu’une partie des destinataires se fait avoir. Ne serait-ce qu’1 % serait suffisant pour recueillir plusieurs milliers d’informations, car ce sont des millions d’utilisateurs qui sont ciblés.

    Pirater un serveur VPN, c’est comme prendre le contrôle d’un péage : on peut voir tout ce qu’il se passe, faire croire ce que l’on veut et même pousser des informations ou des publicités sur des pages qui ne devraient pas en avoir, et plus simplement récupérer vos informations bancaires sur un site que vous visitez.

    Le fait de prendre un VPN vous permet de vous prémunir d’une grande partie des attaques sur le réseau sur lequel vous êtes connecté. Mais soyons réalistes, chez soi, ce risque est quasiment nul car vous savez qui est connecté à votre réseau (en tout cas je l’espère pour vous). Sur les réseaux publics, là oui, il y a un énorme intérêt à avoir un VPN car vous ne savez pas qui y est connecté.

    Et la navigation sécurisé dans tout cela ?

    HTTP vs HTTPs

    Lorsque vous naviguez sur Internet, vous avez deux possibilités : soit le site sur lequel vous êtes dispose d’un certificat SSL permettant le chiffrement des informations entre vous et le site, soit celui-ci n’en a pas et vos données transitent donc en clair.

    HTTP la facilité, et non des moindres

    Prenons le cas le plus simple, celui des sites non sécurisés. Les échanges n’étant pas protégés, les données entre le serveur VPN et le site transitent en clair. Elles sont par conséquent facilement accessibles pour votre fournisseur VPN, mais aussi pour tout autre utilisateur se trouvant sur le même réseau que vous.

    Lorsque vous êtes sur un réseau quel qu’il soit et que vous consultez ce genre de site, les personnes qui sont sur ce même réseau peuvent accéder à vos échanges. Pour les réseaux publics, c’est une toute autre chose puisque toute personne malveillante qui y est également connectée peut voir vos données.

    Lorsque vous êtes connecté en VPN, théoriquement si votre fournisseur vous donne quelque chose de correct, la connexion entre ce dernier et vous est chiffrée. Les informations ne pourront donc pas être lues par des individus se trouvant sur votre réseau. Mais, les données circulant entre le fournisseur VPN et le site, elles, sont en clair et donc accessibles pour celui-ci et toutes autres personnes se trouvant sur ce même réseau…

    Vous pensiez être seul sur votre réseau VPN ? Vous pensiez être le seul utilisateur du service ?

    HTTPs, un chiffrement suffisant pour ne pas utiliser un VPN

    Dans le cas où vous accédez à un site avec certificat, le fameux cadenas, les données transitant entre celui-ci et vous sont donc chiffrées. Par conséquent, il est difficile d’accéder à ces informations.

    Lorsque vous êtes connecté en VPN, il y a un chiffrement entre le serveur et vous, puis un autre entre le serveur et le site auquel vous accédez. Sachez que le serveur VPN peut tout à fait déchiffrer les données pour les lire avant de vous les renvoyer. Alors pourquoi utiliser un VPN ?

    Pour votre anonymat ? Parce que vous pensez que votre IP vous définit sur Internet ? Vous avez tort…

    L’IP, un faux prétexte pour le tracking et le ciblage

    Je mets de côté le cas “piratage”, pour ceux qui ne souhaitent pas que  leur IP personnelle soit visible dans le cas d’un piratage, d’un téléchargement illégal, etc. Oui, le VPN permet jusqu’à un certain point de vous cacher, mais je vous dirais que le réseau Tor est plus adapté et surtout est gratuit… Je vous invite à aller voir leur navigateur.

    Comme dit précédemment, l’IP permet d’identifier un réseau, un réseau domestique ou d’entreprise, etc. Par conséquent, lorsqu’un appareil de ce réseau accède à Internet, c’est l’IP de ce réseau qui est envoyée. En conséquence, 2 ordinateurs présents sur le même réseau auront exactement la même IP. Donc, vous pensez bien que le ciblage et le tracking des utilisateurs ne se font pas uniquement sur la base de cette information… Sans quoi les publicités que vous recevriez au bureau dépendraient des achats ou recherches effectués par vos collègues depuis leurs ordinateurs professionnels. Ce qui ne serait pas très pertinent pour du ciblage ou du tracking. L’IP donnant une localisation géographique (du moins jusqu’à un certain point), elle reste certes intéressante pour comprendre les envies d’un foyer ou d’une société mais s’avère quasiment inopérante pour un ciblage individuel. Après tout, Il ne s’agit que d’une information minime parmi tant d’autres..

    Petite information pour ceux qui ne le sauraient pas : il est rare que votre fournisseur Internet vous donne une IP fixe. Généralement, l’IP de votre domicile peut changer dans le temps, à moins que vous n’en fassiez la demande pour des besoins en domotique ou autres.

    Je vais peut-être vous apprendre quelque chose qui pourrait vous surprendre : il n’est pas nécessaire de connaître l’IP d’un utilisateur pour pouvoir l’identifier. Si cela a pu être le cas, ce ne l’est en effet plus de nos jours où l’IP n’est plus qu’une donnée secondaire permettant d’avoir une notion de localisation géographique qui n’est parfois résumée qu’au pays.

    Pourquoi ou plutôt comment l’IP a pu être reléguée au niveau d’information secondaire ? Tout simplement parce que, aujourd’hui, l’identification d’un utilisateur est le fruit du regroupement de plusieurs données : le type d’ordinateur, téléphone ou tablette, la version du navigateur, la résolution de l’écran, etc. Ces informations sont accessibles à tout moment par tout site Internet, et ce, sans qu’il ait besoin de vous demander votre accord. Pour vous en rendre compte par vous-même, rendez-vous sur le site suivant qui vous montrera un partie des données ainsi collectées : https://www.whatismybrowser.com/

    Nous sommes d’accord que prises individuellement ces données peuvent regrouper énormément de personnes (beaucoup utilisent Windows, par exemple). Mais en combinant l’ensemble de ces informations, on arrive à identifier de manière quasiment unique un appareil. Quelle que soit l’IP dont un internaute se sert pour accéder à un site, son appareil, lui, ne change pas. Il peut donc toujours être identifié.

    Autre petite précision. En ayant réalisé un reverse du code Google Analytics, j’ai pu constater que celui-ci utilise justement l’ensemble de ces informations pour générer un identifiant unique de cookie. Comme ce dernier est restreint au site que vous visitez, lorsque vous allez sur un autre site, le même script génère, à partir des mêmes données, le même identifiant. Cela permet tout simplement de connaître l’ensemble des sites que vous avez visités, même si entre-temps vous avez changé d’IP.

    Ce constat est d’autant plus applicable aux utilisateurs de mobiles. En effet, pendant leur trajet maison / bureau, leur téléphone va se connecter à plusieurs relais et, à chaque fois, se voir attribuer une IP différente. Pour pallier ce problème, il fallait bien se détacher du recours exclusif à l’IP, d’où l’utilisation des caractéristiques de l’appareil pour le ciblage.

    L’IP ne vous définit donc absolument pas… Désolé si je vous l’apprends !

    Dans quel cadre devriez-vous utiliser un VPN ?

    Ma recommandation et simple, utilisez un VPN si vous en avez vraiment l’utilité, c’est-à-dire :

    • Pour le travail, afin d’accéder à des ressources privées ;
    • Lorsque vous êtes connecté à un réseau public ;
    • Lorsque vous avez besoin d’accéder à un contenu restreint par le pays depuis lequel vous vous connectez (et uniquement pendant le laps de temps d’accès à ce contenu).

    Si vous souhaitez être encore plus anonyme que ce qui vous est permis par une navigation privée, utilisez le navigateur Tor. Comme je l’ai abordé précédemment, si vous souhaitez utiliser un VPN uniquement parce que vous passez par un réseau public, vous pouvez simplement opter pour un mini-serveur sur lequel vous aurez installé et configuré OpenVPN. Une grosse communauté est là pour vous aider à faire tout cela.

    #VPN #Services en ligne
    Partager

    À lire aussi

    Tous les articles →