Un VPN protège-t-il réellement votre vie privée ?

Dernièrement, je vois de plus en plus de publicité indiquant que tel ou tel VPN protège votre vie privée.

On m’a aussi posé plusieurs fois la question afin de comprendre si c’était vraiment le cas ou non. Aujourd’hui, j’ai donc décidé de vous parler de VPN.

Le but de ce billet est avant tout de comprendre le fonctionnement de base d’un VPN et de savoir ce qu’il protège, et ce qu’il ne protège pas.

Un VPN, c’est quoi ?

Un VPN (Virtual Private Network) permet comme son nom l’indique de créer un réseau privé virtuel.

De manière simplifiée, lorsque vous êtes chez vous, tous les périphériques autour de vous (PC, tablette, téléphone) connectés au même réseau sont dans un réseau privé commun. C’est ce qui leur permet de communiquer de manière simple sans devoir passer par Internet.

Le but d’un VPN va donc être de "simuler" ce réseau privé sur Internet. L’intérêt premier est surtout de ne plus apparaître avec votre adresse IP, mais avec celle de votre fournisseur VPN. Un tunnel VPN est de plus chiffré jusqu’à sa sortie, ce qui permet de complexifier l’interception en cas d’attaque de type "man in the middle" (voir plus bas).

Vous l’aurez compris, le but est avant tout de masquer son IP, mais pourquoi donc ?

Les avantages d’un VPN

L’intérêt de masquer son IP

Pour ma part, 95 % de ma navigation Internet est faite derrière un VPN, à quelques exceptions près dont je parlerais plus bas.

Le principal intérêt de masquer son IP est bien entendu de limiter autant que possible le tracking. En effet, les IP des VPN sont partagées et exploitées en permanence par des dizaines, centaines voire milliers d’utilisateurs. L’adresse IP est souvent utilisée en tant que discriminant simple pour le tracking. Même si c’est moins le cas aujourd’hui, à cause notamment de la mutualisation d’IP chez certains opérateurs.

De plus, il est possible via un VPN d’être localisé ailleurs, que ce soit dans le même pays, ou l’étranger.

Cela permet donc de réduire aussi l’impact des publicités ciblées localement ou de contourner certaines limitations régionales/nationales.

Un contenu qui ne serait disponible que pour des habitants canadiens (exemple arbitraire) pourrait donc être accessible pour moi en France, en me localisant au Canada via le VPN. C’est ainsi que certains accèdent au contenu étranger sur les plateformes VOD, même s’il y a des limitations que je décrirais plus bas.

En quelques secondes, je me suis donc retrouvé au Canada, sans bouger de mon fauteuil !

Chiffrer partout

Même si c’est de moins en moins le cas, il existe toujours des sites ne supportant pas le TLS (et c’est dommage !). Dans ce type de schéma, l’intérêt du VPN va être qu’il va s’occuper de chiffrer tout jusqu’au fournisseur, qui s’occupera de faire la connexion "non sécurisée" au serveur.

Cela permet donc dans le cas d’une attaque de type man in the middle de réduire énormément les risques puisque l’attaquant ne verrait que des trames chiffrées.

L’avantage du VPN est donc de chiffrer intégralement le flux quelque soit le site accédé, et donc de protéger un peu plus son utilisateur.

Les cas d’usages d’un VPN

Je ferais volontairement l’impasse sur les VPN d’entreprise dans ce billet qui ont un rôle un peu différent de celui que je présente ici.

D’après ce que je vous ai décrit plus haut, on peut donc voir plusieurs cas d’usage.

Être le plus invisible possible sur Internet

Le premier avantage du VPN est là, vous êtes presque invisible sur Internet. L’IP que vous renvoyez est une adresse mutualisée utilisée par de nombreux utilisateurs. Cela permet donc d’être "noyé" dans la masse des utilisateurs similaire.

Cependant, comme je l’ai déjà évoqué, personne n’est réellement invisible, des techniques comme le fingerprinting permettent ainsi de rapprocher certains comportements. À titre d’exemple, vous pouvez voir sur l’excellent site amiunique.org qui vous montrera que votre périphérique est unique parmi des millions !

AmIUnique

Fingerprint collecting platform

AmIUnique

À noter que cela permet aussi de limiter la visibilité de ce que vous faites sur Internet par votre fournisseur d’accès à Internet (FAI).

Contourner les blocages régionaux

Quoi de plus frustrant que de ne pouvoir accéder à un site Internet à cause de restriction géographique ou être bloqué lorsque vous êtes en voyage à l’étranger par exemple ?

Dans ce type de schéma, un VPN vous permettra de contourner ces limitations afin de pouvoir accéder aux contenus comme si vous étiez dans le pays sélectionné.

Contourner les restrictions de débit

Chez certains fournisseurs d’accès à Internet, vous pouvez parfois avoir des soucis d’accès pour accéder à des sites très fréquentés en heure de pointe (par exemple YouTube).

Cela vient souvent d’interconnexion que l’opérateur a choisi de ne pas mettre en place (souvent pour des raisons économiques).

Dans ce type de cas, le VPN peut résoudre le souci, car la connexion est "techniquement" vers le fournisseur VPN pour votre FAI. C’est le VPN qui se connecte ensuite sur le site web.

Les limitations d’un VPN

Souvent, le VPN est vendu comme LA solution pour être complètement invisible sur Internet.

Breaking news : c’est faux !

L’utilisateur reste le point faible

Les sites sur lesquels vous allez peuvent toujours collecter des informations pour vous retrouver. L’exemple le plus courant que je vois est l’utilisation d’un VPN avec un compte Google.

Autant vous dire qu’en exploitant le SSO de Google sur les sites web, vous supprimez une grosse partie de l’intérêt de votre VPN.

De plus, si vous donnez vos informations aux GAFAM, un VPN ne vous protégera pas énormément plus. Au mieux, ces derniers ne sauront pas exactement où vous vous situez, mais il est probable que vous leur ayez donné vous-même cette information !

Si vous souhaitez vraiment l’anonymat, l’usage d’un VPN est à coupler avec des solutions respectueuses de votre vie privée.

Le problème du tiers de confiance

Un VPN se positionne comme un tiers de confiance dans votre connexion à Internet. Cela signifie que techniquement, votre fournisseur VPN voit tout votre trafic Internet, possiblement même en clair (si le site web cible est non sécurisé).

Cela signifie que si ce tiers n’est pas fiable, vous exposez possiblement vos données au lieu de les protéger.

Certains fournisseurs VPN gratuit par exemple revendent votre navigation. Donc en voulant protéger votre trafic, vous l’avez en fait exposé encore plus. Encore une fois, on reste dans l’adage "si c’est gratuit, c’est que vous êtes le produit".

Pour plus d’information sur cet aspect, je vous invite à lire l’article de Frandroid (bien que sponsorisé, ce post explique bien le problème) sur le sujet :

Dangereux et peu efficaces, pourquoi il est déconseillé d’utiliser un VPN gratuit

Avant d’expliquer pourquoi l’utilisation d’un VPN gratuit peut présenter des dangers, il est nécessaire de revenir sur le principe même du VPN et sur son

FrandroidHumanoid Content

De même, certains VPN se targuent d’être "zero log", comprendre par là qu’ils ne loggent pas votre trafic. Toutefois, vous ne pouvez pas le vérifier vous-même et faire confiance au fournisseur.

C’est ainsi que des logs d’un VPN "zero log" se sont retrouvés dans la nature dernièrement :

Des VPN zero logs laissent fuiter… leurs logs

Le chercheur en sécurité Bob Diachenko a découvert une base de données exposant les logs journaliers du service UFO VPN. Problème : cet éditeur de VPN promettait de ne conserver aucun log sur l’activité de ses utilisateurs.

ZDNET FrancePar Louis Adam | Lundi 20 Juillet 2020

Réduction de votre bande passante

Point à ne pas oublier : un VPN peut réduire votre débit et augmenter votre latence.

Cela paraît logique, vu que l’on ajoute un intermédiaire supplémentaire pour la connexion Internet.

À titre d’exemple, voici un test de connexion avec et sans VPN :

Le blocage des VPN

De plus en plus de sites Internet bloquent les VPN ainsi que TOR. Le but n’est pas tant de lutter contre la vie privée que de se protéger. En effet, nombre d’attaques sont effectuées au travers de VPN pour limiter les traces exploitables.

Ainsi si vous accédez à certains sites via un VPN, vous aurez parfois au mieux un "captcha" et parfois un blocage direct.

Les adresses IP publiques des VPN sont connues des fournisseurs cloud publics (OVH, AWS, etc.) ainsi que la plupart des protections antibot, qui "scorent" nativement un utilisateur derrière un VPN comme potentiellement dangereux.

Est-ce que ça sert à quelque chose que j’utilise un VPN ?

C’est la question que l’on peut se poser à l’issue de ce billet.

Je dirais qu’il y a deux variables à prendre en compte :

• Quelle est votre utilisation d’Internet
• Avez-vous un budget pour avoir un VPN payant efficace

Pour ma part, de par mon utilisation d’Internet, je me retrouve souvent avec du contenu "dangereux" sur lequel je veux laisser le moins d’information possible, d’où l’utilisation du VPN en quasi-permanence. La plupart du temps, je désactive uniquement le VPN pour jouer en ligne.

Et TOR dans tout ça ?

Je n’ai pas couvert TOR volontairement dans ce billet, car cela mériterait un sujet à part entière.

Outre l'accès au darkweb, il faut comprendre que les avantages/inconvénients sont sensiblement les mêmes à part que :

• TOR est sensiblement plus lent qu’un VPN payant
• by design, TOR ne peut pas logger l’activité des utilisateurs
• TOR est bloqué par énormément plus de sites Internet

En conclusion

J’espère que ce billet vous apportera un éclairage supplémentaire pour comprendre l’utilisation et les limites d’un VPN.

Il faut bien retenir que le VPN n’est qu’un élément parmi d’autres pour protéger votre navigation Internet, on pourrait ajouter :

• Utiliser un navigateur qui bloque par défaut les traqueurs : Firefox ou Brave par exemple
• Naviguer sur des sites respectueux des données utilisateurs : ce blog par exemple (#autopromo)
• Avoir une utilisation éclairée sur Internet pour éviter de donner plus d’informations que nécessaire