Sections de cet article:

• 1. Qu'est-ce qu'une connexion VPN ?
• 2. Intérêts et utilité du VPN
• 3. Le VPN n'est pas une protection
• 4. Limites du vpn, anonymat sur internet
• 5. Liens utiles

Introduction tirée d'un article de Canard PC (n° 45)

"C’est un peu caricatural, mais si vous regardez des vidéos sur YouTube, vous n’avez pas pu rater les publicités pour le plus gros sponsor du moment, NordVPN. Mais la société n’est pas la seule : beaucoup de fournisseurs de VPN arrosent des youtubeurs, payent pour des sujets « publi-rédactionnels », etc. Ils peuvent évidemment faire de la publicité (il y en a peut-être dans ce numéro, mais je ne l’apprendrai qu’au bouclage). Mais les arguments mis en avant pour vous convaincre de profiter de la promotion permanente sur les VPN m’énervent un peu."

Je partage complètement l’avis de l’auteur de cet article. Cette promotion permanente m’énerve aussi (je ne suis pas le seul je pense). Les arguments avancés pour vanter l’offre VPN sont exagérés, souvent approximatifs et parfois mensongers. Avec cette invasion de publicités et le fait que maintenant toutes les suites de sécurité incluent un VPN (en abusant aussi malheureusement d’argumentaires limites), cela crée un faux sentiment de sécurité chez les utilisateurs quand ils utilisent un VPN, ce qui entraîne une prise de risques supplémentaire de la part de ces utilisateurs qui se croient pleinement protégés.

J’ai personnellement constaté, lorsque je m’occupais du support technique d’une solution de sécurité (qui incluait un VPN), le décalage entre ce qu’offrait le VPN de la suite et ce qu’en attendaient les utilisateurs. Et quand la connexion VPN ne fonctionnait pas pour des raisons diverses et variées, les utilisateurs ne se croyaient plus en sécurité sur internet.

Note : On dit "chiffrer" pas "crypter".

Un VPN (Virtual Private Network) est un service qui permet de sécuriser et de rendre anonyme la connexion internet d’un utilisateur en créant un tunnel chiffré entre son appareil et un serveur distant sécurisé. Ce service agit comme un intermédiaire entre l’utilisateur et Internet, redirigeant le trafic web à travers un serveur VPN avant de le transmettre vers sa destination initiale, telle qu’un site web ou une application. Une connexion VPN garantie plus de sécurité et de confidentialité pour les systèmes connectés quand l’infrastructure réseau seule n’est pas en mesure de l’assurer.

Lorsqu’un utilisateur active un VPN, son appareil se connecte donc à un serveur distant par l’intermédiaire d’un tunnel dans lequel toutes les données transmises, entrantes et sortantes, sont chiffrées. Ce chiffrement garantit la sécurité des données en les rendant illisibles pour quiconque n’a pas la clé de déchiffrement. Les protocoles de connexion au VPN, comme OpenVPN, IKEv2, IPsec, PPTP ou WireGuard (et de nombreux autres protocoles propriétaires), garantissent la sécurité de la connexion. Le VPN permet étalement de ne pas révéler son adresse ip publique (assignée à sa connexion par le fournisseur d’accès à internet). En masquant l’adresse IP réelle, la localisation de l’utilisateur est également masquée. Pour les sites et les serveurs distants, c’est l’adresse ip du serveur VPN utilisé qui sera visible (et la localisation associée).

En résumé, un VPN crée un environnement sécurisé où le trafic internet de l’utilisateur est protégé et acheminé à travers un tunnel chiffré vers un serveur distant.

Le fait de cacher sa vraie adresse IP peut avoir un intérêt, si votre connexion a été bannie d’un serveur ou si vous êtes désireux de ne pas être identifié sur des forums ou réseaux sociaux par votre adresse IP réelle. Un VPN permet de contourner ces restrictions en masquant votre adresse IP et en vous attribuant une autre provenant du serveur VPN.

Ensuite, il peut être pratique de simuler une localisation à l’étranger. Par exemple, si vous voulez accéder au catalogue de Netflix des États-Unis depuis la France, un VPN vous permettra de changer votre adresse IP pour une adresse américaine, donnant ainsi l’impression que vous êtes situé aux États-Unis (ce qui contrevient aux CGU de Netflix et qui ne fonctionne pas tout le temps).

Pour ceux qui craignent Hadopi et qui utilisent le P2P (peer-to-peer), un VPN est également utile pour éviter tout problème lié au partage de fichiers.

Un autre avantage majeur du VPN est de cacher votre activité en ligne à votre fournisseur d’accès à Internet. Cela vous permet de naviguer sur le web en toute discrétion, sans que votre FAI puisse surveiller ou limiter votre accès à certains contenus.

Les VPN sont également largement utilisés pour se connecter à distance à un site ou à une entreprise, assurant ainsi la sécurité des échanges et permettant l’accès à des ressources qui ne sont disponibles normalement que sur le réseau interne de l’entreprise.

Si on utilise un réseau WIFI public (ne jamais se connecter sur des hotspots Wifi publics !) ou une connexion peu sûre (et qu’on ne dispose pas d’une connexion 4/5G), une connexion VPN est recommandée. Elle permettra d’éviter les interceptions du trafic par un tiers malveillant (attaque Man in the middle, Sniffing) mais aussi des injections de malwares.

Enfin, les VPN permettent d’accéder à des contenus censurés dans certains pays, permettant ainsi un accès libre à l’information.

Il faut le dire, le rappeler et le marteler. Se connecter en permanence par VPN n’est pas nécessaire pour votre sécurité ! Même si le fait de masquer votre adresse IP publique peut vous protéger contre certaines attaques ciblées, une connexion VPN ne constitue pas une protection à part entière et ne rajoute pas une couche de sécurité à votre connexion. La plupart des sites web sont déjà sécurisés et utilisent le protocole HTTPS par défaut. Le protocole HTTPS permet de chiffrer l’échange de données entre l’hôte et le site distant (entre votre navigateur et le site web visité), afin d’assurer la confidentialité des échanges. La communication reste ainsi secrète, sans risque d’interception

Un VPN seul, ne vous protège pas des malwares, des sites malveillants, et des spams ou des phishings, comme on peut l’entendre et le lire dans la plupart des publicités de fournisseurs VPN. Le VPN n’empêchera pas également le dépôt de cookies (réglage à faire dans le navigateur) et les traqueurs publicitaires (installez une extension de type Ublock Origin). Il n’empêchera donc pas les publicités intrusives de s’afficher lorsque vous naviguez sur internet.

Le VPN peut empêcher votre pistage, car c’est l’adresse IP du serveur VPN qui est vu comme hôte distant par le serveur, mais les sites distants ont bien d’autres moyens de vous reconnaître ou de vous pister, en plus des cookies. Comme moyen d’identification, s’il n’y a pas de connexion par l’intermédiaire d’identifiants, ils peuvent créer des profils (fingerprinting) en se basant sur les habitudes de navigation, l’environnement technique utilisé (navigateur, heure, fuseau horaire, présence d’une webcam, langue, extensions installés, résolution, type système d’exploitation, etc) basé sur informations techniques). Pour rendre plus difficile cette collecte d’informations, il est préférable d’utiliser un navigateur comme Firefox (ou encore mieux Tor) et d’y renforcer les réglages dans les préférences de vie privée. Il est possible aussi d’installer en complètement de Ublock Origin, des extensions comme Privacy Badger, Ghostery, NoScript. Pour comprendre comment une empreinte d’utilisateur peut être établie et se rendre compte des données collectées par un site lorsqu’on utilise un navigateur, il suffit de se rendre sur ce site https://amiunique.org/fr

Concernant le contournement des restrictions géographiques, même si un VPN permet de les contourner, non seulement cela contrevient aux conditions d’utilisations de nombreuses plateformes de streaming, mais surtout cela ne fonctionne pas systématiquement. En effet, les plateformes de streaming et bien d’autres sites web, collectent régulièrement les adresses IP de serveurs VPN connus afin de bloquer les connexions passant par ces serveurs ou de les bannir définitivement.

La connexion venant d’un serveur VPN peut être détectée par des systèmes de sécurité comme faisant partie d’attaques réalisées par des bots. Par exemple, lors d’une recherche Google, si on utilise un serveur VPN, qui est utilisé au même moment par des milliers d’autres utilisateurs qui font également une recherche, une demande de validation sera envoyée à l’utilisateur pour prouver que c’est bien un humain qui se connecte. Lorsque j’étais technicien support pour une suite antimalware, il arrivait fréquemment que des sites, notamment des sites bancaires, bloquent la connexion venant du serveur VPN. La sécurité anti-fraude mise en place par les banques, intègre un blocage systématique de toute connexion venant d’un serveur VPN connu. Cette sécurité inclut souvent également une protection anti-bots (comme évoqué plus haut).

Les offres VPN sont légion et ne se valent pas toutes (robustesse du chiffrement, options, performances, etc). Il faut toujours choisir avec discernement comme pour n’importe quel service ou produit, les fournisseurs de VPN ne dérogent pas à la règle. Et ne pas faire confiance à son FAI (Fournisseur d’Accès à Internet) ne doit pas entraîner le transfert sa confiance vers une entreprise inconnue, qui est en plus très souvent soumise à d’autres lois que celles en vigueur dans son pays d’origine. Vérifiez bien où se trouve le serveur sur lequel vous allez vous connecter et faire passer toutes vos données, car les lois concernant les données varient selon les pays. Il faut savoir à qui nous confions ces données, en identifiant clairement le pays d’origine, le prestataire et l’offre proposée (évitez à tout prix les offres gratuites). Également, le fournisseur de l’offre VPN comme toute entreprise n’est pas à l’abri d’attaques ou de failles de sécurité, il peut donc lui être aussi victime de fuites de données.

Enfin, une connexion vpn ne vous rendra pas anonyme contrairement à ce qui vanté par les nombreuses publicités (voir plus bas 4.).

Note : Concernant Nordvpn, le roi des sponsors de vidéos Youtube, qui fait énormément de publicité avec moult arguments fallacieux, il faut rappeler que cette société est une société domiciliée au Panama ! Pour quelle raison devrait-on avoir plus confiance à cette société (qu’à son FAI) pour faire passer tout son trafic sur leurs serveurs ?

Le VPN ne rend pas anonyme. Votre fournisseur de VPN sait qui vous êtes (vous avez compte et vous avez utilisé un moyen de paiement en ligne), et comme vu plus haut, les sites web ont bien d’autres moyens pour vous reconnaître. C’est votre navigation qui devient anonyme, pas vous en tant qu’individu. Quand vous utilisez un VPN, votre fournisseur d’accès peut déterminer que vous naviguez sur le web, il ne pourra simplement pas déterminer exactement ce que vous faites dans cette navigation.

Le VPN masque l’adresse IP publique de sa connexion, mais à partir du moment où vous vous connectez à un compte à l’aide d’identifiants, le service concerné vous reconnaît évidemment et votre activité sera liée à cette connexion. En se connectant à son compte Facebook tout en étant connecté par VPN, toutes les données envoyées au serveur de Facebook sont chiffrées (elles l’étaient déjà sans VPN), mais vous n’êtes pas anonyme en tant qu’utilisateur, Facebook sait qui vous êtes, car vous êtes tout simplement connecté à votre compte. Votre activité et l’historique sont connues par Facebook, VPN ou pas VPN.

Selon les pays où se trouvent les serveurs VPN, les fournisseurs de VPN ont l’obligation légale de collaborer avec les autorités (du pays ou d’autres pays s’il y a des accords de coopération en matière de police) en fournissant les informations nécessaires à l’identification de cybercriminels. Les fournisseurs de VPN qui disent ne conserver aucun log (nolog), jouent sur les mots ou vous mentent (dans leurs publicités). Il suffit de lire les longues conditions générales d’utilisation pour déterminer ce qu’il advient de nos données. Certes, ils ne conservent généralement pas les adresses des sites et serveurs contactés, mais la plupart des fournisseurs de VPN, même s’ils disent ne conserver aucun log, conservent souvent des données de connexion basiques (date, heure, adresse ip de l’utilisateur). Beaucoup le font par obligation légale, ce qui permet d’identifier par un croisement entre adresse ip et heure de connexion, la personne qui utilisait la connexion VPN à ce moment précis.

Si on veut protéger son identité, la solution pour un plus grand anonymat et une meilleure confidentialité, est Tor. Tor est une meilleure solution pour être anonyme sur internet. Tor, qui signifie "The Onion Router", est un réseau décentralisé composé de milliers de serveurs appelés nœuds. Lorsque vous utilisez Tor pour vous connecter à Internet, votre trafic est acheminé à travers plusieurs de ces nœuds de manière aléatoire, créant ainsi un réseau en "oignon" où chaque couche représente un nœud différent. Cependant, même Tor ne garantit pas un anonymat absolu, notamment parce que certains nœuds peuvent être compromis ou contrôlés par des entités malveillantes.

Je n’évoquerai pas en détail l’autre alternative qui est l’utilisation d’un proxy externe anonyme (Socks ou HTTP), cependant il est important de réaliser qu’un proxy ne sera pas une meilleure solution en matière d’anonymat et de sécurité des données, qu’un VPN. Par exemple, si vous utilisez un serveur proxy gratuit de type HTTP (sans chiffrement ou avec un chiffrement trop léger), le risque de vous retrouver avec une connexion moins sûre qu’en vous connectant à un serveur web directement via votre navigateur, est nettement plus important. Les serveurs proxy peuvent, comme les serveurs VPN, être bloqués par les serveurs. Et il se pose toujours le problème de la confiance que l’on peut accorder à cet intermédiaire, si on accepte que toutes ses données passent par leur serveur proxy, même si le proxy utilisé est un proxy à haut degré d’anonymat ou un proxy déformant.

Quelques liens :

https://www.lemagit.fr/definition/VPN
https://www.01net.com/vpn/definition/
https://www.numerama.com/cyberguerre/1101242-quest-ce-quun-vpn.html
https://www.youtube.com/watch?v=ckZGQ5cLIfs
https://www.clubic.com/antivirus-securite-informatique/vpn/article-874538-1-comment-fonctionne-vpn.html
https://www.fortinet.com/fr/resources/cyberglossary/proxy-vs-vpn

---