Sécurité numérique

Des VPN pas si confidentiels

ANALYSE. Le marché des logiciels promettant l’anonymat des internautes est en pleine expansion. Mais entre la traque des Etats autoritaires pour les bloquer et l’hypocrisie de certains services, comme ceux de Facebook, la confidentialité semble avoir ses limites

Les VPN ont la cote. Ces services, permettant de chiffrer les données et de contourner la géolocalisation via des serveurs installés à l’étranger, voient leur demande exploser. Ces réseaux privés virtuels (ou Virtual Private Networks) répondent à l’inquiétude grandissante de voir nos données contrôlées ou volées, tout en permettant un accès au contenu géographiquement bloqué. Global Market Insights estime que ce marché pourrait dépasser les 54 milliards de dollars d’ici à 2024.

Concrètement, en passant par un service VPN, l’utilisateur voit ses données et l’adresse IP de son destinataire chiffrées par un logiciel qu’il a lui-même installé. Ces données chiffrées sont alors envoyées à un serveur, généralement à l’étranger. Ce serveur va se charger de déchiffrer les données et de les envoyer au destinataire final, en remplaçant l’IP de l’utilisateur initial par la sienne.

Autrefois réservés aux entreprises, aux hackers ou aux dissidents politiques, ces réseaux privés se démocratisent. L’un d’entre eux, NordVPN installé au Panama, a lancé une large campagne de promotion en sponsorisant, en échange d’une courte présentation élogieuse, de nombreux youtubeurs francophones. Ainsi on trouve aujourd’hui des VPN à tous les prix, même gratuits.

Traqués par les Etats autoritaires

La situation n’est pourtant pas si simple. De plus en plus d’Etats autoritaires les traquent pour les bloquer. C’est le cas de la Chine qui, en janvier, a envoyé sa première amende à un utilisateur de VPN. Ce dernier a ainsi dû payer l’équivalent de 145 francs suisses, près d’un cinquième du salaire moyen chinois.

A lire aussi: La liberté de l’internet régresse de façon inquiétante

En Russie, dans une volonté de contrôle d’internet toujours plus importante, les parlementaires proposent régulièrement d’interdire purement et simplement l’accès aux VPN. D’après Carmela Troncoso, professeure assistante chargée du Security and Privacy Engineering Laboratory de l’EPFL, une telle censure est techniquement possible. Un gouvernement peut reconnaître l’adresse IP du serveur VPN auquel quelqu’un cherche à se connecter et le bloquer ou poursuivre cette personne si cette pratique est illégale. Un risque qui diminue sans pour autant disparaître avec un service comme Tor, surtout connu pour être une porte d’entrée du dark web. The Onion Router multiplie les serveurs intermédiaires. De plus, le chemin employé est modifié aléatoirement en permanence pour réduire les risques de traçage. En maintenant secrets les IP de plusieurs serveurs d’entrée, Tor tente également de supprimer le risque d’être repéré. Un système qui a son revers, la vitesse de connexion étant généralement faible.

A lire aussi: La Russie met au point un intranet national

Une question de confiance

Pour Carmela Troncoso, la surveillance gouvernementale n’est pas la seule inquiétude à avoir. «Même s’ils ne peuvent pas lire les données de leurs utilisateurs, ces services VPN ont un accès direct aux métadonnées associées, comme les heures de connexion, ou les adresses IP.» Des informations pouvant être enregistrées voire transmises à un autre service (gouvernement, autre entreprise…).

En février, Facebook abandonnait son application Onavo Protect. Déjà banni de l’App Store d’Apple l’été dernier, ce VPN gratuit récoltait les données de ses utilisateurs, dont celles provenant des autres applications du téléphone, et les redirigeait vers les services marketing de Facebook. Encore un temps disponible pour le système d’exploitation Android, la décision de retirer ce service a été prise après une enquête du média américain Techcrunch. Elle révélait qu’une partie du code d’Onavo était utilisée dans une autre application de Facebook. Celle-ci échangeait contre des bons cadeaux le droit de récolter des données chez ses utilisateurs, dès 13 ans.

D’autres services VPN ont été pris à communiquer des métadonnées de leurs utilisateurs à des organismes gouvernementaux, comme PureVPN avec le FBI en 2017 dans le cadre d’une enquête de cyberharcèlement. Pourtant, dans ses conditions d’utilisation, ce fournisseur VPN affirme ne conserver aucun journal des connexions de ses clients.

«Il s’agit surtout d’une question de confiance, conclut Solange Ghernaouti, directrice du Swiss Cybersecurity Advisory & Research Group de l’Université de Lausanne. C’est à l’utilisateur final de décider s’il peut confier ses données à un tiers et avoir une certaine assurance du niveau de protection offert.» Mais l’experte déplore qu’une majorité de clients ne dispose pas des outils pour prendre cette décision de manière éclairée. «Même si ces services affirment ne rien garder, comment en être sûr? Ils doivent prouver qu’on peut leur faire confiance. La confiance, cela se construit.»


Publicité