Faut-il utiliser un VPN ?
Les réseaux privés virtuels (VPN) peuvent offrir une couche de confidentialité et de sécurité supplémentaire lors de la navigation sur Internet, mais de nombreuses personnes n’en ont pas besoin.
Les avantages et inconvénients des VPN
Pendant des années, de nombreux experts en sécurité ont conseillé aux internautes d’utiliser des VPN pour renforcer la sécurité de leur navigation. Notamment, les VPN étaient censés aider à se prémunir contre le piratage lors de l’utilisation du Wi-Fi gratuit dans un aéroport ou une bibliothèque. En effet, ces services acheminent le trafic de navigation à travers un tunnel chiffré.
Les VPN peuvent également empêcher votre fournisseur d’accès à Internet de connaître les sites que vous visitez, car le trafic entrant et sortant de votre ordinateur transite par les serveurs du VPN. Cela peut sembler intéressant pour quiconque se méfie de son FAI.
Tout cela reste valable, du moins dans une certaine mesure. Mais comme spécialiste dans la tech, j’ai vu les recommandations des experts en sécurité évoluer avec le temps. Les VPN peuvent être utiles, mais ils ne sont pas indispensables pour chaque personne ou chaque situation, d’autant plus qu’une grande partie du trafic web est désormais chiffrée en HTTPS.
De nombreux experts s’inquiètent bien moins du risque de piratage dans un café local que du pistage publicitaire, contre lequel un VPN ne peut rien. Pour un internaute lambda accédant au web depuis son Wi-Fi domestique, il y a peu de raisons d’utiliser un service VPN. Les évaluations approfondies du magazine Consommation ont identifié des VPN leaders sur lesquels on peut compter. Mais les tests ont aussi montré que certains VPN peuvent même dégrader la confidentialité et la sécurité des données.
La vérité révélée par les tests
À l’heure actuelle, de larges pans du web sont chiffrés. Comme les VPN bien configurés chiffrent tout le trafic sortant de l’ordinateur, ils constituaient une protection importante pour de nombreux internautes. Mais les systèmes d’exploitation et les navigateurs se sont beaucoup améliorés en matière de sécurité depuis. De nos jours, il est possible de passer des heures en ligne – pour la banque, les mails, les réseaux sociaux, le shopping, les vidéos – sans tomber sur un site non chiffré.
Google déclasse désormais les sites sans HTTPS, et les navigateurs vous alerteront si vous essayez de visiter un site sans connexion HTTPS. Let’s Encrypt, une organisation à but non lucratif fournissant gratuitement des certificats de chiffrement aux sites web, déclare en délivrer actuellement pour 276 millions de sites.
Certains souhaitent utiliser un VPN pour masquer leur identité ou leur localisation aux sites web visités. En effet, cette technologie dissimule votre adresse IP. Mais ce n’est pas aussi efficace que ça en a l’air. Si les sites d’entreprise utilisent les adresses IP comme identifiant, il existe de nombreux autres outils de géolocalisation contre lesquels un VPN ne protège pas.
Votre localisation peut être déterminée via le GPS, le nom du réseau Wi-Fi auquel vous êtes connecté, les cookies de suivi, les pixels invisibles, et l’empreinte numérique, qui permet aux sites et applications de vous identifier de manière unique via des caractéristiques de votre appareil. Il existe tout un écosystème dédié à la monétisation de l’identité en ligne, que le VPN ne contrera pas.
En masquant votre adresse IP, un VPN configuré correctement empêche votre FAI et d’éventuels tiers avec qui il partagerait vos données de connaître votre historique de navigation et les sites visités. Sans VPN, votre FAI peut voir les sites consultés, le temps passé, et des informations sur vos appareils. Beaucoup d’FAI partagent bien plus de données que leurs clients ne le pensent. Bien que le VPN rende toutes ces informations invisibles pour le FAI, le fournisseur de VPN peut alors tout voir à la place. Et il est extrêmement difficile de juger comment les centaines de fournisseurs VPN du marché traitent réellement vos données.
« Je comprends que les utilisateurs s’inquiètent du pistage et de la revente de leurs données par les FAI. Mais d’un autre côté, transférer ces données et cette confiance à un fournisseur VPN commercial aléatoire et non vérifié pourrait être encore pire », explique Reethika Ramesh, doctorante à l’université du Michigan.
Dans les tests du magazine Consommation sous Windows 10, Mullvad, IVPN et Mozilla VPN se distinguent par leurs solides protections de la confidentialité et de la sécurité, avec des politiques de confidentialité claires et des arguments marketing reflétant la réalité de leur produit. Leur code source est ouvert pour inspection par des chercheurs externes. Et ces fournisseurs de VPN se soumettent à des audits de sécurité indépendants dont ils publient les résultats.
Quand un VPN peut être utile ?
Pour certaines personnes dans certaines situations, les services VPN peuvent constituer un élément utile d’un plan pour améliorer la sécurité et la confidentialité en ligne.
Comme expliqué précédemment, les VPN masquent l’adresse IP. Bien qu’il existe de nombreuses autres méthodes de traçage, l’adresse IP est un outil facile d’identification. La masquer peut offrir une protection supplémentaire en combinaison avec d’autres mesures de confidentialité.
Cacher son adresse IP peut protéger contre l’identification facile par de petits sites où les administrateurs consultent les logs. Et comme certains sites l’utilisent pour le ciblage publicitaire, un VPN fait partie des outils permettant d’éviter que des annonces vous suivent sur le web.
Vous souhaiterez peut-être également masquer vos activités au propriétaire du café local ou aux administrateurs de votre université. Qui gère le réseau Wi-Fi auquel vous accédez peut apprendre quels sites vous visitez. « Si vous avez une relation personnelle avec la personne gérant votre réseau, vous pourriez envisager d’utiliser un VPN, car ce niveau de connexion permet aussi à cette personne d’établir un lien avec vous », explique Dan Guido, PDG de la société de cybersécurité Trail of Bits. « Elle connaît peut-être votre nom. Elle veut peut-être savoir ce que vous faites. »
Même si la plupart des sites sont chiffrés, « ce n’est pas le cas de tout », rappelle Matthew Green, professeur associé à l’Institut Johns Hopkins pour la sécurité de l’information. « Vous tombez sur des sites non chiffrés, et des informations fuient. Un VPN enveloppe tout ça, donc dans le contexte d’un café, vous êtes protégé. Pour la plupart des services réputés, je ne pense pas que ça puisse nuire et ça pourrait aider. »
Conseils pour utiliser un VPN en toute sécurité
Les VPN peuvent renforcer la confidentialité et la sécurité de votre navigation, mais c’est une protection relativement légère au vu des capacités de traçage de l’industrie numérique. Le plus important est d’appliquer les mesures de sécurité citées précédemment : gestionnaire de mots de passe, authentification multifactorielle, bloqueurs de publicités et de trackers, mises à jour logicielles, etc. « Les VPN ne protègent pas contre la plupart des risques connus en ligne, comme le hameçonnage, le pistage, les logiciels malveillants et les rançongiciels », rappelle Roya Ensafi, professeure adjointe à l’université du Michigan.
Il n’y a finalement aucune garantie qu’un fournisseur VPN soit digne de confiance, même avec des tests positifs. « Le mieux que nous puissions faire est d’évaluer des indices de fiabilité lorsque nous analysons un VPN », estime Kenneth White, chercheur en sécurité. Choisir un VPN qui semble solide est beaucoup plus sûr que d’en prendre un au hasard. Ne pas le faire pourrait vous exposer à des risques.
Vous pouvez aussi créer des profils de navigateur séparés pour votre VPN. Si vous êtes connecté à un compte Google avec votre VPN, il sera associé à cette adresse IP. Vérifiez également que les paramètres de protection maximale du VPN sont activés, comme le « kill switch » qui déconnecte internet si la connexion au VPN est interrompue.
Enfin, si vous êtes journaliste, lanceur d’alerte ou exposé pour une raison ou une autre, un VPN peut faire partie de la solution. Mais il est important de contacter des organisations spécialisées qui vous recommanderont des mesures personnalisées, pas forcément uniquement un VPN.
Laisser un commentaire