VPN : promesses, mythes et réalité

Plusieurs fournisseurs de VPN (virtual private network en anglais) ont contribué au fil du temps à alimenter une certaine confusion sur l’étendue réelle des protections offertes. En cause : un marketing agressif et des promesses exagérées, voire « irréalistes » sur l’anonymat, d’après ce qu’avait conclu Consumer Reports il y a quelques années.

Déboulonnons ici trois mythes qui ont la couenne dure.

Mythe no 1 : Avec un VPN, je suis invisible en ligne.

Réalité : Vous ne serez jamais totalement invisible sur le Web, même avec un VPN. C’est l’une des plus grandes nuances apportées par les experts que nous avons interrogés. En cachant vos activités en ligne à votre fournisseur d’accès internet, vous ne faites en réalité que transférer votre confiance vers un fournisseur de VPN, selon ce qu’indique Patrick Mathieu.

« Il ne faut pas penser que vous êtes 100 % anonyme, expose-t-il. L’entreprise de VPN voit tout ce qui se passe. Si l’entreprise de VPN garde des registres (logs), elle sait tout ce que vous faites. »
- Patrick Mathieu, cofondateur du Hackfest et conseiller en sécurité informatique chez Hexius.

De plus, de nombreux sites web peuvent vous reconnaître même si vous changez d’adresse IP avec un VPN, comme le souligne Benoît Dupont. La technique de pistage par empreinte numérique unique (en anglais : fingerprinting), qui reconnaît par exemple les caractéristiques de votre système d’exploitation, de votre carte graphique et de votre écran, leur permet d’identifier votre appareil. Les témoins de connexion (cookies) de votre navigateur permettent aussi à des sites web de vous reconnaître et de suivre votre activité en ligne, avec ou sans VPN.

Mythe no 2 : Un VPN gratuit est une bonne affaire.

Réalité : À quelques exceptions près – notamment dans le cas de Proton VPN, recommandé par la section Wirecutter du New York Times –, les services VPN 100 % gratuits sont à éviter, d’après nos trois experts, qui lancent à l’unisson que, généralement, si c’est gratuit, c’est vous le produit. Vos données de navigation pourraient être revendues à des tiers, selon leur mise en garde. Avant de télécharger l’application d’un fournisseur, interrogez-vous sur son modèle d’affaires.

« Ils ont quand même des serveurs et une infrastructure à faire rouler. Il faut bien que quelqu’un paye à la fin. Il n’y a pas d’opérateurs philanthropiques… Moi, je déconseillerais fortement tout usage de VPN gratuit, parce que ça ne peut qu’attirer des ennuis et des complications, dit Benoît Dupont. Ça peut aussi être un moyen pour injecter des logiciels malveillants dans votre machine ou pour détourner votre trafic. »

Mythe no 3 : Un VPN me protège contre la fraude en ligne.

Réalité : C’est faux. Le VPN ne bloque pas les tentatives d’hameçonnage ni les logiciels malveillants que vous pourriez télécharger. « Ce n’est pas un antivirus. Si vous cliquez sur un lien malveillant dans un courriel, le VPN ne vous protégera pas », insiste Catherine Dupont-Gagnon.

Certains fournisseurs de service VPN ou de solutions de sécurité plus complètes, qui intègrent un antivirus, continuent pourtant de lui prêter de telles vertus, alors que ce n’est pas son rôle. « Nous ne sommes pas très loin de la fausse représentation avec tous les arguments pour vous protéger contre le vol d’identité », renchérit Benoît Dupont.

À lire aussi : Avez-vous vraiment besoin d’un VPN?, Antivirus : en avez-vous besoin, et devriez-vous payer pour cela? et Les meilleurs ordinateurs portables