Avez-vous encore besoin d’un VPN pour surfer sur le web ?

Atlantico : Pouvez-vous nous rappeler comment fonctionne un VPN, et comment sont-ils utilisés en terme de sécurité informatique ?

Frédéric Mouffle : Le VPN (Virtual Private Network) est un serveur informatique qui a pour fonction de faire transiter du trafic Internet (navigation Web, e-mail, RDP) et tout autres types de services distants. Concrètement comment cela fonctionne, l’utilisateur se connecte par l’intermédiaire d’un login et d’un mot de passe au serveur VPN créant ainsi une liaison sécurisée que l’on appelle aussi un tunnel. L’intérêt premier est que tout le trafic qui est généré entre vous et le serveur final est crypté avec une clé de chiffrement très difficile à casser (plusieurs milliers d’années pour casser une clé de 256 Bits). Pour imager le fonctionnement d’un VPN, il faut imaginer une autoroute avec une voie de droite enfermée dans un tunnel. Vous qui êtes sur la voie du milieu, vous ne voyez pas les véhicules qui circulent sur la voie de droite car ils sont dans un tunnel. C’est souvent l’exemple que j’utilise lors de sessions de sensibilisation utilisateurs car la plupart d’entre eux ont une vision très abstraite de ce type de service.

En termes de sécurité informatique, le VPN permet aux salariés de pouvoir se connecter en toute sécurité au serveur de l’entreprise et par conséquent pouvoir accéder aux ressources (accès au fichier de l’entreprise, e-mail, intranet…).

Concrètement, comment ça fonctionne, l'utilisateur achète une prestation VPN chez un opérateur. Une fois le service acquis, il dispose d’un compte. Il va pouvoir soit télécharger un logiciel qui aura la charge de créer la connexion. Pour les plus avertis, ils peuvent se passer du logiciel de l’éditeur et configurer eux la connexion VPN. L’utilisation d’un VPN n’est pas exclusivement réservée aux ordinateurs, il peut également être utilisé depuis un smartphone ou une tablette. La plupart des applications proposées par les prestataires permettent de choisir l’adresse IP par laquelle vous voulez vous connecter. Plusieurs pays différents sont disponibles. C’est l’utilisateur qui fait son choix.

L’avantage d’un VPN au-delà du fait que le trafic n’est pas interceptable, c’est qu’il permet de cacher son adresse IP, d’éviter dans certains cas de voir ses données collectées, de ne pas être géolocalisé. Certains l’utilisent pour pratiquer du téléchargement ou d’avoir la possibilité de se connecter à des plates-formes vidéos non autorisées depuis certains pays. Pour une plate-forme dont l’utilisation n’est possible que depuis les États-Unis par exemple, si vous vous connectez avec une adresse IP française, la connexion ne sera pas autorisée. En revanche si vous utilisez un VPN avec une adresse IP américaine, la plate-forme vous verra comme une personne se connectant depuis les États-Unis et vous autorisera l’accès.

Selon plusieurs experts en sécurité, la plupart des ménages n’ont pas besoin de VPN pour aller sur Internet depuis le domicile, et encore moins depuis les réseaux publics. Et ça, malgré les larges campagnes et le marketing des sociétés de VPN. Pourquoi depuis quelques années, utiliser un VPN est probablement inutile ?

Les services de VPN peuvent avoir de l’intérêt pour certains utilisateurs qui ne souhaitent pas être tracés sur Internet. Certains vont utiliser ces services pour cette raison, d’autres pour ne pas être géolocalisés et certains pour pouvoir pratiquer le téléchargement illégal sans risque de se faire identifier. L’utilisation d’un VPN peut avoir de l’intérêt lorsque vous vous connectez à des points d'accès publics comme dans les gares, les hôtels ou les restaurants. Par le passé, certains hackers ont pratiqué l’usurpation de hotspots afin de pouvoir intercepter votre trafic et collecter vos identifiants. Cette pratique se fait de plus en plus rare, sa mise en œuvre reste complexe et incertaine. D’autres méthodes existent pour se protéger, plusieurs modules dans Firefox par exemple permettent de changer certaines données liées à votre type de navigateur Internet, à votre système d’exploitation ou à votre résolution d’écran. Pour certains d’entre eux, des services VPN sont intégrés masquant ainsi votre adresse IP. Il ne faut pas oublier que la navigation privée apporte aussi certaines garanties et est totalement gratuite. L’intérêt des sociétés proposant des services VPN est bien sûr de créer un besoin qui par conséquent n’est pas forcément utile pour le commun des mortels.

Lorsque l’on utilise ce type de service, il est nécessaire de se poser un certain nombre de questions : qui est le prestataire ?  Ou est-il localisé ? Que fait-il avec les données qui transitent par leur serveur ? La plupart des services VPN proposent du (nolog), c’est-à-dire qu’ils vous apportent la garantie que l’historique de navigation n’est pas conservé sur leur serveur. Ce n’est que du déclaratif, des arguments commerciaux. Ce qu’il faut savoir c’est que pour maintenir des serveurs en place les logs, traces ou un journal d’événement permettant de pouvoir identifier l’origine d’un dysfonctionnement ou d’un accès non autorisé (hacking). Il est donc peu probable que les serveurs n'aient aucun Log. Cet aspect des choses a fait débat auprès des plus gros prestataires avançant ces arguments. Depuis quelque temps, les grands acteurs du marché, n'hésitent pas à faire appel à des sociétés d’audit spécialisées afin d’obtenir des certifications de non-conservation des données. Ceci ayant pour but de rassurer les utilisateurs qui pourraient avoir des doutes sur le bien-fondé des garanties proposées. Ils affichent souvent le fait que leur société est installée dans des pays (l'exemple du Panama) dont les juridictions ne permettent pas de transmettre des données. Aujourd’hui certains fournisseurs comme OVH proposent de mettre en place son propre VPN. Pour les utilisateurs (honnêtes), l’avantage est que vous avez un total contrôle du serveur et des données qui transitent. C’est sûrement la meilleure solution pour disposer d’un service de qualité et en France.

Pensez-vous qu’offrir la possibilité à tout le monde d’avoir son VPN crée des risques supplémentaires, par exemple ; en créant un faux sentiment d’invincibilité et de sécurité en surfant sur internet ?

Ce qu’il faut bien comprendre c’est que l’utilisation d’un VPN ne protège pas des virus, ni que vous naviguez sur un site légitime. Il permet de naviguer sous une autre IP, de masquer son trafic face à son opérateur Internet, dans certains cas d’éviter la collecte de données personnelles. Le fait de se cacher derrière un serveur VPN ne vous empêchera pas d’être inquiété si vous pratiquez des activités illégales sur Internet ou de la diffamation. C’est évidemment plus compliqué pour les services de police de vous identifier mais d’autres méthodes plus spécifiques existent pour identifier un auteur.

 La sécurité de la navigation Internet est intimement liée au comportement de l’utilisateur, des sites qu’il fréquente et de son niveau de connaissance des « best practices ». Si tout le monde utilise un VPN, Internet deviendra payant car le modèle économique de la plupart des plates-formes gratuites sont la commercialisation des données et des profils clients qui peuvent être élaborés. On le voit bien avec des plates-formes comme YouTube par exemple qui propose des services payants pour supprimer les publicités. Certains sites de presse, lorsque vous refusez la collecte de cookies, vous orientent vers un service payant pour compenser le manque à gagner. C’est finalement le vrai prix à payer pour naviguer sans pub. Il faut également noter que l’utilisation d’un VPN peut créer un certain nombre de problèmes notamment lorsque vous vous connectez à votre banque. Si votre IP n’est pas celle habituelle, la banque peut considérer que c’est un accès frauduleux et bloquer vos comptes. 

Il est également important de savoir que certains pays interdisent purement les VPN comme la Chine, la Turquie, l’Irak et Oman.