Malheureusement, il y a des cas où la réponse est oui. Nous avons tous entendu parler d’un VPN qui n’a pas réussi à assurer la confidentialité de ses utilisateurs. Il est important de se rappeler que tous les VPN n’ont pas été créés égaux, et il y a un tas de raisons pour lesquelles un VPN peut vous faire « prendre ».

Dans ce blog, nous examinerons le fonctionnement des VPN, leurs différences entre les fournisseurs, les limitations universelles liées à la technologie VPN et ce que vous devez faire pour vous assurer d’être aussi sûr que possible.

Confidentialité VPN

Les gens utilisent les VPN pour une grande variété de raisons. Cela dit, l’objectif principal d’un VPN est de gagner en confidentialité en ligne. Et la plupart des utilisateurs s’accordent à dire que la connexion à un VPN leur permet de se sentir plus détendus lorsqu’ils surfent sur le Web.

Cela permet d’utiliser Internet sans craindre que tout ce que vous faites en ligne soit surveillé (très important si vous vivez dans un pays où tomber accidentellement sur quelque chose qui est religieusement ou moralement interdit vous causera des ennuis).

Un VPN offre ce confort supplémentaire en empêchant le suivi des FAI et en garantissant que les réseaux Wi-Fi ne peuvent pas espionner vos visites Web. En conséquence, il est extrêmement difficile pour les agences gouvernementales de comprendre ce que vous faites en ligne.

Les VPN y parviennent en cryptant vos données et en les tunnelant vers un serveur VPN.

Pourquoi un VPN peut-il ne pas assurer la confidentialité ?

Il existe des centaines de VPN destinés aux consommateurs sur le marché. Tous les services n’ont pas été créés avec le même niveau de confidentialité et de sécurité des données. Lors du développement d’un VPN, certains facteurs cruciaux peuvent faire ou défaire ce service.

Chez ProPrivacy, nos experts examinent les VPN pour vérifier ces attributs de sécurité clés. Si l’une de ces fonctionnalités de confidentialité et de sécurité est manquante – ou ne fonctionne pas correctement – nous avertissons les lecteurs que le VPN n’est pas adapté pour gagner en confidentialité en ligne. En d’autres termes, le VPN pourrait vous permettre Se faire attraper.

Ci-dessous, nous soulignerons quelles sont ces caractéristiques et attributs principaux, et pourquoi ils sont importants pour garantir que le VPN fonctionne correctement.

La politique de confidentialité

La politique de confidentialité d’un VPN vous indique exactement ce que la société VPN va faire avec vos données. Certains VPN ont une politique de zéro journal (pas de journal), ce qui signifie qu’ils ne stockent aucun enregistrement de ce que font leurs utilisateurs lorsqu’ils sont connectés. C’est le meilleur type de politique de confidentialité VPN.

D’autres fournisseurs VPN ont une politique légèrement plus faible qui leur permet de stocker certains journaux de connexion. Ces journaux de connexion sont bénins et ne sont utilisés que pour garantir le bon fonctionnement du service (sans mettre en danger la vie privée de leurs utilisateurs).

Malheureusement, il existe des cas où une politique VPN autorise la collecte d’horodatages de connexion et de journaux de durée de session avec l’adresse IP personnelle de l’utilisateur. Ces journaux de connexion sont problématiques car ils peuvent être utilisés pour monter un attaque de corrélation temporelle.

C’est ce qui s’est passé quand PureVPN a aidé le FBI à attraper un cyber-harceleur. Au cours de cette enquête, PureVPN a fourni des détails sur le serveur VPN auquel un de ses utilisateurs s’était connecté et à quelle heure. Cela a permis au FBI de comparer ces enregistrements de connexion avec les journaux acquis à partir des services Web utilisés par le suspect pour se livrer au cyberharcèlement.

Bien que ce type d’attaque par corrélation temporelle soit très ciblé et ne soit généralement effectué que dans le cadre d’enquêtes criminelles sérieuses, il crée toujours une faille de confidentialité qui peut être exploitée pour trahir la vie privée de l’utilisateur. Un vrai VPN sans logs ne peut pas être exploité de cette manière.

Implémentation du chiffrement

Le cryptage d’un VPN est la première ligne de défense pour vos données. Par conséquent, le protocole de cryptage fourni par le VPN et la manière dont il implémente ce cryptage sont très importants. Certains protocoles obsolètes tels que PPTP sont considérés comme obsolètes, cela signifie qu’ils ne sont plus sécurisés contre les espions.

Malheureusement, un Etude CSIRO a révélé que certains VPN (en particulier les VPN gratuits) mentent sur le niveau de cryptage qu’ils fournissent. Au cours de l’étude, il a été constaté que certains VPN n’implémentaient aucun cryptage. Il s’agit d’un risque de sécurité énorme car cela signifie que vos données ne sont pas réellement privées lorsque vous utilisez le VPN.

D’autres VPN ne parviennent pas à mettre en œuvre leur cryptage selon les normes les plus élevées. En conséquence, les données passant par le tunnel VPN sont vulnérables aux attaques et pourraient être pénétrées.

Un cryptage faible est extrêmement problématique car il pourrait permettre à un pirate informatique ou à une agence gouvernementale d’accéder à vos données et de déterminer ce que vous faites en ligne.

Fuites

Lorsque vous utilisez un VPN, il est vital que le tunnel VPN soit exempt de fuites qui pourraient trahir votre vie privée. Si un VPN a des fuites IP, des fuites DNS ou des fuites WebRTC, cela pourrait entraîner le suivi de vos habitudes en ligne par votre FAI. Il permettra également aux services en ligne et aux sites Web de détecter votre adresse IP réelle.

En conséquence, un VPN qui fuit est le moyen le plus simple de se faire prendre. C’est pourquoi nous testons toujours les fuites lors de l’examen des VPN, et c’est pourquoi nous fournissons un outil de test de fuite VPN en ligne que tout le monde peut utiliser pour vérifier si son VPN fonctionne correctement.

Surveillance en temps réel

Même lorsqu’un VPN a une politique de non-journalisation (comme celle décrite ci-dessus), il est important de se rappeler que vos données doivent passer par les serveurs du VPN en temps réel.

Un VPN crypte les données entre votre appareil et ses serveurs pour empêcher les réseaux locaux ou les FAI de pouvoir suivre vos données et vos habitudes en ligne. Cependant, afin de résoudre vos requêtes DNS et acheminer votre trafic vers sa destination finale, il doit déchiffrer vos données et les envoyer lors de la dernière étape de son voyage (vers le service en ligne auquel vous souhaitez accéder).

Cela crée la possibilité pour le VPN (ou pour une agence gouvernementale) de surveiller ce trafic en temps réel (la surveillance des requêtes DNS est de loin le moyen le plus simple de vérifier ce que font les gens lorsqu’ils sont connectés à Internet ou à un VPN).

Alors, comment un VPN s’attaque-t-il à cela ?

Pour empêcher cela et garantir une plus grande confidentialité pour les utilisateurs, la plupart des VPN implémentent des IP partagées auxquelles plusieurs utilisateurs se connectent simultanément. Cela limite l’efficacité potentielle de la surveillance en temps réel (et constitue une bonne raison d’utiliser des adresses IP à occupation multiple pour la confidentialité plutôt qu’une adresse IP statique dédiée).

Pouvez-vous faire confiance à un VPN ?

Il est également important de se rappeler que, lorsque vous utilisez un VPN, vous faites confiance à ce fournisseur. Si le VPN a mal configuré ses serveurs et laissé des vulnérabilités qui pourraient être exploitées par des pirates – ou s’il n’est pas digne de confiance et choisit d’utiliser le VPN comme pot de miel de données, votre vie privée pourrait être menacée.

C’est pourquoi il est essentiel de s’en tenir à des fournisseurs VPN reconnus qui ont fait leurs preuves en matière de confidentialité et qui ont (de préférence) été audités de manière indépendante pour garantir que le service est exempt de vulnérabilités.

Pouvez-vous être suivi par des sites Web lorsque vous utilisez un VPN ?

Bien qu’un VPN fiable crypte votre trafic et envoie vos données via un tunnel sécurisé, cela ne signifie pas que vous ne pouvez pas être suivi par d’autres moyens.

L’exemple le plus évident est lorsque vous vous connectez à un service comme Google ou Facebook. Lorsque vous vous connectez à un compte, le service sait exactement qui vous êtes, que vous y accédiez ou non via un VPN.

Il en va de même pour les trackers comme les cookies laissés dans votre navigateur. Ceux-ci sont conçus pour vous suivre chaque fois que vous revenez sur un site Web (ou visitez un site Web affilié).

Ainsi, si un service en ligne a laissé des cookies (ou d’autres traceurs persistants tels que des pixels de suivi ou des cookies flash) sur votre machine, le service saura qui vous êtes et vous suivra lorsque vous vous déplacez sur le Web ; même avec un VPN connecté.

N’oubliez pas les applications !

Il convient également de noter que les applications peuvent suivre les utilisateurs à l’aide d’identifiants au niveau de l’appareil, tels qu’un identifiant publicitaire ou une adresse MAC. Ce suivi au niveau de l’application se produit toujours lorsque vous utilisez un VPN. Par conséquent, il est préférable pour votre vie privée d’utiliser les services via leur site Web (plutôt que leur application) si vous souhaitez empêcher certains suivis.

Pouvez-vous vous faire prendre en torrent lorsque vous utilisez un VPN ?

Un VPN fournit un cryptage pour dissimuler votre trafic. Il gère également vos requêtes DNS à la place de votre FAI, pour l’empêcher de détecter les sites Web que vous visitez et ce que vous faites en ligne.

Par conséquent, quiconque souhaiterait contacter votre FAI pour obtenir des informations vous concernant (agences gouvernementales ou avocats travaillant pour le compte des titulaires de droits d’auteur, par exemple) ne le peut pas. Cela vous donne la confidentialité de torrent sans que personne ne le découvre.

Malheureusement, votre VPN pourrait trahir cette confidentialité de plusieurs manières.

Comme indiqué précédemment dans cet article, un VPN peut avoir une politique de confidentialité faible, un cryptage faible ou des fuites qui vous permettent de vous faire prendre.

Un VPN pourrait également permettre à votre FAI de voir que vous téléchargez un torrent si la connexion VPN échoue. Par conséquent, il est important d’utiliser un VPN avec un kill-switch. Un kill-switch coupe complètement votre connexion Internet lorsqu’une connexion VPN est interrompue, pour vous empêcher de divulguer des données non cryptées à votre FAI.

En fin de compte, le meilleur moyen de vous assurer de ne pas vous faire prendre en torrent est d’utiliser un VPN fiable avec une politique de non-journalisation, un cryptage fort et ses propres serveurs DNS avec protection contre les fuites DNS. En conséquence, vous devez être pointilleux lors de la sélection d’un VPN pour le torrent – pour vous assurer d’obtenir une confidentialité adéquate.

Pourquoi certains criminels se font-ils prendre en utilisant un VPN ?

Lorsque vous commettez une infraction pénale à l’aide d’un VPN, vos chances d’être pris sont infiniment plus élevées car le gouvernement est plus incité à vous retrouver.

Dans ces circonstances, une société VPN pourrait recevoir un mandat l’obligeant à commencer à surveiller un utilisateur particulier ou à fournir des informations (journaux de connexion à côté d’une adresse IP) permettant une attaque par corrélation temporelle.

Il convient également de noter que bien que votre FAI ne puisse pas dire ce que vous faites en ligne lorsque vous vous connectez à un VPN, il peut toujours utiliser Deep Packet Inspection pour déterminer que vous utilisez un VPN, et il pourrait déterminer quel VPN vous utilisez par analyser l’adresse IP du VPN que vous utilisez.

Un VPN ne peut fournir une confidentialité continue que s’il stocke des journaux zéro, et, même dans ce cas, une analyse en temps réel pourrait être utilisée pour surveiller un utilisateur spécifique accusé d’avoir commis des crimes graves. En conséquence, un VPN n’est pas un outil infaillible pour empêcher les forces de police de traquer les criminels.

En fin de compte, si vous commettez des crimes graves – comme le piratage d’une banque – il devient très probable que la police forcera la société VPN à se conformer à un mandat pour fournir toutes les informations dont elle dispose, ou pour donner accès à ses serveurs pour permettre une enquête de cette fois-là.

Dans certains pays, l’utilisation d’un VPN pour accéder à du contenu restreint ou censuré est illégale. Cependant, ce n’est pas d’avoir un VPN qui est illégal – c’est ce que vous choisissez d’en faire.

De nombreuses entreprises utilisent des VPN pour protéger leurs données et pour garantir la sécurité de leurs employés lorsqu’ils utilisent des appareils de travail en dehors du bureau sur des réseaux Wi-Fi publics. Ainsi, les VPN sont considérés comme un outil légitime utilisé pour assurer la sécurité et la confidentialité des données.

Bien qu’il soit légal d’avoir un VPN, il est important de se rappeler que l’utilisation d’un VPN pour commettre des crimes est toujours illégale et que si vous êtes découvert, vous pourriez être poursuivi.

C’est pourquoi il est essentiel d’utiliser un VPN doté de fonctionnalités de cryptage et de confidentialité solides qui empêchent les fuites (protection contre les fuites DNS et kill-switch) ou qui dissimulent l’utilisation du VPN à votre FAI (obscurcissement).

Leave a Reply