32 | Vous et Votre Mac 164 | Mars 2020

Utiliser un VPN optimise votre sécurité et votre anonymat en chiffrant les communications sur le réseau Internet. Un tel service nécessite des moyens techniques et a un coût non négligeable, celui des serveurs et de la bande passante. Les plus sérieux font payer des abonnements. Il est tentant de céder aux sirènes des offres gratuites qui pullulent… mais il faut en connaître les limites, et les éventuels risques à s’en servir! DENIS DUBOIS

En substituant à votre véritable adresse IP, attribuée par votre FAI, une adresse fictive localisée dans le pays de votre choix, un VPN [1] vous permet

d’accéder à des services et à des sites géobloqués de ce pays, souvent des services de replay TV ou de streaming

vidéo situés aux États-Unis, mais aussi d’accéder aux chaînes de télévision françaises lorsque vous êtes en vacances (ou expatrié) à l’étranger. Un VPN compatible vous permet d’utiliser des services restreints ou interdits par votre FAI, comme le téléchargement de fichiers torrents (car votre FAI n’est plus en mesure

d’identifier les données chiffrées qui transitent). Ils permettent également de protéger votre vie privée en empêchant le suivi ou le pistage publicitaire dont le but est de vous proposer des annonces ciblées selon vos goûts et préférences. Leur utilisation est particulièrement recommandée lorsqu’ils sont utilisés pour

protéger la consultation d’un compte en banque ou de régler un achat en ligne alors qu’on utilise une connexion Wi-Fi publique. Pour toutes ces raisons, l’utilisation d’un VPN s’est beaucoup démocratisée ces dernières années [2] et leur nombre a explosé. On dénombre plusieurs centaines de services de ce type. Nombre d’entre eux mettent en avant leur gratuité. Or, l’exploitation de nombreux serveurs (parfois plusieurs dizaines) et leur bande passante génèrent un coût non négligeable. Sans parler du coût de développement du client VPN pour différentes plateformes de bureau (Mac, PC, Linux) et les appareils mobiles. Si les utilisateurs ne payent pas, alors qui paye? Cet article avance des arguments qui devraient vous faire réfléchir et vous inciter à ne pas utiliser de VPN gratuits… ! ! !

Vie privée, confidentialité, suivi marketing…Attention aux VPN gratuits!

1

SOL-164 [DD] VPN gratuits en question (4P).qxp_Mise en page 1 09/02/2020 11:25 Page 32

WINSCRIBE FREE (https://fra.windscribe.com) La formule gratuite offre un volume de données confortable de 10 Go de données par mois (2 Go si vous ne voulez pas renseigner votre adresse e-mail à l’inscription) et un choix parmi dix localisations géographiques et surtout, ce qui reste une exception, un nombre d’appareils illimités. Windscribe supporte le protocole OpenVPN, autorise le P2P et n’enregistre pas les journaux de connexion (logs). Les serveurs spécifiques pour Netflix (nommés WINDFLIX) ne sont accessibles qu’aux utilisateurs payants. Parmi ses nombreuses fonctions, ROBERT propose de choisir des contenus à bloquer comme les publicités, les traqueurs, les malwares ou les cryptomineurs. Pour un usage moins ponctuel, mais pas à plein temps évidemment, Windscribe fait régulièrement des promotions via Twitter, par exemple; grâce à une telle offre, notre rédacteur en chef utilise Windscribe sur son Mac et tous ses appareils Apple ou autres, avec un quota « à vie » de 60 Go/mois [1] et l’accès à une belle brochette de serveurs, dont deux en France.

PROTONVPN FREE (https://protonvpn.com/download) C’est une valeur sûre car il est un des rares à faire preuve de transparence en publiant le code source de ses cinq applications sur GitHub et en faisant auditer leur sécurité par un cabinet indépendant. ProtonVPN Free n’inclut pas de publicité et ne vend pas vos données, mais il présente bien sûr des restrictions. S’il n’impose pas de limite de bande passante, sa vitesse est réduite et il faudra se limiter à l’installer sur un seul appareil. Sa version gratuite propose de choisir seulement trois localisations géographiques. Enfin, le support du P2P est absent de la formule gratuite. TUNNELBEAR (https://www.tunnelbear.com). Si son interface est originale pour un VPN et son utilisation des plus simples. TunnelBear n’est malheureusement pas généreux, avec un volume de données de seulement 500 Mo par mois. Juste de quoi essayer avant de passer à l’abonnement. Vous pouvez toutefois gagner 1 Go supplémentaire en tweetant sur le service. La version gratuite permet l’installation sur un seul appareil, mais vous aurez accès à l’intégralité des vingt-trois localisations géographiques disponibles, France comprise [2]. TunnelBear ne vend pas les informations personnelles; le service se finance par le biais des

abonnements payants. C'est un VPN qui ravira les débutants par sa simplicité et son aspect ludique. HIDE.ME (https://hide.me/fr/free-vpn) Ce service, qui se présente comme « le VPN le plus rapide au monde », propose une offre relativement classique pour un VPN gratuit: le volume de donnée est limité à 2 Go/mois. Quatre localisations sont proposées, pas la France. L’installation est limitée à un seul appareil. Cependant, il dispose de quelques atouts, à commencer par une vitesse identique à la formule payante et, un accès au support technique 24h/24 et 7j/7. Hide.me ne procède à aucun enregistrement d’informations de ses utilisateurs et ni de journaux de connexion, n’affiche aucune annonce publicitaire, supporte le protocole OpenVPN. 1.1.1.1+WARP (https://1.1.1.1) C’est une application mobile gratuite pour iOS et Android qui comprend un résolveur de noms de domaine (DNS) chiffré, axé sur la protection de la vie privée (1.1.1.1) et un VPN (Warp) [3]. De concert, ils optimisent la vitesse de chargement des pages web, renforcent la confidentialité et la sécurité (lire VVMac 161). Ils fonctionnent en transparence, en installant un profil VPN sur l’appareil mobile. Un simple interrupteur permet l’activation et la désactivation de la protection. La société américaine Cloudflare qui le gère n’enregistre pas les adresses IP, ne revend pas les données de navigation, ne les utilise pas pour de la publicité ciblée. Aucune information personnelle (nom, téléphone ou adresse mail) n’est nécessaire pour utiliser l’application. La solution se finance par l’offre Premium Warp+ qui vise les professionnels.

Cinq VPN gratuits auxquels vous pouvez faire confiancePour un usage ponctuel, les offres gratuites d’essai des services VPN payants sont à privilégier sur les services gratuits illimités. En voici cinq qui ont une bonne réputation.

1

2

3

33 | Vous et Votre Mac 164 | Mars 2020

SOL-164 [DD] VPN gratuits en question (4P).qxp_Mise en page 1 08/02/2020 09:33 Page 33

4213033092588534414740487527565255111

DES POLITIQUES DE CONFIDENTIALITÉ INACCEPTABLES Peu d'entre nous prennent le temps de lire les conditions générales et les politiques de confidentialité des applications et services que nous utilisons. Pourtant leur lecture est importante quand il s’agit d’un service censé garantir le respect de la vie privée et de la sécurité numérique. Ces textes régissent les conditions d’utilisation des données. Soit ces services gratuits ne mentionnent pas ce qu’ils font de vos données (cette omission leur permet d’en faire ce qu’ils veulent), soit ils disent explicitement qu’ils partagent vos informations avec des tiers, par exemple des régies publicitaires. Une très grande majorité de ces VPN gratuits, pourtant distribués sur les magasins en ligne (App Store et Google

Play Store) présente des politiques de confidentialité non conformes ou invasives pour la vie privée des utilisateurs. PUBLICITÉS ET PISTAGE Se financer par la publicité est une pratique courante des VPN gratuits. Le problème est lorsqu’ils vendent vos

données personnelles (fournies volontairement lors de l’inscription au service) et/ou vos données de navigation à des régies publicitaires chargées d’afficher des publicités ciblées, basées sur vos centres d’intérêt, pour leur produit ou d’autres produits ou services. Une étude récente sur les VPN Android (http://bit.ly/bnet485) a démontré la présence d'au moins une bibliothèque de suivi dans 75 % des applications VPN gratuites prétendant protéger la vie privée des utilisateurs. Et 8 % de toutes les applications VPN en embarquent plus de cinq! VOTRE VIE PRIVÉE MENACÉE De nombreux VPN gratuits, notamment ceux téléchargés sous Android via le Google Play Store, peuvent mettre à mal

votre vie privée. Parmi les cent cinquante applications de VPN gratuits testées par le site de référence Top 10 VPN, les chercheurs ont découvert que 25 % d’entre eux provoquent des fuites de données non chiffrées (fuites DNS, WebRTC ou IP), 85 % demandent des permissions excessives pouvant entraîner des abus en matière de protection de la vie privée

(https://bit.ly/2NSWE1B). Sans parler de nombreuses failles de sécurité et autres problèmes de performances. Plus inquiétant, 18 % des applications soumises à l’inspection de VirusTotal (https://www.virustotal.com), un service de Google qui effectue une analyse sur plus de soixante-dix antivirus en ligne, à la recherche de virus et autres logiciels malveillants, ont retourné un résultat positif. Soit vingt-sept des cent cinquante VPN testés! LA CHINE DERRIÈRE DE NOMBREUX VPN GRATUITS Une autre étude de Top10 VPN, de décembre 2018, portant sur les trente meilleures applications de VPN gratuits disponibles sur les magasins en ligne, et téléchargés plus de 85 millions de fois, a mis en évidence une absence de protection formelle de la vie privée. Dix-sept de ces VPN appartenaient à des entités chinoises ou étaient basés en Chine… un pays où l’utilisation des VPN est pourtant interdite! Les entreprises qui offrent ces services ont la possibilité de fouiller dans le trafic passant par leur service, de récupérer les données et de les vendre ou de les exploiter à des fins publicitaires. De là à penser que le pays autorise ou du moins tolère la captation des données des étrangers à des fins de renseignement ou dans un but économique, il n’y a qu’un pas. Plusieurs VPN chinois mentionnent explicitement, dans leur politique de confidentialité, partager des données avec la Chine: « Nos entreprises peuvent nous demander de transférer vos données personnelles vers des pays extérieurs à l’Espace économique européen, y compris des pays comme la République populaire de Chine ou Singapour ».

DE TROP NOMBREUSES ET FORTES RESTRICTIONS Par rapport aux VPN payants, les VPN gratuits présentent de nombreuses limites. Ils sont bridés de différentes manières en fonction de chaque VPN. Ils peuvent offrir un volume de donnée mensuel limité (de quelques centaines de mégaoctets à quelques gigaoctets par mois). Le nombre de pays disponibles ne donne guère de choix et, souvent, il n’y a pas de support du P2P, ni bien sûr des fonctions avancées que proposent les VPN payants. Le nombre d’appareils sur lesquels vous pouvez installer l’application se limite le plus souvent à un seul. Surtout, le service est lent et la bande passante est réduite. C’est comme si vous rouliez sur une route départementale à 60, alors que ceux qui payent roulent sur une autoroute. Votre navigation s’en trouve ralentie, les téléchargements pénibles. Inutile de penser faire du streaming vidéo dans ces conditions. Ces limitations agaçantes n’ont pour seul but que de vous inciter à basculer le plus rapidement possible vers une offre payante du fournisseur. FAIBLE PROTECTION DU TRAFIC, VOIRE AUCUNE PROTECTION Enfin, les VPN gratuits intégrés dans un navigateur, comme celui d’Opera Software (pour Mac comme pour Android), ou sous forme d’extensions (le catalogue d’extensions de Firefox est riche de dizaines de VPN en tout genre), ne protègent que vos données de navigation, uniquement le trafic web. Les autres activités, comme le téléchargement de fichiers de poste à poste (P2P), l’envoi de courrier, les conversations audio/vidéo… rien de cela n’est donc sécurisé.

34 | Vous et Votre Mac 164 | Mars 2020

Part des Français utilisant un VPN (Virtual Private Network) en France en 2019, selon la tranche d'âge (Infographie © Statista 2020)

2

SOL-164 [DD] VPN gratuits en question (4P).qxp_Mise en page 1 08/02/2020 09:33 Page 34

HOLAVPN Le fournisseur du service Hola se rémunère en commercialisant la bande passante de ses utilisateurs, car il ne possède aucune infrastructure et ne fournit aucune adresse IP, mais utilise celle de ses 47 millions d’utilisateurs qui font passerelles! Leurs machines sont utilisées, à leur insu, comme nœud de sortie, vers des sites potentiellement illégaux, et sont donc responsables de l’utilisation faite par un tiers de leur adresse IP! C’est un cas de fraude manifeste (fraude dont le VPN australien, VPNSecure, a également été soupçonné en 2016). Elle est apparemment totalement assumée par fournisseur de Hola (https://bit.ly/36kIexq): au moment de télécharger la version gratuite, il avertit l’utilisateur [1] que ses ressources inactives seront utilisées au bénéfice de tous (sic!) ainsi que pour une utilisation commerciale. De plus, il est précisé que la version gratuite ne sécurise absolument pas le trafic (aucun chiffrement n’est appliqué)! À ce jour, Hola revendique malgré tout plus de 200 millions de téléchargements!

HOTSPOT SHIELD FREE En 2017, AnchorFree a été accusée par un groupe de protection de la vie privée, via une plainte auprès de la FTC (Commission fédérale américaine du commerce) pour pratiques commerciales trompeuses concernant

la version gratuite de son VPN, version que 97 % de ses clients avaient privilégiée (http://bit.ly/cdths485)! Elle est accusée d’avoir intercepté et redirigé le trafic vers des sites web partenaires, dont des agences de publicité. AnchorFree affiche ses propres annonces publicitaires dans son VPN. Une étude sur l’analyse des risques de confidentialité des VPN Android, publiée en fin d’année 2016 (http://bit.ly/bnet485) avait aussi mis en lumière des pratiques abusives de AnchorFree. Hotspot Shield [2] (ainsi que WiFi Protector VPN) injectait du code JavaScript à des fins de publicité

et de suivi, et redirigeait le trafic des utilisateurs vers des sites commerciaux (comme alibaba.com). AnchorFree a toutefois toujours nié ces accusations. Sur son site, AnchorFree revendique 650 millions de téléchargements du VPN dans le monde.

BETTERNET VPN Il semble que ce VPN, qui totalise des millions d’utilisateurs, ait accumulé de nombreux problèmes de sécurité. En 2017, son extension pour Chrome a été piratée, ce qui a provoqué un détournement de trafic et exposé ses utilisateurs à des fenêtres popup potentiellement malveillantes ainsi qu’au vol de leurs informations d’identification. De plus, il intègre de très nombreuses bibliothèques de suivi tierces – pas moins de quatorze bibliothèques ont été dénombrées par une étude sur les VPN Android! (http://bit.ly/bnet485) – afin de monétiser l’application avec des annonces ciblées. Derrière Betternet, se cache AnchorFree, la même société que derrière Hotspot Shield – ceci explique peut-être cela! ONAVO (L’ANCIEN VPN DE FACEBOOK) Au travers de la fonction Protéger des Paramètres de l’application mobile Facebook [3] se cachait le VPN Onavo Protect, que Facebook avait racheté en 2013. Cette fonction collectait vos données de trafic, officiellement «…pour améliorer les produits et services de Facebook… et créer de meilleures expériences ».

Onavo, comme tout VPN, avait la possibilité d’analyser votre activité avec des apps tierces (donc pas seulement sur FB). Les données recueillies étaient envoyées à Facebook, même lorsque le VPN était désactivé. Apple a fini par exclure Onavo de l’App Store, et Facebook a définitivement arrêté Onavo en mai 2019. Si vous aviez installé Onavo, veillez à ce qu’il ne soit plus présent sur aucun de vos appareils.

Quelques VPN gratuits à fuir comme la peste!La plupart des VPN à éviter enregistrent vos journaux d’activité (log), parfois à l’encontre de ce qu’affirme leur politique de confidentialité, et, n’ont d’autres choix que de les transmettre aux autorités judiciaires de leur pays lors d’une demande officielle, soit collectent vos données de trafic pour les revendre à des agences publicitaires, ou encore font l’objet de nombreuses fuites, IP ou/et DNS (HotSpot Shied, PureVPN, ZenMate), qui mettent à mal votre anonymat en dévoilant votre véritable identité. Notez qu’il arrive que des fournisseurs de VPN soient contraints de délivrer leurs journaux d‘activité aux autorités judiciaire afin d’identifier un individu, en contradiction avec leur politique de confidentialité affichée, qui stipule ne pas conserver les historiques de connexion (journaux ou logs), voire qui évitent d’aborder la question en maintenant volontairement un flou. Cela jette un trouble dans la communauté des utilisateurs. La réputation et la crédibilité de ces services s’en trouvent durablement entachées. C’est arrivé à HideMyAss (2011), PureVPN (2017), Hotspot Shield (2017)… et beaucoup de cas ne sont pas connus du grand public.

1 2

3

35 | Vous et Votre Mac 164 | Mars 2020

SOL-164 [DD] VPN gratuits en question (4P).qxp_Mise en page 1 08/02/2020 09:33 Page 35

4213033092588534414740487527565255111