Depuis longtemps, je me disais qu’il fallait songer à protéger mon trafic sur Internet, surtout quand j’y accède depuis des réseaux publics ou dans des chambres d’hôtel. Même en étant prudent, chacun peut se trouver à la merci d’un jeune pirate exerçant ses talents sur des réseaux mal protégés, d’un criminel en quête de données monnayables, d’un administrateur de réseau peu scrupuleux — ou des services d’espionnage d’un État soupçonneux. Sans même parler du sentiment irritant de traçage par des compagnies commerciales exploitant vos données : sans vraiment avoir quelque chose à cacher, le sentiment d’être suivi en ligne a quelque chose d’irritant ; il n’y a aucune raison de rendre la vie facile à ceux qui voudraient exploiter des informations personnelles à leur profit. Puisque les offres de VPN se multiplient et sont proposées à des prix très raisonnables, j’ai décidé d’en choisir une correspondant à mes besoins. Je croyais que cela serait simple : cela n’a pas été le cas, mais pas pour des raisons techniques.
Un VPN est un réseau virtuel privé, qui crée un « tunnel » entre des ordinateurs distants, en cryptant les données ; il permet également de changer l’adresse IP. La technologie VPN est utilisée par des entreprises ou des universités afin de permettre à des collaborateurs d’accéder à distance à leur réseau interne, sans risquer de compromettre la confidentialité des données au cours de la communication. Mais il existe aussi un nombre sans cesse croissant d’offres de VPN destinées à tout un chacun, à la fois pour se protéger en utilisant des réseaux publics et pour accéder à des sites bloqués : par exemple, un voyageur, dans certains pays, aura besoin d’un VPN s’il souhaite visiter des sites rendus inaccessibles par les services de surveillance.
Ces services de VPN offrent en général un abonnement (mensuel, semestriel, annuel…), qui coûte généralement entre 5 $ et 15 $ par mois (parfois un peu plus, parfois un peu moins, et fréquentes sont les offres d’abonnements à prix réduit). Cet abonnement comprend le plus souvent un trafic illimité et l’utilisation sur 3 ou 5 — voire 6 — appareils : par exemple un ordinateur de bureau, un ordinateur portable, un smartphone, une tablette… Certains fournisseurs utilisent des applications qui leur sont propres, d’autres proposent d’utiliser des outils comme OpenVPN, ou encore offrent les deux options. (Il ne faut pas se laisser intimider par OpenVPN : il existe des applications, même gratuites comme Tunnelblick, qui permettent facilement d’importer les configurations VPN fournies par un service, puis de gérer une ou plusieurs configurations VPN.)
Pourquoi un VPN, et quels critères ?
Cacher son adresse IP en simulant une communication qui provient d’un autre pays n’est pas seulement une technique appréciée par des dissidents politiques dans des zones sensibles : beaucoup plus banalement, c’est un moyen d’accéder à des contenus en ligne qui sont réservés uniquement aux personnes résidant dans une zone géographique. Il en va ainsi de programmes télévisés ou films diffusés en streaming : des millions de gens ne résidant pas aux États-Unis accèdent à du contenu de Netflix qui n’est pas accessible dans leur pays en recourant à des services de VPN. En janvier 2016, Netflix a d’ailleurs annoncé un renforcement des mesures pour prévenir de tels usages, en recourant à des techniques plus efficaces de détection des adresses proxy : à l’heure où sont écrites ces lignes, certains services de VPN annoncent sur leur site, comme argument commercial, que Netflix reste accessible en utilisant leurs serveurs. (Pour des personnes qui souhaitent uniquement regarder des émissions non accessibles dans leur pays et n’ont pas besoin d’un VPN, probablement des services comme Unlocator peuvent-ils aussi faire l’affaire, mais je ne l’ai évidemment pas testé.)
Inutile de le dire : ce n’est pas pour regarder des émissions de divertissement que je me suis intéressé à l’usage du VPN. Ce n’est pas plus pour des activités illicites ou pour cacher une vie secrète. Mon principal souci est de me protéger des cybercriminels : de limiter les risques de voir mes données volées ou l’une de mes adresses de courrier électronique usurpée par un individu qui réussirait à s’emparer de mon mot de passe pendant que je me connecte au réseau sans fil d’un hôtel, par exemple. Mais c’est aussi une question de principe : il me paraît légitime, surtout dans une époque d’hypercommunication et de dévoilement public permanent, de préserver autant que possible ma vie privée. Même si c’est uniquement pour en faire un usage commercial, je ne trouve pas normal que des mouchards suivent mes activités en ligne et puissent dresser mon profil : ce n’est pas pour rien que j’ai installé sur mon ordinateur des nettoyeurs de cookies, ces petits mouchards qui servent notamment à de tels usages, et que je procède à un grand nettoyage au moins une fois par jour.
La surveillance par la NSA, à laquelle l’affaire Snowden a donné une large publicité, n’est pas ma préoccupation première. Mais, puisque je me suis mis en quête d’un VPN, j’ai décidé qu’il fallait essayer de trouver la meilleure solution possible et également tenir compte de ce facteur : même s’il est peu probable que mon travail de chercheur devienne un jour une cible d’observation par des services de renseignement, autant se prémunir aussi de la surveillance que peuvent exercer des États, avec de possibles conséquences que nous ne devinons même pas. Le plus probable est que les informations concernant la majorité d’entre nous se retrouvent simplement dans ces vastes filets étatiques sans être recherchées, mais autant éviter de les rendre accessibles.
J’ai donc décidé de me livrer à l’expérience de la recherche d’un service de VPN en étant ouvert aux expériences avec des outils variés, mais en me fixant idéalement l’objectif de trouver celui qui rassurerait le plus paranoïaque des utilisateurs — tout en étant conscient qu’il me faudrait sans doute faire quelques concessions en fin de parcours. En outre, je me trouve dans la position de l’utilisateur sans connaissance des techniques de cryptage et en quête d’une solution « clefs en main », ou ne requérant que de minimes efforts de configuration. Car je vois déjà venir certains de mes lecteurs : mais pourquoi ne créez-vous pas votre propre réseau VPN, à partir d’un ordinateur qui resterait en permanence en marche à votre bureau ou à votre domicile ? Je réponds non. Je n’ai pas un ordinateur allumé en permanence chez moi pour un tel usage, je n’ai pas l’envie de me lancer dans une telle aventure, je ne me sens pas les compétences techniques pour le faire, et je n’ai pas de raison valable pour créer une telle infrastructure — sans même évoquer le fait que ce ne serait peut-être pas la solution la plus sûre, et certainement pas la plus commode. Ce texte relate la quête de VPN d’un utilisateur ordinaire, pas d’un expert en sécurité des réseaux.
Au pays de la NSA : renoncer aux VPN nord-américains (et à quelques autres)
Sur la base de mes critères stricts, la première chose à faire était de renoncer, par principe, à tout service de VPN ayant son siège aux États-Unis ou lié à des intérêts américains : de telles entreprises peuvent être contraintes de répondre aux injonctions qui leur sont faites, sans avoir le droit d’en faire état. C’est dommage, parce qu’il y a d’excellents services de VPN américains : IPVanish, par exemple, compte des fidèles convaincus, de même que PrivateInternetAccess. Mais j’ai décidé d’être cohérent dans ma démarche. En plus, en tant que citoyen suisse, à tort ou à raison, certaines affaires des dernières années et décennies ayant touché mon pays m’ont peut-être rendu plus sensible aux intrusions américaines…
Il existe des offres de VPN qui ne sont pas formellement installées aux États-Unis, mais semblent avoir des liens privilégiés avec ce pays, même s’il n’est pas aisé de savoir ce qu’il en est. Je doute que le personnel d’ExpressVPN travaille réellement aux Îles Vierges Britanniques, où se trouve son siège social. Cependant, c’est un service qui donne une impression solide et fait presque unanimement l’objet d’éloges par les sites d’évaluation : si les réserves qui me font hésiter de ce côté n’existent pas pour vous, certainement une option de qualité à considérer.
Je me suis dit qu’il valait mieux éviter aussi les services de VPN canadiens. J’ai ainsi renoncé à devenir client de TunnelBear, un fournisseur canadien qui propose des services destinés au grand public et a une adresse clairement identifiée à Toronto (ce n’est pas le cas pour tout le monde, nous allons le voir). Elle mérite une mention spéciale pour son plaisant site rempli… d’ours. Le thème de l’ours vous attend au contour de chaque page, et vous pouvez choisir entre l’abonnement « petit ours », « ours géant » ou « grizzly ». Difficile de leur résister, ce qui montre au passage combien nos choix peuvent être influencés par des considérations nullement rationnelles, par exemple un « emballage»sympathique et attrayant. Mais j’ai bravement poursuivi mon chemin sans lier amitié avec ces bienveillants ours, pour essayer de trouver une autre solution — d’autant plus que certains commentaires récents sont critiques quant à la qualité du service. Allez quand même visiter leur site, qui est très original et très réussi.
De même, j’ai laissé de côté les services de VPN britanniques. Parmi ceux-ci, l’entreprise qui a choisi le nom bizarre et vulgaire de HideMyAss (je vous laisse traduire!) est souvent bien notée par les sites d’évaluation.
Aux côtés des États-Unis, du Canada et du Royaume-Uni, l’Australie et la Nouvelle-Zélande collaborent dans le cadre de l’alliance dite Five Eyes ; de toute façon, pour un utilisateur résidant en Europe, il n’y aurait guère de sens à choisir des services VPN aux antipodes, en dehors de ces considérations de sécurité. Même s’il est vrai que plusieurs proposent des serveurs dispersés aux quatre coins du monde.
Cela dit, il ne faut pas se laisser obséder uniquement par ce facteur géographique : des moyens de surveillance utilisés aujourd’hui peuvent se jouer des frontières. Je n’ai pas la candeur de penser que le seul problème de sécurité pour un VPN est l’injonction d’un juge : je ne doute pas que certains services ont d’efficaces moyens pour accéder à un serveur et à son contenu en dehors de toute décision légale et du territoire national, surtout s’ils disposent de l’accès physique à un serveur et de portes dérobées pour épier le contenu (j’en reparlerai plus loin). La simple localisation administrative d’un service de VPN est un critère parmi d’autres, et qui n’a aucune importance pour certains usagers et certains usages. Disons qu’il s’agit d’ajouter un petit degré potentiel supplémentaire de protection de la vie privée, dans la logique de recherche de solution aussi sûre que possible définie au début de ma recherche.
VPN : un monde opaque — et peut-être pas toujours sûr…
Une fois ces options éliminées, il en reste encore beaucoup. Comment choisir ? Bien sûr, il y a les sites qui donnent une impression favorable et qui semblent régulièrement mis à jour. Mais cela ne nous révèle rien sur le niveau de sécurité qu’ils offrent. Et choisir un VPN me semble être non seulement une question de qualité technique (bien difficile à évaluer pour celui qui n’y connaît rien), mais aussi de confiance : la première chose est de savoir à qui j’ai affaire.
À chaque site visité, j’ai voulu découvrir les personnes derrière le site, dans quel pays l’entreprise était installée, à quelle adresse physique. Premier constat et petit malaise : l’opacité semble la règle plus que l’exception. Bien des services n’indiquent même aucune adresse physique. Certes, dans le domaine de la sécurité, il peut y avoir des raisons pour ne pas tout dire : mais cet anonymat ne crée pas un climat de confiance et n’est pas indispensable pour qui fournit des services légaux (je ne suis pas à la recherche d’un moyen de télécharger illégalement des fichiers, mais simplement de me protéger).
Prenons le cas d’un fournisseur de VPN bien noté et considéré comme attrayant du point de vue la sécurité : Hide.me. Ce service publie de temps en temps un transparency report, indiquant combien d’injonctions il a reçu au nom du Digital Millennium Copyright Act (DMCA), cette loi américaine controversée contre les violations du droit d’auteur. Indiquant fièrement le nombre d’injonctions reçues chaque mois, l’entreprise déclare que toutes ces demandes n’ont reçu qu’une seule réponse : « nous ne pouvons tenir et ne conservons aucun log ; nous ne sommes donc pas en mesure de vous fournir une information à ce sujet ». Le service est domicilié en Malaisie, mais son forum révèle une forte présence germanophone. En essayant d’en savoir plus sur les personnes derrière ce site, je découvre une section intitulée Who is behind hide.me, et voici ce que j’y lis :
We’re an international team of IT security experts that believes everyone deserves protection and privacy on the Internet. We began our careers building secure infrastructures for governments and corporations, and in the process we learned a lot about the weaknesses in online communication. Today, this knowledge helps us create the ultimate high-bandwidth, privacy-centric online protection service hide.me—a service built for everyone.
Security, speed and ease-of-use runs in our blood. After all, we have years of experience building and maintaining products and services. But we’re also proud that hide. me stands for something much bigger in today’s digital age—your privacy and freedom. As many products and services continue to violate these rights, we continue to fight for them. We do this because the choices we make now will effect the way the Internet will look and function in the future.
Aside from hide.me’s unparalleled protection and speed, we go that extra mile that some VPN providers fail to go. Our company is located in Malaysia, far away from any Western government. We are not forced to log or store internet session logs by law and we will never do so. We will never co-operate with any government or organisation that wishes to spy on unsuspecting citizens. And we are not obliged to hand over any data or records on our users to any of the above.
We believe in the Internet’s founding vision—to let people explore information from around the world in a free, decentralised way. Don’t just use any old VPN service. Invest in the future of privacy and freedom on the Internet. We’re hide.me, and you’re always welcome.
La déclaration d’intention est claire et ne peut que séduire quiconque est en quête d’une solution VPN sûre. Une adresse physique est aussi indiquée (dans un centre commercial de Kuala Lumpur, je ne me suis pas envolé vers la Malaisie pour aller vérifier). Mais une « équipe internationale d’experts » sans visage me demande de la croire sur parole et de lui faire confiance pour assurer la sécurité de mes activités en ligne en passant par des tunnels qu’ils contrôlent : ils assurent leur clients qu’eux-mêmes n’ont aucune possibilité d’accéder au contenu, crypté, et délibérément configuré de telle façon qu’ils ne puissent exercer aucun contrôle. Je suis volontiers disposé à les croire, et beaucoup d’utilisateurs le font ; mais, s’ils le décidaient ou y étaient contraints pour quelque raison, ceux qui construisent de tels tunnels sécurisés ne pourraient-ils aussi mettre en place des « portes dérobées » (backdoors) pour voir ce qu’ils s’interdisent aujourd’hui d’enregistrer ou d’aller regarder ? Je n’ai aucune raison de penser que c’est le cas de Hide.me : j’utilise cet exemple pour illustrer les questions qui surgissent à l’esprit de celui qui se met en quête d’un VPN.
Autre question après les premières heures d’exploration : si certaines compagnies proposent des serveurs seulement dans le pays où elles sont établies, d’autres en offrent dans dix, vingt, et même cent pays ou plus. Quel contrôle ont-elles sur leurs serveurs ? Heureusement, il ne m’a pas fallu enquêter moi-même pour trouver des éléments de réponse. Le site TorrentFreak effectue périodiquement — la dernière fois à l’automne 2015 — une enquête pour répondre à cette question et à onze autres, sous le titre Which VPN services take your anonymity seriously ? La dernière question de la liste demande si les services de VPN interrogés ont le contrôle direct sur leurs serveurs, et où ceux-ci se trouvent ? Il suffit de parcourir les réponses pour se rendre compte que l’écrasante majorité des services de VPN n’ont pas de contrôle direct sur leurs serveurs, même ceux qui se trouvent dans le pays où ils ont leur siège : ils affirment simplement prendre toutes les mesures nécessaires pour garantir leur sécurité, ou ne faire appel qu’à des partenaires en lesquels ils ont confiance, ou encore avoir le contrôle de ce qui importe vraiment. Plusieurs entreprises ajoutent que même quelqu’un qui saisirait un ou plusieurs des serveurs ne pourrait rien en faire, car tout le contenu est crypté. Ici encore, je suis convaincu que nombre de ces services agissent de façon responsable et prudente, et que le contrôle physique des serveurs n’est peut-être pas aussi crucial qu’il y paraît (?): cependant, tout repose sur une question de confiance et sur l’absence de porte dérobée, par rapport à des personnes dont nous ne connaissons souvent même pas le nom. Même s’ils sont honnêtes, ils peuvent être victimes de personnes qui le sont moins : aucun moyen, pour l’utilisateur sans connaissance, d’évaluer le véritable degré de sécurité assuré.
Bien sûr, la plupart de ces compagnies veulent se développer sur un marché : elles ont intérêt à offrir toutes les garanties de sécurité ; elles savent ce que leur clients attendent d’elles, et elles ont tout à perdre en ne remplissant pas leur contrat. Beaucoup d’entre elles font certainement de leur mieux. Mais combien seraient-elles prêtes à fermer leurs portes et à tout perdre plutôt que de céder à de discrètes, mais efficaces pressions qui s’exerceraient sur elles, comme l’a fait le fondateur du service de courriel crypté Lavabit en préférant arrêter ses activités face aux pressions subies au moment de l’affaire Snowden ? Et jusqu’à quel point se prémunissent-elles contre tous les risques ?
Il y a de bons fournisseurs de VPN à Hong Kong. Je pense à PureVPN, qui offre ses services depuis 2007 déjà, et dont le site est également disponible en françaisi. À l’instar de quelques autres services, PureVPN propose à la fois des tarifs bas et un nombre impressionnant de serveurs : plus de 500 serveurs dans plus de 140 pays ! Ce ne sont pas tous les services de VPN qui peuvent vous proposer des serveurs non seulement dans les pays les plus courants (la Suisse est souvent du nombre, en raison des garanties de sécurité qu’elle paraît offrir), mais aussi au Cap-Vert, en Équateur et au Turkménistan. PureVPN présente d’autres avantages : par exemple, tant sur un ordinateur que sur un smartphone, l’application permet à l’utilisateur de demander une connexion optimale en fonction de ce qu’il veut faire : un téléchargement de fichier ou avant tout une connexion sécurisée ? regarder un film en streaming ou accéder à un contenu dans un pays spécifique où il ne réside pas réellement ? PureVPN sélectionne alors le tunnel otpimal à ce moment. L’interface utilisateur est une réussite du point de vue de l’élégance, de la clarté et de l’aisance d’utilisation. Ce sont autant d’aspects qui rendent plaisante l’utilisation d’un tel service, avec son interface soignée.
Tentant… La question pour moi est simplement de savoir si je souhaite placer ma confiance, pour mes connexions sécurisées, dans un service qui a son siège à Hong Kong ? Tout dépend, sans doute, de l’usage que je me propose d’en faire. Il est vrai que le nombre d’années d’existence de PureVPN plaide en sa faveur, même si les critères que j’ai adoptés m’incitent à privilégier un fournisseur géographiquement moins lointain.
Petit tour dans quelques pays européens
En effet, après ces explorations initiales, il m’a semblé raisonnable de m’orienter plutôt vers un service de VPN dont le siège se trouve dans un pays européen. Mais où ?
Plusieurs fournisseurs se trouvent dans des pays d’Europe orientale et vantent un cadre légal qui, selon elles, serait favorable dans certains d’entre eux. Parmi celles qui proposent également leur services (en partie) en français, il y a CyberGhost, en Roumanie, qui bénéficie d’une réputation plutôt bonne dans le monde du VPN, qui a une adresse physique et qui présente individuellement chacun de ses collaborateurs sur son site : cela change de l’anonymat noté pour d’autres services. L’un des aspects de CyberGhost qui lui vaut une certaine estime est la publication régulière de rapports de transparence en anglais, qui détaille les plaintes reçues, qu’il s’agisse d’atteintes au droit d’auteur, de maliciels ou de demandes venant de services de police, et donnent d’autres informations, notamment sur l’évolution de la demande provenant de pays « sensibles ». Les serveurs de CyberGhost sont répartis dans une trentaine de pays.
CyberGhost a son propre logiciel (en anglais) que le client peut installer sur son ordinateur et sa propre application pour smartphone. Au premier abord, les démarches ne sont pas les plus intuitives pour l’utilisateur novice, mais ce n’est pas compliqué si l’on prend quelques minutes pour comprendre : une fois installé, tout fonctionne de façon très simple. Je relève aussi l’existence de multiples options dans la fenêtre de connexion. Par exemple, il est possible d’activer pour la navigation une protection contre les maliciels et le traçage ainsi qu’un blocage d’annonces publicitaires.
En me livrant à de très sommaires tests de vitesse, les serveurs de CyberGhost ont obtenu des résultats remarquables, tant en upload qu’en download (c’est rarement le cas dans les deux sens), à différentes heures de la journée. C’est donc une solution qui ne manque pas d’atouts. Précision importante : quand CyberGhost est activé, l’envoi de courriels est bloqué (ce qui n’est pas le cas avec la plupart des autres services VPN testés), mais on peut toujours recevoir des messages ; il est cependant possible de contourner ce blocage (et d’exclure des sites de la liste de la navigation anonyme, par exemple pour des sites bancaires que cela bloquerait) en plaçant certaines adresses dans une liste d’exceptions, comme l’explique l’aide de CyberGhost. Je n’ai pas eu l’occasion de tester le support, au sujet duquel les avis sont contrastés : le site promet une réponse dans un délai de 48 heures.
Un service moins connu qui se trouve en Roumanie est VPN.AC, qui existe depuis 2012. C’est une petite entreprise, mais qui donne une impression sérieuse — et ce n’est pas seulement mon sentiment : après l’avoir découverte, je suis allé chercher des évaluations en ligne sur des sites spécialisés, qui lui attribuent aussi de bonnes notes. Ce n’est pas seulement parce que cette entreprise a une adresse physique : on constate surtout qu’ils savent de quoi ils parlent. Ils prennent les questions de sécurité au sérieux, mais sans paranoïa. En fait, le service a été créé par Netsec, une entreprise créée en 2009 et spécialisée dans les questions de sécurité en ligne : outre VPN.AC, elle a créé notamment SafeOrNot, un service d’analyse des vulnérabilités de sites, et est activedans la communauté roumaine de la cybersécurité. VPN.AC indique avoir le contrôle physique sur ses serveurs en Roumanie, mais pas sur les autres serveurs loués dans quinze autres pays. Le client peut choisir entre différents protocoles VPN dans le panneau d’administration du logiciel.
Le site donne des informations précises sur les moyens techniques utilisés, mais aussi des explications claires sur les questions particulières qui peuvent surgir. VPN.AC ne fait pas des promesses impossibles et attire aussi l’attention de ses clients sur toutes les mesures qu’ils doivent prendre de leur côté s’ils tiennent à préserver en ligne leur données privées de façon rigoureuse. VPN.AC a un aspect un peu plus technique que d’autres services semblables, sans pour autant être compliqué. L’utilisateur peut aussi faire fonctionner VPN.AC en utilisant Tunnelblick. Le trafic est limité à 2 TB par mois, ce qui suffit largement à l’immense majorité des utilisateurs. L’objectif de cette limite est d’éviter que des personnes abusent et compromettent ainsi la fluidité du trafic pour les autres utilisateurs. VPN.AC dit conserver les logs de connexion pendant 24 heures, afin de pouvoir résoudre d’éventuels problèmes rencontrés, sur un disque encrypté séparé des serveurs du service et dans un autre lieu.
Dans un autre genre, avec un accent mis sur la facilité d’utilisation, un petit service installé en Hongrie, même si j’ai appris que certaines de ses activités avaient été transférées à Gibraltar : il s’agit de Buffered, avec des serveurs dans plus de 25 pays (tous des serveurs loués), dont la Belgique, la France, la Suisse, le Canada. Les expatriés et personnes voyageant beaucoup représentent le public cible de ce service qui met l’accent sur la simplicité (« un logiciel que même nos grands-mères pourraient utiliser »), explique le co-fondateur de Buffered, le jeune Américain Jordan Fried, qui vit depuis 2011 à Budapest. Des connexions convenables, dans la moyenne de ce qu’on peut attendre d’un VPN. Je ne pense pas que le service clients réponde réellement aux demandes jour et nuit, comme l’affirment Buffered et nombre d’autres entreprises offrant des services de VPN ; en revanche, expérience faite, je dois dire que ce service est aimable, personnel, répondant (en anglais) de façon claire et précise aux questions posées. Sans doute est-ce l’avantage d’un fournisseur VPN de petite taille. Sur le plan de la sécurité, difficile de se prononcer : tout dépend de la confiance qu’on pense pouvoir accorder à l’entreprise. Les serveurs sont tous loués ; Buffered rencontre ces derniers temps des difficultés avec le fonctionnement de quelques-uns d’entre eux, mais assure que ces problèmes techniques seront résolus prochainement.
Puisqu’il est question du transfert d’activités de Buffered à Gibraltar, il faut mentionner ici un service qui y est installé (d’abord enregistré légalement à Malte) et qui jouit d’une réputation honorable en matière de sécurité ; il est aussi du nombre des compagnies de VPN qui soutiennent l’Electronic Frontier Foundation (EFF). Il s’agit d’IVPN. L’une des particularités d’IVPN est d’offrir un service multihop : afin de renforcer la sécurité et déjouer les surveillances, il est possible de faire passer le trafic non simplement par un, mais par deux serveurs successifs — par exemple un serveur d’entrée en France et un serveur de sortie en Islande. Cette technique est intéressante, mais, selon certains tests, son impact sur la rapidité de navigation ne serait pas négligeable. Je ne l’ai pas vraiment constaté, mais je n’ai pas procédé à des essais poussés et ne me sens d’ailleurs pas compétent pour les mener.
Mais pourquoi mentionner un service qui est établi à Gibraltar ? Cela n’enfreint-il pas la règle que je m’étais fixée au départ ? C’est aussi un peu mon sentiment, mais les responsables d’IVPN ont publié en janvier 2016, sur leur blogue, un texte pour répondre à ces interrogations : ils affirment que Gibraltar n’est pas soumis aux réglementations britanniques en matière de surveillance et insistent sur l’existence de règles gibraltariennes différentes en matière de protection des données. Je m’abstiens de conclure.
Une compagnie active dans le domaine des réseaux virtuels privés n’est pas toujours ce qu’elle donne l’impression d’être : j’avais par exemple envisagé de m’intéresser de plus près à une entreprise néerlandaises aux tarifs très bas, avant de comprendre qu’il s’agissait en réalité d’une entreprise ukrainienne avec domiciliation aux Pays-Bas. Dans le contexte actuel, je ne suis pas sûr qu’un service de VPN d’origine ukrainienne est le meilleur choix.
Sur le plan du respect de la vie privée et de l’insistance sur la protection des données personnelles, un service sont le siège se trouve en Italie s’est acquis une estimable réputation au fil des ans : AirVPN. AirVPN a été fondé en 2010 par des « hacktivistes » dans la mouvance du Parti pirate italien, soucieux de défense de la vie privée et de l’anonymat sur Internet. Un forum actif accompagne leur site. L’environnement est un peu plus technique que celui d’autres services, mais nullement inaccessible aux non spécialistes s’ils prennent le temps de lire les informations, comme le montre le panneau de contrôle de l’application qu’on peut installer sur son ordinateur. Celle-ci fournit des indications techniques qui peuvent être utiles. Il y a des fonctions appréciables : par exemple, si l’on veut utiliser le VPN uniquement pour des raisons de sécurité et pas pour accéder à des contenus dans un pays précis, il est possible de laisser l’application choisir automatiquement le meilleur serveur disponible : au moment où j’écris ces lignes, mon trafic passe par un serveur aux Pays-Bas. Les utilisateurs ont accès sur le site à des informations très précises sur l’état des serveurs, avec informations en temps réel sur tout problème, et ils peuvent configurer des scénarios d’accès sur mesure (par exemple pour usage sur un smartphone): accès indifférent à n’importe quel serveur sur le globe, sur un continent, dans un pays, ou accès spécifique à un serveur. AirVPN a quelque 80 serveurs dans 16 pays, pour servir des milliers de clients : au moment où est rédigé ce paragraphe, le site indique que 8.461 utilisateurs sont connectés. Parmi eux, des utilisateurs comme moi, mais aussi des personnes qui se trouvent dans des régions du monde où l’anonymat en ligne peut être vital. AirVPN est l’une des compagnies spécialisées dont on peut attendre des prestations solides en matière de sécurité.
La lumière viendrait-elle du Nord ?
Assez naturellement, parmi ceux qui sont très soucieux d’anonymat et de respect de la vie privée en ligne, les regards se tournent vers les pays nordiques, pas seulement pour le VPN : on trouve en Norvège un service (payant) de courriel de qualité et raisonnablement sûr, Runbox.
Il y a quelques fournisseurs de VPN en Islande, par exemple Lokun, que je n’ai pas testé, parce que l’information sur le site m’a paru vraiment trop superficielle, ou encore Cryptostorm, qui a un site graphiquement original et qui attire des personnes très préoccupées par les questions d’anonymat et de sécurité. J’ai décidé de le tester en achetant un accès d’un mois à 6$, mais je dois humblement confesser que, bien qu’ayant suivi scrupuleusement les consignes pour transformer en code utilisable le jeton virtuel que j’ai reçu, je n’ai jamais réussi à établir la connexion avec le serveur. Adieu donc aux rivages virtuels mystérieux de l’Islande : j’ai quitté l’île pour regagner le continent !
En Suède, plusieurs services de VPN retiennent l’attention, comme le petit fournisseur très bien noté qui s’appelle Mullvad. Le site est sobre, mais donne au client toutes les informations nécessaires. Il indique aussi clairement quelle entreprise et quelles personnes se trouvent à l’origine de Mullvad (ce qui veut dire « taupe » en suédois). C’est un acteur mineur de la scène VPN : des serveurs dans cinq pays seulement, l’utilisateur pouvant bien entendu choisir celui ou ceux qu’il désire utiliser (je pense que la meilleure solution est de choisir ceux qui se trouvent en Suède). Mullvad va loin pour permettre l’anonymat de ses clients : il est possible de devenir client sans donner son nom, sans fournir d’adresse électronique ! Le nouveau client reçoit un long numéro et, s’il ne souhaite vraiment laisser aucune trace (bien que les paiements ne soient pas gérés directement par Mullvad), il a la possibilité de payer son abonnement mensuel (au prix fixe de 5€ mensuellement, quelle que soit la durée) non seulement en bitcoins, comme le font certains autres services, mais aussi en liquide dans une enveloppe, en indiquant simplement le numéro correspondant à son compte client. Anonymat total apparemment garanti !
Toujours en Suède, je n’ai pas testé AzireVPN, après avoir lu quelques commentaires mitigés d’utilisateurs, mais j’ai en revanche testé FrootVPN. Le lancement de FrootVPN, surgi de nulle part en octobre 2014, avait été fortement encouragé par le site de téléchargements (pas toujours légaux…) ThePirateBay. C’était, à l’origine, un service gratuit. Cela lui avait valu 100.000 utilisateurs enregistrés en quelques jours… et beaucoup de méfiance, vu les coûts d’une telle opération. Tout cela était-il propre, y avait-il des dessins moins avouables en arrière-plan, ou une opération destinée en réalité à surveiller les utilisateurs ? On peut trouver en ligne plusieurs discussions à ce propos, et le site BestVPN donne un bon résumé de la controverse. En janvier 2015, FrootVPN est devenu payant. Il est possible que le lancement initial sous une forme gratuite ait été une habile opération publicitaire pour un site destiné à devenir ensuite payant : ce n’est pas la seule startup sur Internet qui offre la gratuité ou des tarifs de promotion très faibles aux premiers clients, pour passer ensuite à un modèle plus commercial.
Les serveurs de FrootVPN se trouvent en Suède (et les responsables affirment avoir le contrôle sur ceux-ci), mais aussi aux États-Unis et — depuis février 2016 — au Canada. FrootVPN affirme respecter les critères de sécurité les plus élevés. Je dois dire que cela fonctionne très bien : quand je me connecte avec FrootVPN, l’établissement de la connexion est presque immédiat, et je ne remarque aucun ralentissement notable de ma navigation.
À première vue, c’est un service que je recommanderais : ce n’est pas une mauvaise idée, pour un service mettant l’accent sur la sécurité, d’offrir la possibilité à ses clients d’accéder uniquement à des serveurs en Suède, sous le contrôle des responsables du service. Mais ce qui me fait reculer, plus que les controverses qui ont entouré les débuts de FrootVPN, est l’absence de toute adresse physique, l’anonymat des responsables… de nouveau, ce sentiment gênant de devoir faire confiance à des inconnus qui m’assurent que je puis leur confier ma sécurité en ligne. Donc, même si je trouve que cela fonctionne bien, je renonce, de crainte de croiser dans les mêmes eaux que des pirates du Web…
Et si le salut venait des Alpes ?
Et plutôt que d’aller chercher aux quatre coins du monde, pourquoi pas un serveur VPN en Suisse, tout simplement ? Il en existe, à commencer par SwissVPN, qui appartient au groupe de télécommunications Monzoon Networks, connu notamment pour ses hotspots WiFi — c’est en tout cas la première chose que ce nom évoque chez moi. Il est possible, pour 6 francs suisses par mois (avec un supplément de 2 francs pour ajouter un pare-feu virtuel), d’avoir accès à une connexion avec leur serveur à Zurich. Il est possible de reconduire l’accès pour un ou plusieurs mois, mais tout aussi bien d’attendre la prochaine situation requérant l’usage d’un tunnel VPN : sur ce point, l’offre souple de SwissVPN se prête très bien aux attentes d’utilisateurs occasionnels. Sur smartphone, on peut utiliser OpenVPN ; sur ordinateur Mac, il faut passer par Viscosity, mais l’installation est simple. Si le site de Monzoon est moderne et sobre, celui de leur filiale SwissVPN rappelle un peu le style d’une époque précédente du Web et de sites commerciaux qui ne m’attirent guère. Cela fait un peu hésiter au premier abord, mais il faut dépasser cette première impression. Une fois la configuration installée, rien à redire : la connexion est rapide, aucun problème pour naviguer sur Internet, tant sur iPhone que sur ordinateur. Il est vrai que je me connecte en Suisse : avec les autres services de VPN, je suis en mesure de faire des tests en passant sur leurs serveurs tant en Suisse qu’à l’étranger.
Sur le plan de la sécurité, cela inspire confiance : une entreprise établie depuis des années, avec pignon sur rue — et un serveur seulement en Suisse. Vraisemblablement fiable, du moins tant que je ne commets rien d’illégal : à l’enquête de TorrentFreak, SwissVPN répond — très honnêtement — qu’ils conservent les logs des utilisateurs durant 6 mois et donnent suite à d’éventuelles injonctions judiciaires. Le cadre auquel se tient SwissVPN est celui de la Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) du 6 octobre 2000. Pour mon usage entièrement légal d’Internet, cela ne me dérange pas : il est donc probable que je conserverai SwissVPN parmi mes ressources possibles pour l’utilisation de tunnels VPN.
Un autre fournisseur VPN suisse se nomme Suissl. Également établi à Zurich, avec une adresse physique, ce service VPN est un service de Devoveo. Le site joue fortement sur l’image de discrétion de la Suisse, qu’il associe à l’idée d’une offre VPN sûre et de qualité, mais il donne finalement peu d’informations concrètes : tout cela reste très général. Malgré un aspect plus moderne que celui de SwissVPN, la visite ne m’a pas convaincu de l’essayer (d’autant plus que je ne suis pas un testeur professionnel et que je n’entend pas passer ma vie à tester des outils de sécurité en ligne : je ne fais que relater ma quête d’un VPN).
Alors que la rédaction de cet article était déjà terminée, j’ai découvert un autre fournisseur installé en Suisse et qui mérite l’attention : MyCrypNet, dont le siège se trouve dans un village du canton du Valais, est commercialisé par itis4u (d’autres services sont prévus par la suite dans le cadre de cette plateforme d’une petite startup). Cette offre VPN bilingue (français/anglais) existe depuis 2015. Son site n’est pas intimidant pour le profane et met l’accent sur la sécurité plus que sur les possibilités de téléchargement en contournant les restrictions géographiques — même si, dans la pratique, ce fournisseur est aussi utilisé pour cela, comme la plupart des VPN. Son principal responsable peut en tout cas justifier d’une formation en matière de cybersécurité. Quant à l’abonnement, il est différent du modèle (aujourd’hui le plus courant) d’un abonnement couvrant un nombre déterminé d’appareils utilisés simultanément : MyCrypNet demande de conclure un abonnement par appareil utilisé : actuellement 7,90 francs suisses (7,60 €, 8,30 $) par mois pour débit illimité, sans obligation de s’abonner pour une durée déterminée. Il est donc possible de configurer son réseau sur mesure, avec plusieurs utilisateurs et un abonnement pour chacun d’eux, mais cela se distingue des offres grand public qui visent un utilisateur unique ayant plusieurs appareils. Un avantage : MyCrypNet « a une vraie capacité de réseau privé protégé », selon ses fondateurs.
Vu son caractère récent, le site n’est pas encore très fourni (quelques précisions supplémentaires sur l’usage de l’interface client seraient aussi les bienvenues). En outre, je n’ai disposé que de peu de temps pour tester ce service ; mais j’ai interrogé les responsables, qui m’ont répondu de façon précise et détaillée. MyCrypNet a pour première cible les indépendants ainsi que les petites et moyennes entreprises en Europe. Pour l’instant, les serveurs se trouvent exclusivement en Suisse : si le développement de l’entreprise se justifie, des CDN (content delivery networks) dans d’autres régions du monde pourront être mis en place. MyCrypNet dispose de ses propres serveurs dans des endroits de Suisse dont le lieu doit rester confidentiel pour d’évidentes raisons, mais en loue également à une petite startup ; d’autres locations à de petites entreprises sont envisagées en cas de développement. « Lorsque nous sommes locataires, nous ne louons que le matériel brut, sans OS ni softs des loueurs, nous installons tous les logiciels nous-mêmes, du système d’exploitation (Debian) au moindre service et nous ne communiquons que en SSH avec des clés à 4096 bits. » Toutes les mesures nécessaires ont été prises pour assurer un accès permanent au VPN :
« Les serveurs VPN sont, en fait, organisés en un cluster qui est conçu pour être résistant à la panne. Quand un serveur tombe, votre connexion est reportée automatiquement sur un autre serveur du cluster. Nous n’avons jamais eu de panne serveur pour l’instant et ce depuis mai 2015. Nous testons des scénarios “catastrophe” via notre propre infrastructure d’intégration continue, nous sommes donc confiants. »
Une solution que peut envisager quelqu’un qui, résidant en Suisse, n’aurait besoin d’un VPN que pour usage sur smartphone et tablette : l’application Safe Connect de Swisscom, qui va être relancée sous l’étiquette de Swisscom « nova ». Facile à installer sur son téléphone, elle peut être testée gratuitement pendant 30 jours, ce qui laisse largement le temps de l’évaluer. Le prix annuel de l’abonnement est raisonnable : actuellement 29 francs suisses par an pour deux appareils. Du point de vue de la sécurité, tout indique une solution robuste : après tout, la téléphonie est un domaine que Swisscom maîtrise bien. L’application inclut une protection contre le hameçonnage et les sites malveillants. L’écran d’accueil de l’application est attrayant, avec une visualisation géographique des connexions. Mais ces atouts sont malheureusement contrebalancés par des aspects moins satisfaisants : à plusieurs reprises, j’ai vu Safe Connect cesser d’assurer la protection VPN après quelques minutes d’utilisation dans des conditions ne présentant aucune difficulté particulière (consultation de sites Internet sur un réseau WiFi local, sans changer d’emplacement); l’application demande souvent la réinstallation du profil VPN, après un arrêt — même si cela peut être fait en deux clics, c’est lassant, quand cela se produit fréquemment. Je pense que ce genre de défaut sera corrigé à la longue, mais cela me fait renoncer pour le moment à utiliser cette application de façon régulière, alors qu’elle pourrait répondre à mes besoins sur smartphone. Sur la question de la vitesse, je ne suis pas encore au clair, notamment sur les performances en cas d’utilisation à l’étranger.
Enfin, depuis quelque temps s’est établie en Suisse l’entreprise Golden Frog, créée par des Américains qui peuvent — à juste titre — se décrire comme des « vétérans d’Internet » et ont fondé VyprVPN, également disponible en français. Ils font valoir de sérieux atouts, à commencer par le fait d’écrire entièrement leurs propres codes, de faire fonctionner les serveurs « en grappe » et de ne pas recourir à des tiers :
« Notre approche est unique dans le secteur des VPN : nous possédons, mettons en œuvre et gérons nos serveurs VPN, de manière à vous offrir des connexions rapides et fiables. Les autres fournisseurs VPN se reposent sur des sociétés tierces, qui hébergent leurs serveurs VPN. Nous ne le faisons pas. Nous sommes tout simplement la seule entreprise à gérer vos données nous-mêmes ; votre vie privée et votre sécurité sont protégées d’un bout à l’autre de la chaîne. »
Avec plus de 700 serveurs dans plus de 50 emplacements à travers le monde, cela fait de VyprVPN une solution séduisante. Cependant, même si le siège est en Suisse, une grande partie de l’activité se trouve aux États-Unis. Il suffit de consulter les pages de recrutement de Golden Frog : tous les postes offerts se trouvent à Austin, au Texas… Ceux qui souhaitent en savoir plus peuvent également lire la politique de confidentialité de Golden Frog (voir notamment la dernière section). Je ne doute pas du sérieux de cette entreprise, dont les prestations peuvent répondre aux souhaits de certains de mes lecteurs, mais cela ne correspond pas aux critères fixés pour ma sélection.
Une évaluation réaliste des possibilités et limites du VPN
Golden Frog a le mérite de présenter les choses de façon réaliste et honnête. J’ai apprécié un article publié en juillet 2015 sur leur site, intitulé I Am Anonymous When I Use a VPN – 10 Myths Debunked. L’auteur s’inquiète de voir nombre de fournisseurs de VPN promettre un anonymat total, mais avec très peu de transparence — exactement ce qui m’a frappé dès la phase initiale de mes explorations. Un VPN, explique Golden Frog, « ne vous rend pas anonyme, mais renforce fortement votre sphère privée (privacy) et votre sécurité en ligne ». L’auteur invite à ne pas confondre sphère privée et anonymat, comparant un VPN à une maison dans laquelle les rideaux sont fermé : l’anonymat que prétendent garantir tant de fournisseurs VPN serait « une promesse trompeuse ». Et ceux qui y croient le font parfois à leurs dépens : Golden Frog rappelle comment un hacker a été trahi et arrêté par les informations livrées aux enquêteurs par un service de VPN qui promettait l’anonymat ; d’autres services ont procédé de même dans des cas semblables. Et Golden Frog pose la question que je me suis posée : comment être sûr que des entreprises auxquelles des serveurs sont loués ne peuvent pas en copier les données ? D’ailleurs, il ne paraît pas illégitime à Golden Frog de conserver certaines données sur le trafic : notamment pour identifier des clients qui feraient mauvais usage de leur VPN.
Durant mes brèves explorations, j’ai été confronté au problème des abus (et de leurs conséquences pour les autres utilisateurs), tant avec Mullvad qu’avec IVPN. Après avoir commencé à surfer en utilisant le « tunnel« de Mullvad, je me suis trouvé à plusieurs reprises confronté à des demandes de m’identifier comme visiteur réel en introduisant quelques lettres de code : il s’agissait de sites protégés par CloudFlare. En allant voir d’un peu plus près ce qui causait ce problème, j’ai découvert que l’IP de Mullvad que j’utilisais avait été placée sur liste noire en raison de l’utilisation sur cette IP d’un maliciel pour voler les coordonnées de cartes bancaires. Quant à IVPN, leur IP islandaise se trouvait sur liste noire parce qu’elle était ou avait été utilisée pour télécharger un « cheval de Troie » particulièrement dangereux et permettant de prendre le contrôle d’un ordinateur.
J’ai ainsi découvert le revers de services VPN vraiment anonymes : sans la moindre surveillance du trafic et des usagers, impossible de prévenir des abus qui ne menacent pas les autres clients, mais valent une mauvaise réputation à l’IP qu’ils utilisent. Quand j’ai posé la question à IVPN, j’ai reçu la réponse suivante :
« Nous demandons la suppression de l’adresse IP de la liste [noire] quand on nous le demande, et nous mettons en œuvre diverses stratégies pour contribuer à prévenir les abus tout en respectant la sphère privée. Nos adresses IP sont partagées afin d’éviter que les utilisateurs puissent être tracés individuellement, ce qui fait que certaines adresses IP se retrouvent sur liste noire : nous faisons de notre mieux pour y remédier et faisons tourner les adresses IP de temps en temps. »
Un responsable de Mullvad m’a pour sa part écrit très franchement :
« Malheureusement, nous ne pouvons pas faire grand chose. Même si nous obtenons la suppression de l’adresse IP sur la liste noire, elle s’y retrouvera, parce que quelqu’un l’utilise pour un virus, un cheval de Troie, du spam, etc. Fondamentalement, c’est un jeu du chat et de la souris. »
Ainsi, on se rend compte qu’un fournisseur de VPN assurant réellement un complet anonymat (je pense que Mullvad s’efforce effectivement de le faire) se trouve placé tôt ou tard face à des dilemmes impossibles — à moins d’admettre que, dans certaines circonstances, comme des abus ou des activités criminelles, il devient légitime de surveiller ce que font des usagers en ligne. C’est épineux : car la protection offerte par le VPN attire tant des criminels que des dissidents politiques. Comment traquer les uns sans mettre en péril les autres ? La question de fournisseurs VPN de confiance reste entièrement légitime : chacun peut imaginer les conséquences pour les utilisateurs si un fournisseur était contrôlé par des autorités cherchant à poursuivre les voix dissidentes ou par un groupe criminel recueillant ainsi patiemment des données pour ses activités.
À chaque profil son VPN
En cherchant à renforcer notre sécurité en ligne, il faut donc éviter de créer un problème de sécurité supplémentaire. Je sors de mon exploration plus convaincu que jamais de la nécessité d’utiliser un VPN, au moins dans certaines circonstances, mais en ayant pris conscience que les besoins ne sont pas les mêmes pour tous les utilisateurs.
1) Un utilisateur ordinaire, qui souhaite simplement obtenir une sécurité supplémentaire lorsqu’il se trouve en ligne, en particulier sur des réseaux non protégés, peut recourir sans grand risque à des fournisseurs connus, comme certains de ceux qui ont été cités dans cet article — y compris VyprVPN et ExpressVPN, d’ailleurs, si vous ne tenez pas compte de mon critère de choix de fournisseurs « non américains ». Et PureVPN, même s’il se trouve à Hong Kong, peut se targuer de près d’une décennie d’expérience et d’un réseau étendu, avec des prix très raisonnables et une interface multilingue très plaisante pour l’utilisateur.
Si l’on comprend assez d’anglais, un fournisseur comme Buffered est d’utilisation commode, non technique, et répond aux besoins courants (sous réserve d ‘une rapide solution à ses quelques problèmes de serveurs récents). Le service roumain CyberGhost offre aussi une option intéressante, avec une conscience claire des problèmes de protection des utilisateurs.
Une solution attrayante pour l’utilisateur ordinaire est le plan premium de ZenMate, un fournisseur allemand qui a pignon sur rue (à Berlin) et dont les fondateurs sont clairement identifiés. Ce service ne parle pas encore français, mais l’utilisation est très simple, avec une interface claire et élégante — à la fois une application pour smartphone et un logiciel à installer sur son ordinateur. Aucune compétence technique n’est nécessaire : probablement ce que j’ai vu de plus simple. À première vue, peut-être la meilleure solution grand public. De plus, il est possible d’activer sur son téléphone une protection contre le traçage, une autre contre les maliciels et une fonction « Always On / EverSecure™», qui garantit que que ZenMate se réactive automatiquement quand l’appareil est relancé après avoir été mis en sommeil — nombre de VPN demandent une reconnexion manuelle. J’ai été favorablement impressionné par la stabilité de ZenMate, tant sur ordinateur que sur smartphone.
2) Du côté de solutions entièrement hébergées en Suisse, SwissVPN propose un service robuste, auquel on peut probablement faire confiance — il me faudrait cependant encore tester dans des pays lointaines quelle est la rapidité de connexion au serveur suisse. Même test à faire, lorsque l’occasion s’en présentera, avec le nouveau venu sur le marché qu’est MyCrypNet, proposé par itis4u, qui pourrait être promis à un bel avenir : une option à considérer, peut-être aussi pour les utilisateurs exigeants en matière de sécurité, si son potentiel se confirme dans la durée.
3) Un utilisateur qui a des exigences de sécurité et d’anonymat élevées est confronté à des choix délicats. Ce n’est pas toujours en misant sur des services qui sont à la pointe du combat pour la liberté absolue en ligne et qui promettent la garantie d’un anonymat total qu’on est certain de trouver un paradis privé. De tels services attirent ceux qui sont simplement désireux de confidentialité, mais aussi ceux qui la recherchent pour des menées peu honnêtes ou criminelles : ils peuvent ainsi attirer l’attention de différents acteurs étatiques ou non. Il ne faut pas oublier que de grandes proclamations de garantie d’anonymat total peuvent aussi cacher des attrape-mouches, des honeypots, comme l’a rappelé Cryptostorm dans un bon article en anglais, que je vous laisse lire si cela vous intéresse : l’article évoque quelques possibles signaux d’alarme, auxquels devraient être attentifs ceux qui placent haut la barre de la prudence. Sans être paranoïaque, c’est vrai que tout n’est pas immaculé dans le monde du VPN…
Je ne veux pas donner des recommandations à proprement parler : je me sentirais un peu gêné s’il se révélait un jour que l’un d’eux masquait en réalité tout autre chose que ce qu’il prétendait être ! Mais je peux dire quand même l’impression — un peu subjective — que me donnent certains services. Le fournisseur AirVPN me semble être un choix raisonnable et intéressant, qui a fait ses preuves depuis plusieurs années, avec un nombre important de serveurs et d’utilisateurs ainsi qu’une infrastructure robuste. Malgré le problème des listes noires sur lesquels ses serveurs se retrouvent régulièrement, Mullvad est une option à envisager. J’incline à voir dans VPN.AC un fournisseur européen intéressant, avec un accent sur les questions de sécurité. Souvenons-nous pourtant des pertinentes remarques de Golden Frog : le but n’est pas d’atteindre l’anonymat absolu, mais une sécurité aussi solide que possible pour nos communications en ligne.
Si vous souhaitez un avis complémentaire en matière de sécurité, vous pouvez consulter le site PrivacyTools, qui propose une sélection de dix fournisseurs VPN offrant, selon le site, une couche supplémentaire de sécurité. Vous verrez que plusieurs de ceux que je mentionne se trouvent dans la liste, mais aussi plusieurs autres que je n’ai pas mentionnés dans cet article déjà long, pour différentes raisons. Il vaut la peine de lire également les autres commentaires de cette page à propos de la protection de la sphère privée en ligne.
En janvier 2017, le site Comparitech a publié une très intéressante analyse d’une vingtaine de services VPN, examinés sous l’angle de la sécurité et du respect de la vie privée. AirVPN satisfait tous les critères et se retrouve en tête des résultats. Mais d’autres services de VPN obtiennent également de bonnes évaluations. Je recommande la lecture de cette enquête (en anglais), qui vous permettra de déterminer lesquels de ces services répondent aux critères importants pour vous : https://www.comparitech.com/blog/vpn-privacy/best-vpns-privacy-and-anonymity/.
Pour une analyse approfondie, à compléter par les impressionnants tableaux (régulièrement mis à jour) comparant plus de 170 services de VPN sur That One Privacy Site. Si l’on examine ce classement-là, c’est Mullvad (d’ailleurs très bien classé aussi dans le précédent test) qui arrive en tête. Certains résultats dépendent des critères retenus. (30 janvier 2017)
Il y en d’autres encore, bien sûr, que je n’ai pas testés. Un correspondant dit être satisfait du finlandais Freedome pour garantir sa sécurité en ligne ; Freedome est un produit proposé par F‑Secure, qui a une gamme d’autres outils de sécurité. Dans une ligne semblable, je n’ai pas non plus essayé l’offre du tchèque Avast (connu en particulier pour son antivirus), SecureLine. Il y a aussi les adeptes du petit CCryptoVPN (développé par Cognitive Cryptography), dont les responsables ne dévoilent que des pseudonymes, et qui m’amuse, mais me rend quand même un peu nerveux en jouant la provocation (?): « Bande passante illimitée. Sans censure. Avec du porn et des pirates. » Si l’aventure vous tente… à vos risques et périls !
J’ai constaté au cours de mes petits tests qu’un VPN pouvait ne pas toujours fonctionner — ce que le bon sens suggère, mais mieux vaut encore le dire. Sans parler des efforts permanents pour contourner les obstacles bien connus pour naviguer librement sur Internet en Chine et dans certains autres pays, il peut s’agir de problèmes techniques qui provoquent l’interruption soudaine du fonctionnement d’un VPN. Ainsi, dans un salon de l’aéroport d’Istanbul — le genre d’environnement où il vaut mieux utiliser un VPN — ma connexion sur smartphone s’est deux fois interrompue après une ou deux minutes, puis il m’est devenu tout simplement impossible de me connecter sur le réseau WiFi : la cause en était probablement le blocage de certains ports, car la connexion sur le réseau cellulaire fonctionnait. Importante leçon : quelqu’un qui se croit protégé par l’utilisation du VPN peut soudain se trouver « mis à nu » sans le savoir (s’il ne veille pas à l’indicateur d’activité du VPN) et perdre sa protection. Certains systèmes permettent une interruption immédiate de la connexion dans de tels cas, ce qui est important si les communications ont un caractère hautement confidentiel : sur ce point aussi, chacun doit choisir des solutions adaptées à ses attentes et besoins.
De même, il arrive qu’un serveur ne soit plus accessible, ce qui peut être critique dans le cas où l’utilisateur ne dispose que d’un point d’accès possible. Pour des personnes utilisant fréquemment le VPN et pour lesquelles la disponibilité permanente est cruciale, il peut être sage de souscrire à deux offres de VPN chez des fournisseurs différents.
Si l’on y pense, surtout pour ceux qui ont — comme moi — vécu avant cette époque de l’Internet omniprésent, il y a quelque chose de vertigineux à voir nos données et nos communications circuler ainsi aux quatre coins du monde. D’un simple clic, sur mon ordinateur ou mon téléphone, je puis choisir de passer par un serveur en Australie (pas le plus rapide depuis la Suisse, certes) ou au Luxembourg. Et en donnant vraiment l’impression de me trouver dans d’autres pays : je m’en suis rendu compte quand j’ai reçu un avertissement automatisé inquiet de LinkedIn, m’informant avoir constaté que j’avais accédé à mon compte d’un lieu inhabituel — la Norvège. De même, l’accès à mon compte Twitter a demandé des vérifications de sécurité inhabituelles, puisque je donnais l’impression d’y accéder depuis l’Islande, alors que mon précédent accès avait été effectué depuis la Suisse 30 minutes plus tôt.
Ainsi s’achève — provisoirement du moins — cette recherche de services VPN, plus longue et plus compliquée que je ne le pensais. Elle m’a permis de découvrir quelques pans d’un monde que je ne connaissais guère et m’a rendu encore plus sensible aux questions de la sphère privée et de la sécurité durant nos activités en ligne. C’est aussi un constat de relative vulnérabilité, même en utilisant des outils tels que les VPN, puisque nous n’avons d’autre choix que de faire confiance à ceux qui nous vendent ces services. Au moins, ne nous lançons pas tête baissée et évaluons ceux auxquels nous déléguons une partie de notre sécurité. Cela m’a pris du temps : j’ai pensé que j’en ferais peut-être gagner un peu aux lecteurs qui liront le récit de mes expériences et observations.
À titre d’essai, quelques liens indiqués sur cette page contiennent un code d’affiliation pour des fournisseurs VPN ; mais la présence de celui-ci est sans influence sur les appréciations émises à propos de ces services.
Jean-Francois Mayer dit
Par hasard, je découvre ce soir un bon article de Pierre Lannoy sur les critères à prendre en considération pour choisir un service VPN :
https://pierre.lannoy.fr/comment-choisir-son-service-vpn/
Il peut utilement compléter mes observations.
Pierre Lannoy dit
Merci pour le compliment, Jean-François… Votre article me parait franchement complet en terme de comparaison — le mien n’apportant que quelques critères de choix.
Nnay dit
C’est plus un article mais c’est plutôt un roman…
Jean-Francois Mayer dit
En commençant à le rédiger, j’avais en tête un article plus concis. C’est vrai qu’il est devenu plus long que prévu — sa rédaction, par étapes, s’est étalée sur plus d’une semaine.
Lime dit
J’ai choisi PureVPN http://www.purevpn.com/fr/. C’est bien !
Culverton dit
Netflix is running a campaign to block proxies and vpns
I found one still working, its called proxmate
Jean-Francois Mayer dit
Proxmate, que recommande ce correspondant en anglais, a un site attrayant, bien fait, mais aucune adresse physique n’est indiquée, aucun nom (ce serait un groupe d’expatriés, mais expatriés où?), et l’on ne sait même pas dans quel pays l’entreprise est domiciliée. Des recherches sur le site finissent par révéler que les serveurs sont au Royaume-Uni.
N’étant pas utilisateur de Netflix, j’ignore quels sont les services qui permettent d’y accéder.
Mais si vous cherchez simplement un VPN grand public, pour un usage courant, sans avoir d’exigences exceptionnelles, mes tests (que j’ai poursuivi depuis la publication de l’article) m’inciteraient à vous recommander ZenMate (voir les informations dans l’article). Je l’ai trouvé particulièrement stable et capable de travailler dans différents environnements — il fonctionne aussi très bien sur un smartphone, après quelques bugs de jeunesse aujourd’hui surmontées.
lupi dit
avez vous essayé drakker.
dont le support répond très rapidement par mail en français
et pas cher 35€ par ans.
est-il bien sécurisé ?
merci
Jean-Francois Mayer dit
Merci pour l’information. Non, pas essayé : donc impossible de me faire un avis à ce sujet et de donner une opinion sur la sécurité, d’autant plus qu’il faut idéalement tester un tel service en conditions “réelles”, et sur une durée de plusieurs jours. Le support en français est un plus, et le prix est avantageux. En revanche, il semble qu’il n’existe que pour Windows, sans version Mac. Certains comptes rendus évoquent des limites pour l’usage de certains protocoles de sécurité. Drakker existe apparemment depuis 2009. J’ai visité le site : difficile de savoir qui se trouve derrière ce service, dont l’adresse de domiciliation est à Gibraltar. Il faudrait en savoir plus pour se prononcer.
boblenon dit
J’hésite entre Hydemyass ou ExpressVpn.
Ormento dit
Je choisis https://secuweb.fr/test-vpn-vyprvpn/
Jean-Francois Mayer dit
Selon le test que vous signalez ici, il se distingue en effet par sa grande rapidité, mais ce service présente en revanche de sérieux problèmes du point de vue du respect de la vie privée, des utilisateurs, c’est-à-dire l’un des critères les plus importants que j’ai essayé de prendre en compte dans mon article. Je cite l’évaluation à laquelle vous vous référez :
“Le service n’est pas totalement irréprochable pour la protection des données personnelles. Les informations de connexion sont en effet enregistrées et peuvent être éventuellement saisies dans le cadre d’une procédure judiciaire puisque la société s’est installée aux États-Unis. Le problème est même amplifié par les moyens de paiement acceptés, puisque le client n’a pas la possibilité d’utiliser un moyen de paiement totalement anonyme.”
Max dit
Je ne sais pas du tout lequel choisir.…
Un peu perdu entre toutes les possibilités, Mullvad, PureVPN, NordVPN…
Je suis surtout intéressé par la question sécuritaire et l’anonymat, il faut avouer que je suis un peu parano. je cherche d’ailleurs un moyen de surfer sur le Deepweb.
Avez-vous une idée du VPN le plus sécuritaire ?
Bien cordialement
Jean-Francois Mayer dit
C’est toute la question que soulève cet article, justement ! Et je me garde bien de proposer une réponse définitive : je me suis surtout efforcé de rendre attentif à des critères à prendre en compte, et à des possibilités qui me semblent intéressantes. A chacun, ensuite, de faire son choix. Des solutions comme AirVPN ou Mullvad (avec le risque d’être bloqué éventuellement sur certains sites, pour ce dernier, mais c’est un moindre mal) vont répondre aux attentes d’utilisateurs souhaitant un haut niveau d’anonymat, mais ce ne sont pas les seules. Plusieurs choix sont possibles, selon les préférences et affinités de chacun.
Je vous conseille — outre l’article ci-dessus que vous avez bien voulu lire — de consulter également les autres articles comparatifs que je signale, chacun mettant l’accent sur certains critères. Une bonne idée me semble aussi être, surtout pour un usage mobile, d’avoir au moins deux services VPN. Bonne chance !
(P.S:: pour le Deep Web, je n’ai pas de conseil particulier à donner, faute d’expérience.)
Max dit
Merci pour votre réponse claire et non-obligeante 😉
Très bel article en tout cas, sans prendre partie pour autant.
C’est compliqué pour des personnes comme moi, qui s’intéressent à l’informatique sans aucune connaissance de programmation. Nous sommes souvent lâchés par des termes trop techniques qui discriminent le commun des mortels, or ce n’est pas le cas ici, chose extrêmement rare.
Vous écrivez souvent ?
Bien à vous, Max
Jean-Francois Mayer dit
Merci. Bien reçu aussi votre message. Pour répondre à votre question, vous trouverez toutes les informations sur l’auteur dans la rubrique “A propos”:
https://www.orbis.info/a‑propos/
Celle-ci vous propose également des liens vers mon site personnel et d’autres sites dont je m’occupe.
Eliot dit
Bonjour,
Les propos sur cet article est tr‑s constructif pour les novices comme moi. J’aimerais avoir vos avis sur :
https://www.vpnmag.fr/tests-meilleurs-vpn/
Jean-Francois Mayer dit
Merci, je suis allé voir ce comparatif et l’ai trouvé intéressant : un bon complément à ce qui est présenté dans l’article ci-dessus, avec des tests et conseils qui peuvent fournir d’autres évaluations pour faire son choix d’un VPN.
eryertvhth dit
hidemyass est une entreprise israélienne, je vous laisse deviner ce qu’il en est du point de vue espionnage…
Jean-Francois Mayer dit
Merci pour ce partage. Le rôle important joué par des entreprises israéliennes dans les technologies de surveillance est un fait connu (https://theintercept.com/2016/10/17/how-israel-became-a-hub-for-surveillance-technology/), mais êtes-vous certain de votre affirmation à propos de HideMyAss ? Pourriez-vous en indiquer la source ? Car il ne m’a pas été possible de vérifier l’exactitude de cette information. J’ai lu des critiques sur HideMyAss, mais pas celle-ci (voir notamment cet article : https://invisibler.com/lulzsec-and-hidemyass/ — dans les commentaires après l’article interviennent également des représentants de HideMyAss pour donner leur point de vue).
En revanche, on peut signaler que le service roumain CyberGhost a été vendu à une entreprise israélo-britannique, ce qui suscite quelques préoccupations (https://vpn-services.bestreviews.net/cyberghost-sold-crossrider‑9–8‑million/).
Enfin, je signale cet intéressant article de Sven Taylor (Restore Privacy) donnant une liste de plusieurs services VPN avec les questions qu’ils peuvent poser, selon lui : https://restoreprivacy.com/vpn-warning-list/.
Jean-Francois Mayer dit
En complément, je signale que Sven Taylor (Restore Privacy) a proposé le mois dernier sa liste des services de VPN qu’il considère comme les meilleurs :
https://restoreprivacy.com/best-vpns/
VPN.ac, que je recommandais pour ma part également, figure dans sa liste. Une autre solution qui semble intéressante (mais que je n’ai pas testée moi-même) est Perfect Privacy.
Aureol dit
Ce qui est intéressant dans l’article c’est que les idées sont bien claires et logiques. Installer un VPN c’est avant tout pour un besoin de s’auto-protéger des risques liés au web, pas pour autres choses.
Question choix il y a une grande diversité même il y en a des gratuits et des payants, une bonne source serait https://www.comparatifvpn.com/ donc voilà tout est dit sinon.
Lojoxer dit
Max,je vous conseille alors grandement d’utiliser Nord VPN, parce que cela vous garantit que vos données restent anonymes… c’est un service sérieux !