WASHINGTON, DC – La plupart des services VPN grand public promettent trop ce qu’ils peuvent fournir et exagèrent leur propre utilité, ont déclaré deux chercheurs en sécurité lors de la conférence des hackers ShmooCon ici jeudi dernier (24 mars).
« Beaucoup de gens utilisent des VPN parce qu’ils ne savent pas vraiment ce qu’ils font », a déclaré Yael Grauer, journaliste d’investigation chez Consumer Reports. « Les gens dépensent beaucoup d’argent et ils se font toujours pirater, ou ils dépensent beaucoup d’argent pour des protections qu’ils ont déjà. »
James Troutman, directeur de la technologie chez Tilson Broadband, a été plus direct dans sa propre présentation plus tard le même jour.
« Les VPN sont de l’huile de serpent sur Internet », a déclaré Troutman, les comparant aux remèdes miracles sans valeur que les vendeurs ambulants avaient l’habitude de colporter au tournant du 20e siècle.
Revendications VPN vs réalité
Comme la vraie huile de serpent, ont expliqué Troutman et Grauer, les VPN prétendent résoudre toutes sortes de problèmes de sécurité et de confidentialité, en jetant des termes impressionnants mais dénués de sens tels que « sécurité incassable », « véritable confidentialité » et « cryptage de niveau militaire ».
Les VPN peuvent affirmer dans leurs publicités et sur leurs sites Web qu’ils peuvent protéger votre PC contre les pirates, protéger vos mots de passe ou s’assurer que les sites Web ne peuvent pas vous suivre. Pour cela, affirment-ils, cela vaut la peine de payer entre 50 et 150 dollars par an pour leurs services.
En 2021, Grauer et une équipe de l’Université du Michigan ont testé 51 fournisseurs de services VPN grand public. Avec ses collègues de Consumer Reports, elle a effectué une analyse plus approfondie de 16 grandes marques de VPN, dont CyberGhost, ExpressVPN, Hotspot Shield, IPVanish, NordVPN, Private Internet Access, ProtonVPN et Surfshark. (Grauer et Troutman ont tous deux mis en garde contre l’utilisation de VPN moins connus, en particulier les services VPN gratuits qui apparaissent dans les magasins d’applications mobiles.)
Grauer a découvert que sur les 16 services VPN bien connus qu’elle a analysés, 12 ont fait des déclarations exagérées sur le niveau de protection qu’ils pouvaient réellement fournir.
Un VPN bien connu a déclaré que « vos données ne seront jamais compromises » si vous l’utilisiez, a expliqué Grauer dans son livre blanc. Un autre VPN a déclaré qu’il « protégerait [you] contre les pirates et le suivi en ligne. » Un troisième promettait « une confidentialité absolue sur tous les appareils » et un autre garantissait « la navigation anonyme ».
Une meilleure confidentialité, mais pas une meilleure sécurité
Le fait est, selon Grauer et Troutman, que les VPN ne peuvent pas vous protéger contre les pirates ou les logiciels malveillants. Bien que les VPN augmentent votre confidentialité en ligne, ils ne font pas grand-chose pour rendre vos ordinateurs et vos systèmes plus sûrs.
Les VPN ne peuvent pas non plus empêcher la divulgation de vos informations personnelles lors de violations de données. Ils ne peuvent pas empêcher les sites Web de vous suivre – il existe de nombreuses autres façons de vous suivre en ligne en plus de simplement suivre votre adresse IP (Internet Protocol).
Les VPN ne peuvent pas vous empêcher d’atterrir sur des sites de phishing ou d’être amenés à donner vos mots de passe à un criminel. Ils ne peuvent pas « garantir » votre vie privée, a déclaré Troutman.
« Quand les gens me demandent s’ils doivent utiliser un VPN », a déclaré Grauer, « je leur dis non, ils devraient plutôt utiliser un gestionnaire de mots de passe. »
Cependant, quatre des 16 VPN que Grauer et son équipe ont analysés de près ont obtenu des notes élevées pour leur honnêteté.
IVPN, Mozilla VPN, Mullvad et TunnelBear ont été clairs et précis sur ce que les VPN pouvaient et ne pouvaient pas faire. Ils ont également donné aux clients potentiels des suggestions sur d’autres meilleures pratiques de sécurité et de confidentialité qu’ils pourraient adopter, telles que l’utilisation de l’authentification à deux facteurs (2FA) et le blocage des trackers de navigateur.
Ce que les VPN peuvent faire
Grauer et Troutman ont tous deux déclaré qu’il existe des raisons légitimes d’utiliser des VPN et que, pour la plupart, les VPN les plus connus font du bon travail pour rendre vos connexions réseau plus privées.
Les VPN protègent contre les attaques « man-in-the-middle » que vous pourriez rencontrer en utilisant des réseaux Wi-Fi ouverts dans un café ou un hôtel, même si les risques sont faibles maintenant que la plupart des sites Web utilisent des connexions cryptées.
Les VPN rendent plus difficile pour les fournisseurs de services Internet (FAI) de voir quels sites Web vous visitez, bien que Troutman ait souligné que votre VPN verra ces informations à la place.
Les VPN peuvent aider les habitants des pays répressifs à échapper à la censure de masse, comme le récent blocage de Facebook et Instagram par la Russie. Et, bien sûr, les VPN peuvent souvent (mais pas toujours) vous permettre d’accéder à Netflix à l’étranger et à d’autres services géographiquement limités.
Mais, a déclaré Troutman, les VPN dans la pratique ne peuvent pas faire grand-chose pour protéger des individus spécifiques de la surveillance de l’État. Les agences nationales de renseignement ont à leur disposition des moyens qui peuvent facilement échapper aux protections qu’un VPN fournirait à une personne ciblée.
« Le Mossad va devenir le Mossad », a déclaré Troutman.
Grauer et Troutman ont ajouté que même si les VPN masquent bien l' »ancienne » forme d’adresses IP, connue sous le nom d’IPv4, ils ne fonctionnent pas toujours bien avec les adresses IP utilisant la nouvelle norme IPv6.
En effet, les adresses IPv6 de nombreux appareils sont liées aux informations matérielles réseau uniques des appareils, ce qui fait partie d’une faille de confidentialité réseau bien documentée qui s’étend au-delà de l’utilisation du VPN.
Qu’y a-t-il derrière la poussée VPN
Pourtant, l’industrie du VPN grand public a grandi pour encaisser environ 30 milliards de dollars par an, en partie grâce à la répétition de déclarations invérifiables et à l’exploitation de la peur des consommateurs face à la technologie de surveillance, a déclaré Troutman.
Les fuites de documents de la NSA par Edward Snowden en 2013, qui ont montré à quel point la collecte de données américaines pouvait être étendue, ont été un grand moteur de l’adoption du VPN. Un autre était le vote du Sénat américain en 2017 pour bloquer une règle de la FCC qui aurait empêché les FAI de revendre des données sur le comportement des consommateurs. Et enfin, de nombreux experts en sécurité et sites Web axés sur la sécurité, y compris Tom’s Guide, ont recommandé et recommandent toujours l’utilisation de VPN.
Les fournisseurs de VPN ont lancé des campagnes publicitaires autour de ces problèmes, affirmant que seul le paiement de leurs services pouvait préserver votre confidentialité en ligne. La publicité est encore une grande partie de l’industrie.
« Combien d’entre vous écoutent des podcasts ? » Troutman a demandé à la foule de ShmooCon. « Il semble que chaque podcast soit sponsorisé par un VPN. »
Vous ne pouvez pas toujours compter sur les sites Web d’évaluation pour fournir des informations honnêtes sur les VPN. Troutman et Grauer ont souligné que de nombreux sites de « révision » VPN que vous pouvez trouver via une recherche Google appartiennent en fait à des fournisseurs de VPN.
Même si un site recommande plus d’un VPN, la récente consolidation de l’industrie des VPN signifie que bon nombre des plus grandes marques appartiennent aux mêmes sociétés.
Vous avez acheté la plus grande menace pour votre vie privée
Pourtant, comme l’a souligné Troutman, la plus grande menace pour votre vie privée n’est probablement pas votre FAI, ni les sites Web que vous visitez sur votre PC, ni même (pour la plupart des gens) la NSA, la CIA, les Russes, les Iraniens ou les Chinois.
Au lieu de cela, la plus grande menace pour votre vie privée est le smartphone pour lequel vous avez payé beaucoup d’argent et que vous transportez dans votre poche.
Il s’agit d’un dispositif de suivi à la pointe de la technologie qui transmet en permanence des milliers de points de données sur vos activités en ligne, votre emplacement physique, vos voyages, votre santé et vos intérêts au fabricant du téléphone, à votre opérateur de téléphonie mobile et aux fabricants de la plupart des applications que vous avez installées — « surveillance omniprésente et sophistiquée de l’activité des utilisateurs en ligne », comme l’a dit Troutman.
L’utilisation d’un VPN sur votre smartphone confondra temporairement certaines de ces méthodes de suivi, a déclaré Troutman, mais pas pour longtemps. Il existe de nombreuses autres méthodes de collecte de votre comportement et des informations qui ne dépendent pas d’une adresse IP.
À quoi servent vraiment les VPN
Y a-t-il donc un inconvénient à utiliser un VPN qui étend la vérité ? Pas tant que ça, à part cela, vous payez peut-être pour quelque chose dont vous n’avez peut-être pas besoin.
Grauer et son équipe ont constaté que la plupart des 16 principaux fournisseurs qu’elle a examinés utilisaient un cryptage fort, n’avaient aucune faille de sécurité connue, ne collectaient pas beaucoup d’informations sur les utilisateurs, ne partageaient pas d’informations avec des tiers et avaient des informations claires et faciles à comprendre. trouver les conditions d’utilisation.
Ils ont également constaté que si un fournisseur de VPN faisait des déclarations exagérées en caractères gras sur les avantages de l’utilisation de ses services, ces déclarations étaient souvent rappelées en petits caractères.
Cependant, bon nombre des principaux fournisseurs pourraient être plus transparents quant à savoir s’ils enregistrent l’activité des utilisateurs, a déclaré Grauer. Presque tous les VPN affirment qu’ils ne consignent pas ce que font leurs utilisateurs, mais l’équipe de Grauer a découvert que le logiciel client VPN utilisé par plusieurs grands fournisseurs conservait des journaux sur les ordinateurs des utilisateurs.
De nombreux VPN pourraient également être plus clairs sur la durée de conservation des données utilisateur qu’ils collectent, et beaucoup ne permettent pas aux utilisateurs de voir ce qui a été collecté à leur sujet.
Qui devrait utiliser un VPN ?
Alors devriez-vous utiliser un VPN ? Cela dépend de l’utilisation que vous voulez en faire, a déclaré Troutman. De nombreux FAI conservent des journaux du comportement des clients pendant des années, et si cela vous dérange et que vous pouvez trouver un VPN auquel vous faites plus confiance que votre FAI, allez-y et utilisez-le.
Les voyageurs fréquents qui ont besoin de connexions sécurisées à l’étranger auront également besoin de VPN, bien que le streaming de contenu à travers les frontières nationales ne soit pas aussi fiable qu’il y a quelques années. Et si vous faites quelque chose d’illégal dans le pays où vous vivez, un VPN ne devrait être que la première étape pour masquer vos activités en ligne.
Mais pour l’utilisateur domestique moyen qui ne se soucie pas de ce que sait son FAI et n’a pas besoin d’accéder à des services de streaming depuis l’étranger, payer pour un VPN n’en vaut peut-être pas la peine.