Pourquoi il faut se méfier des VPN gratuits

Vous pensiez protéger vos données, vous les mettez peut-être en danger. C’est en tout cas ce qu’avance le Washington Post, en détaillant les mauvaises pratiques de certains des plus populaires VPN disponibles sur le web ou leurs liens avec des pays notoirement connus pour leur politique opaque autour des données, telle que la Chine.

Les VPN, outils indispensables sur Internet

Les VPN (pour Virtual Private Network) sont un service qui s’intercale entre votre connexion au réseau et Internet pour chiffrer votre connexion. En clair, ils permettent de vous rendre anonyme sur le web et de masquer des informations comme votre adresse IP ou votre localisation géographique, ce qui est notamment utile pour accéder à du contenu bloqué accessible uniquement dans certains pays.

Ils sont par exemple utilisés pour contourner la censure de certains sites en Chine tout en évitant de laisser des traces virtuelles, alors qu’une loi chinoise impose aux entreprises nationales de partager leurs données si Pékin le leur impose. C’est cette obligation qui était d’ailleurs au coeur de la récente audition de TikTok devant le Congrès américain, qui envisage de bannir l’application chinoise pour des raisons de sécurité nationale.

Accès dérobé et origines obscures

Sauf que plusieurs VPN, en particuliers les gratuits, installent lors de leur téléchargement des certificats électroniques qui agissent comme des portes d’entrée dérobées vers les données des utilisateurs, comme l’a démontré l’année dernière l’entreprise AppEsteem, qui évalue la sécurité des applications pour des sociétés qui développent des antivirus. Ces fichiers permettent d’autoriser l’accès de n’importe quelle application à l’ordinateur.

Parmi les concernés, Turbo VPN, qui apparaît dans les premiers résultats sur Google lorsqu’on tape "VPN" dans la barre de recherche, et a été téléchargé 100 millions de fois. Le siège social de sa maison-mère, Innovative Connecting, est enregistré à Singapour et aux Îles Caïmans, et la société a vu défiler à sa tête plusieurs ressortissants chinois.

Son concurrent Hotspot Shield a de son côté récolté une plainte devant l’agence de protection des consommateurs américaine dès 2017. En effet, bien que le VPN affirmait ne conserver aucun registre des véritables adresses IP de ses utilisateurs, il les communiquait à ses partenaires commerciaux. Cela n’a pas empêché la société américaine Aura, qui détient Hotspot Shield, de continuer à lever de l’argent, en se payant même les services du célébrissime acteur Robert Downey Jr. comme égérie commerciale.

Dans l'ombre de TikTok

La liste est longue : Signal Lab, Super Unlimited Proxy ou encore Free VPN auraient également des pratiques douteuses en matière de protection des données de leurs utilisateurs.

Certains députés américains réclament aujourd’hui une évaluation systémique des risques que posent les VPN, mais le problème est pour l’instant éclipsé par l’affaire TikTok. Des défenseurs des consommateurs réclament quant-à-eux que les plateformes de téléchargement d’Apple et de Google bannissent les VPN dont la propriété est suspecte ou les pratiques trompeuses, ou tout du moins prodiguent un avertissement.

De leurs côté, les géants de la tech se défendent : "Nous prenons très au sérieux les allégations en matière de sécurité et de vie privée contre des applications", a ainsi répondu Google au Washington Post, "et si nous découvrons que l’une d’entre elles à violé nos termes et conditions d’utilisations, nous prenons des mesures en conséquence."