Les VPNs "gratuits" sont-ils vraiment gratuits ?
La pandémie de Covid-19 a changé le secteur des VPN : entre 2019 et 2022, le marché mondial des VPN a presque doublé. Alors que seulement environ 22,9 % des Américains utilisaient un VPN à domicile en 2019, ce chiffre a gonflé à 78 % en 2021.
Ayant quitté le territoire des geeks pour devenir un nom de famille, les VPN ne retombent pas dans une certaine obscurité. L'augmentation spectaculaire de la popularité des VPN peut s'expliquer par les exigences du travail à distance, mais les VPN n'ont pas été, et ne seront jamais, strictement liés aux affaires.
Les gens utilisent les VPN pour toute une série de raisons, du travail à la protection de la vie privée en passant par le divertissement. Les utilisateurs soucieux du respect de la vie privée profitent des fonctions de dissimulation que peuvent donner les VPN pour empêcher leurs fournisseurs d'accès à Internet (FAI) de les suivre. Certains utilisent les VPN principalement pour protéger leurs données contre l'interception lors de piratages de réseaux WiFi publics. Avec un VPN, il est possible de briser les pare-feu des bureaux et des universités, de contourner les restrictions géographiques et de déjouer les censeurs.
Quand il s'agit de choisir un VPN, les options semblent infinies. Il existe de nombreux produits, payants ou gratuits, qui prétendent faire exactement la même chose. Alors pourquoi payer plus cher ou, plutôt, payer tout court ?
Pourquoi les fournisseurs de VPN ont-ils besoin d'argent ?
De nombreux produits "gratuits" sont obliquement "gratuits*" avec une grosse astérisque, soit assortis de lourdes conditions. Comme nous le savons, les produits gratuits ont souvent un coût caché, et dans le cas des VPN "totalement" gratuits, les utilisateurs peuvent finir par payer cher leurs données.
Le fait est que le maintien d'un bon VPN nécessite souvent beaucoup d'argent, et les fournisseurs doivent le trouver quelque part. Mais pourquoi ont-ils besoin de cet argent exactement ? Examinons les coûts.
Pour fonctionner correctement, un fournisseur de VPN doit louer de multiples serveurs avec beaucoup de bande passante. La bande passante est le taux maximal de transfert de données sur une connexion spécifique dans un laps de temps donné. La bande passante elle-même n'est pas bon marché si l'on tient compte du fait qu'un seul fournisseur de VPN peut avoir besoin de s'occuper de centaines de milliers d'utilisateurs à la fois. En fait, c'est une denrée si précieuse que certains services de revenu passif permettent aux gens de vendre leur bande passante inutilisée, en faisant payer les acheteurs jusqu'à 1,00 $ par Go.
Le réseau de serveurs doit être entretenu, analysé pour détecter les vulnérabilités et mis à niveau. Cela nécessite une équipe de développement et de support qui, idéalement, devrait travailler 24 heures sur 24 pour résoudre les problèmes en temps réel et répondre rapidement aux clients situés dans des fuseaux horaires différents. Cela entraîne à son tour des dépenses de bureau et des salaires du personnel.
Les applications VPN les plus populaires ne fonctionnent pas que sur une seule plateforme. Pour répondre aux attentes de ceux qui utilisent plusieurs appareils avec des systèmes d'exploitation différents à la fois (donc la majorité d'entre nous), les fournisseurs de VPN doivent personnaliser leurs applications pour différentes plateformes. Ils doivent investir de l'argent et des efforts pour créer et mettre à jour des applications VPN pour Windows, macOS, IoS et Android. Certains fournisseurs vont même au-delà de ça.
Un VPN peut offrir un excellent support utilisateur, une grande couverture et une bande passante illimitée, mais si personne n'en a jamais entendu parler, son étoile a peu de chances de se lever à l'horizon de la vie privée. Ce qui risque le plus de se produire, c'est qu'il mourra prématurément. Il faut donc tenir compte des dépenses de marketing et de promotion, y compris la création d'un site web.
C'est bien possible de faire quelques économies ici et là, mais pas partout. La question suivante survient alors : comment les VPN "totalement gratuits" peuvent-ils fonctionner s'ils ne gagnent pas d'argent grâce aux abonnements ? Et une autre question : comment gagnent-ils réellement de l'argent ?
Il peut y avoir plusieurs réponses possibles à cette question. Mais elle se résume finalement à ceci : les VPN mettent en péril la sécurité de leurs clients, les transforment en marchandise en partageant leurs données, ou font les deux.
C'est quoi le produit ? C'est vous !
Cela peut être enfoui profondément dans leurs politiques de confidentialité, mais certains VPN gratuits admettent ouvertement qu'ils peuvent collecter et conserver les données personnelles de leurs clients, et les divulguer à des tiers. Un VPN populaire que beaucoup d'entre vous connaissent probablement vous permet de l'utiliser gratuitement si vous autorisez un certain SDK tiers à accéder à des sites Web via votre appareil. Le SDK ne peut accéder à aucune donnée personnelle, à l'exception de votre adresse IP. Bien que cela puisse sembler rassurant, l'exposition de votre adresse IP n'est pas ce que l'on recherche généralement lorsqu'on utilise un VPN pour des raisons de confidentialité.
Certaines applications VPN totalement gratuites se maintiennent en s'associant à des annonceurs, notamment Facebook, qui, à leur tour, peuvent suivre les utilisateurs et les cibler avec des publicités. Les données collectées de cette manière sont souvent soumises aux politiques de confidentialité des annonceurs, qui ne sont généralement pas très respectueuses de la vie privée.
Les fournisseurs de VPN peuvent proposer des services gratuits et payants. Certains fournisseurs de cette catégorie limitent les fonctionnalités de leurs produits gratuits et encouragent les utilisateurs à s'abonner à une version premium. D'autres, en revanche, prennent un chemin différent et déclarent qu'ils peuvent vous diffuser des publicités de tiers si vous voulez continuer à utiliser leurs services gratuitement.
Il existe des études indépendantes qui examinent en profondeur la façon dont les VPN gratuits gagnent de l'argent. Dans le cadre de cet article, nous avons voulu montrer quelques ficelles que les fournisseurs de VPN peuvent attacher à leurs services gratuits sans dénoncer aucun concurrent. Il faut aussi dire que si certains VPN gratuits ne cachent pas comment ils gagnent de l'argent - il suffit d'avoir assez de patience pour passer au peigne fin leurs politiques de confidentialité et leurs conditions de service (ToS) - d'autres peuvent ne pas être aussi ouverts à ce sujet. Et il y a une bonne raison à cela : pour ceux qui utilisent un VPN pour des raisons de confidentialité et de sécurité, le fait qu'il partage des données avec des tiers peut devenir un facteur de rupture.
Autorisations douteuses
Le niveau de permissions que les applications VPN gratuites exigent est un autre élément auquel il faut prêter attention. Les applications VPN peuvent demander des permissions intrusives pour mieux faire de la publicité auprès des utilisateurs, ou à des fins malveillantes, - le risque est, peut-être, trop élevé pour savoir quel est votre cas.
Ainsi, si une application, par exemple, vous demande un accès complet à votre téléphone, cela devrait vous mettre la puce à l'oreille. Par exemple, si l'utilisateur accorde à une application VPN l'autorisation de "lire l'état du téléphone", il laisse le développeur accéder aux informations sur le réseau cellulaire actuel de l'utilisateur, à l'état des appels en cours et à tous les comptes téléphoniques enregistrés sur l'appareil. En tant que tel, il peut révéler le numéro de téléphone de l'utilisateur et l'identifiant de son appareil, qui peuvent tous deux être divulgués si un VPN enregistre les données.
Vous devez également vous inquiéter si une application VPN comporte des traceurs intégrés. Nous avons expliqué en détail pourquoi une application VPN n'est pas un endroit pour les trackers et comment vous pouvez vérifier vous-même la présence de trackers dans une application VPN dans notre article précédent. En bref : en intégrant des trackers dans leurs applications, les fournisseurs de VPN se ménagent des échappatoires pour collecter les données des utilisateurs.
Conservation secrète des journaux et sécurité médiocre
Cela nous amène à un autre aspect problématique des VPN gratuits - certains d'entre eux conservent des journaux (même s'ils disent qu'ils ne le font pas). Et comme les VPN gratuits ne disposent généralement pas d'une infrastructure de sécurité robuste, cela signifie que les données personnelles de l'utilisateur peuvent être exposées dans des hacks et des fuites, et, potentiellement, désanonymisées.
Le plus souvent, les utilisateurs d'applications VPN gratuites ignorent les risques inhérents à la protection de leur vie privée ou sont informés par les médias lorsqu'il est trop tard et que leurs données sont déjà compromises. Les exemples sont nombreux, nous n'en citerons que quelques-uns.
Il y a plusieurs années, sept différents VPN gratuits "no-log" - tous liés au même développeur - ont été pris en flagrant délit de stockage des données personnelles des utilisateurs sur un serveur non sécurisé. Il est intéressant de noter que ce groupe de VPN prétendait offrir des fonctions de sécurité de niveau militaire. Cependant, les chercheurs de vpnMentor ont trouvé les adresses e-mail des utilisateurs ainsi que leurs mots de passe, en clair, dans une base de données ayant fait l'objet d'une fuite. Mais ce n'est pas tout : les VPN ont également enregistré les noms, les adresses IP d'origine, la localisation réelle, les fournisseurs d'accès Internet (FAI), les identifiants des appareils et même les sites visités par leurs clients. De plus, les fournisseurs de VPN ont ignoré les tentatives des chercheurs pour les contacter, et la base a continué à fuir pendant près de deux semaines avant que le serveur ne soit sécurisé. La fuite a potentiellement exposé les données sensibles de 20 millions d'utilisateurs, y compris ceux qui se sont connectés à des serveurs VPN depuis des régions où l'utilisation d'un VPN peut entraîner des problèmes avec la loi.
Lors d'un autre incident majeur survenu l'année dernière, les données personnelles de plus de 21 millions d'utilisateurs ont été mises en vente après avoir été volées dans trois applications VPN gratuites comptant plus de 100 000 millions d'installations. Les données contenaient des informations d'identification détaillées sur les utilisateurs, telles que les noms complets, les noms d'utilisateur, les noms de pays, les adresses électroniques, les données relatives aux paiements, les numéros de série des appareils et les identifiants des appareils. Le malfaiteur a affirmé qu'il était en mesure de gratter des bases de données publiques, car les fournisseurs de VPN auraient laissé "les informations d'identification de la base de données par défaut en cours d'utilisation ".
Plus récemment, une application VPN gratuite s'adressant principalement aux utilisateurs chinois a été prise en flagrant délit de fuite de données personnelles, y compris des adresses IP, des identifiants et des noms de domaine. En juillet 2022, des chercheurs de Cybernews ont découvert une base de données contenant 626GB de journaux de connexion appartenant au VPN. Les données divulguées pourraient être utilisées pour désanonymiser les utilisateurs. En outre, l'application Android du VPN demandait l'accès à la caméra, aux enregistrements audio et aux contacts et pouvait potentiellement fonctionner comme un "spyware ", selon les chercheurs.
Le fait qu'un VPN enregistre des données peut ne pas être précisé dans sa politique de confidentialité. En outre, même si un VPN affirme avoir une politique stricte de non-enregistrement, cela ne signifie pas qu'il la respecte. En fin de compte, tout se résume à savoir si un développeur est suffisamment digne de confiance pour que vous croyiez à son discours marketing.
Malware et fakes
Si vous pensiez que les applications sans scrupules ne pouvaient plus s'abaisser, vous vous trompez. Outre la fuite de vos données qu'elles n'étaient même pas censées enregistrer, certaines applications VPN gratuites peuvent potentiellement infecter votre smartphone avec des logiciels malveillants ou, pire encore, vous presser à sec.
Selon une enquête de Top10VPN, une application VPN sur cinq parmi les 150 premières applications Android gratuites du Play Store de Google "a donné des résultats positifs lorsqu'elle a été analysée à la recherche de virus ou de logiciels malveillants potentiels. "
Il y a plusieurs années, des chercheurs ont découvert un faux VPN qui pouvait être téléchargé via un faux site Web conçu pour ressembler au vrai VPN. L'application était en fait un malware voleur de données qui pouvait notamment dérober les identifiants de l'utilisateur et la crypto-monnaie.
Des études indépendantes ont également montré que les acteurs de la menace peuvent contourner la modération dans les app stores de confiance et y implanter de faux VPN. Les chercheurs ont récemment découvert une autre fausse application VPN disponible au téléchargement sur Google Play Store et attribuée à un groupe de pirates connu. L'application aurait été créée pour une escroquerie par hameçonnage et conçue pour ressembler à l'application légitime du même nom.
Les VPN gratuits et sûrs existent
Tout ce qu'on a écrit ci-dessus ne signifie pas qu'il n'existe pas de VPN gratuit et sûr. Certains développeurs réputés de VPN payants proposent des options gratuites, mais elles sont généralement assorties de fonctionnalités limitées et sont connues sous le nom de "freemium". Il peut y avoir un plafond sur le nombre d'appareils, ainsi que sur les serveurs et/ou la bande passante disponibles. Bien que ce soit un excellent moyen de tester un VPN, ce n'est guère une solution à long terme, à moins que vous n'utilisiez un VPN de manière très sporadique. Par exemple, vous pouvez utiliser gratuitement AdGuard VPN sur 2 appareils en même temps, mais la limite de vitesse sera fixée à 20 Mbps et le trafic sera plafonné à 3 Go par mois.
Comme le nombre de serveurs disponibles gratuitement est aussi généralement limité, ils peuvent être trop encombrés à tout moment pour accueillir tout le monde avec une vitesse raisonnable. Par conséquent, la connexion peut être lente.
Comment être sûr que vous êtes du bon côté ?
Si vous n'êtes pas encore prêt à acheter un abonnement, voici plusieurs règles à suivre pour choisir un VPN gratuit .
- Utilisez une application VPN d'un développeur de confiance.
- Lisez la politique de confidentialité et les conditions de service du VPN avant de le télécharger.
- Rappelez-vous : un grand nombre de téléchargements et de critiques positives ne signifie pas nécessairement qu'un VPN particulier est sûr - la plupart des utilisateurs ont de faibles attentes envers les VPN gratuits et sont déjà satisfaits s'ils leur permettent d'accéder à certains contenus géo-bloqués sans trop étrangler leur connexion Internet. De plus, certains des VPN gratuits les plus populaires sont connus pour avoir partagé les données des utilisateurs avec des tiers, ce qui n'a guère contribué à freiner leur popularité.
- Faites attention aux autorisations requises par l'application. Normalement, un VPN n'a pas besoin d'accéder à vos contacts, et si c'est le cas - alors il y a peut-être quelque chose de louche.
- Vérifiez que l'application VPN que vous envisagez ne contient pas de traqueurs. Ils peuvent être plutôt bénins ou non. Vous pouvez suivre les instructions de l'un de nos précédents articles pour vérifier par vous-même la présence de trackers dans une application VPN.
Toutefois, si vous avez besoin d'un VPN de manière plus ou moins régulière, nous vous recommandons d'investir dans un service VPN payant. AdGuard propose des abonnements mensuels, d'un an et de deux ans pour toutes les principales plateformes (Windows, MAC, iOS et Android). Nous offrons également une garantie de remboursement de 30 jours pour les abonnements d'un an ou plus, pour que vous puissiez essayer le produit sans risque.