Pendant des semaines, l’affaire semblait réglée : un VPN gratuit installé en deux clics, Netflix américain accessible depuis le canapé, tout le monde content. Le problème, c’est que pendant ce temps-là, l’application faisait un travail très différent de celui qu’on lui avait demandé.
Ce scénario n’a rien d’exceptionnel. En France, les VPN gratuits rencontrent un succès grandissant, et plus d’un tiers des utilisateurs de réseau privé virtuel utilisent des solutions gratuites. La logique est séduisante : pourquoi débourser une dizaine d’euros par mois quand l’App Store en propose des dizaines gratuitement ? La réponse tient en une seule phrase, brutale et vérifiable : maintenir un réseau de serveurs coûte extrêmement cher, et si vous ne payez pas avec votre argent, vous payez souvent avec vos données. De nombreux VPN gratuits financent leur service en collectant votre historique de navigation pour le revendre à des régies publicitaires.
À retenir
- Ces applications que vous pensiez sûres enregistrent et revendent votre historique complet à des tiers
- Vos appareils ont peut-être déjà participé à des botnets sans que vous le sachiez
- Même Netflix bloque ces VPN gratuits : la promesse initiale ne tient jamais
Le modèle économique que personne ne lit dans les CGU
Un service VPN gratuit doit payer ses serveurs, son développement logiciel, sa maintenance et son support. Comme il ne gagne rien avec les utilisateurs gratuits, certains revendent vos données personnelles à des annonceurs ou à des tiers, souvent sans que vous soyez bien informé. C’est le paradoxe absolu de l’outil : vous l’installez pour protéger votre vie privée, il la monétise à votre place.
De nombreux services de VPN gratuits se financent en collectant vos données de navigation : les sites que vous visitez, le temps que vous y passez, les produits que vous consultez. Ces informations, très précieuses pour les publicitaires, sont ensuite regroupées et vendues à des entreprises tierces. L’anonymat que vous pensiez gagner est alors complètement perdu. Et ce n’est pas qu’une hypothèse théorique. La moitié des applications auditées contiennent dans leur code source des fonctions qui envoient des données directement à des tiers, dont ByteDance et Yandex. ByteDance opère TikTok. Yandex est le moteur de recherche dominant en Russie et une plateforme publicitaire majeure. Les SDK intégrés dans ces applications VPN collectent des identifiants d’appareils, des habitudes de navigation, des listes d’applications installées, et dans certains cas des coordonnées GPS.
L’affaire Hola VPN est devenue un cas d’école. Ce VPN a été pris en flagrant délit de revendre la bande passante de ses utilisateurs. Résultat : des utilisateurs français se sont retrouvés impliqués dans des attaques DDoS lancées depuis leur propre connexion. votre box devenait l’outil d’une cyberattaque à votre insu. Difficile de faire pire comme protection.
Des chiffres qui donnent le vertige
Les recherches indépendantes sur le sujet sont accablantes. Plus d’une application VPN gratuite sur dix présente des failles de chiffrement, allant d’une exposition totale de l’activité en ligne à des fuites de données sur les sites visités. Près de 90 % des applications VPN gratuites ont souffert d’au moins une fuite de données. Plus de 70 % des VPN ont fait du partage des données personnelles avec des tiers tels que Facebook, Yandex et des courtiers en données.
Et si vous pensiez que le Play Store ou l’App Store filtraient efficacement ces applications douteuses, détrompez-vous. Google a bloqué 1,75 million d’applications malveillantes du Play Store en 2025, et une part significative étaient des utilitaires et des applications VPN. Malgré cette vigilance, l’extension Chrome « Free Unlimited VPN » a été retirée en mai 2025 après des années de vol de données. Dès juillet 2025, une nouvelle version était de retour sur le Chrome Web Store, décrite comme « nettement plus avancée et évasive que l’ancienne ». Le chat et la souris, version données personnelles.
Le botnet 911 S5, démantelé en mai 2024, avait transformé les appareils de millions d’utilisateurs de VPN gratuits en réseau de proxy pour de la fraude, du blanchiment d’argent et des cyberattaques. Les propriétaires des appareils n’avaient aucune idée que leurs téléphones y participaient. Un million d’utilisateurs anonymes, zéro indemnisation.
Débloquer Netflix : l’illusion qui ne tient pas
Pour revenir à la promesse initiale, accéder au catalogue Netflix américain, les VPN gratuits sont structurellement incapables de la tenir sur la durée. Les plateformes de streaming bloquent activement les adresses IP des VPN. Les fournisseurs gratuits n’ont pas les ressources pour renouveler leurs serveurs aussi vite que les géants du streaming les bannissent. De plus, la limitation de débit des offres gratuites rend le visionnage en HD quasi impossible, avec une mise en mémoire tampon constante.
Le VPN gratuit souffre donc d’une double peine : il ne protège pas vraiment votre vie privée, et il n’accomplit pas non plus la mission pour laquelle vous l’avez téléchargé. Certains services gratuits utilisent des protocoles dépassés, un chiffrement obsolète, ou manquent de confidentialité persistante (PFS). En conséquence, votre trafic peut être plus facile à analyser ou à intercepter.
Ce qu’on fait à la place
Des alternatives sérieuses existent, même dans le segment gratuit. La version gratuite de Proton VPN opère sous juridiction suisse, ne diffuse aucune publicité, n’impose aucun plafond de données, et est financée par les revenus des abonnés payants. Proton a fait l’objet de plusieurs audits indépendants. Proton VPN accorde une importance particulière à la protection des données personnelles. Sa politique no-log s’applique aussi bien aux utilisateurs gratuits qu’aux abonnés payants, ce qui signifie que vos données, adresse IP, historique de navigation et activités en ligne, ne sont pas enregistrées par le service.
Avant d’installer quoi que ce soit, la règle de base reste la lecture de la politique de confidentialité. Un VPN qui se présente comme « no log » s’engage à ne pas enregistrer ni conserver votre adresse IP réelle, vos requêtes DNS, votre historique de navigation ou des journaux de session détaillés qui permettraient de reconstituer vos activités. Méfiance également envers les VPN dont les opérateurs réels sont dissimulés : certains sont détenus par des sociétés marketing ou des entités liées à des États, avec pour objectif explicite de collecter des renseignements plutôt que de protéger votre vie privée.
Un dernier point que peu de guides mentionnent : en France, l’usage des VPN est autorisé. Ces services s’inscrivent dans un cadre juridique qui reconnaît le droit à la confidentialité des communications et à la protection des données personnelles. Un amendement visant à interdire leur usage sur les réseaux sociaux a d’ailleurs été rejeté, ce qui réaffirme leur légalité tant que leur utilisation respecte la loi. Utiliser un VPN pour contourner les restrictions géographiques de Netflix reste une zone grise contractuelle avec la plateforme, pas une infraction pénale. Mais se faire aspirer ses données pendant des mois par une application vénale, ça, personne ne vous le remboursera.
Sources : securite.developpez.com | kaspersky.fr