Un VPN gratuit qui débloquerait Netflix US, YouTube sans pub ou les streams d’une plateforme géo-bloquée : l’idée paraît géniale. Jusqu’au soir où un ami un peu geek branche Wireshark sur ton réseau et te montre ce qui transite réellement par ton appareil. Ce moment-là change une vision du monde numérique, parfois brutalement.
À retenir
- 72% des VPN gratuits intègrent des outils de traçage tiers qui font exactement l’inverse de ce qu’ils promettent
- Le botnet 911 S5 a transformé des millions de PC en relais de fraude à travers des VPN « gratuits » populaires
- Certains VPN gratuits ne chiffrent pas votre trafic malgré leurs promesses, rendant toutes vos données accessibles à quiconque analyse votre réseau
Ce que ton VPN « gratuit » fait vraiment de ta connexion
Un VPN, dans son principe, crée un tunnel chiffré entre ton appareil et un serveur distant. Ton trafic de données est chiffré et passe par un serveur distant, et ta véritable adresse IP est masquée, remplacée par celle du serveur VPN. Sur le papier, c’est exactement ce dont tu as besoin. Le problème, c’est que gérer un réseau mondial de serveurs coûte cher. Très cher.
Les VPN gratuits ne perçoivent pas de fonds de la part des utilisateurs, mais ont pourtant besoin de financements pour exister. Pour les obtenir, la revente de données est hélas monnaie courante chez les fournisseurs de VPN gratuit. Traduction concrète : ton historique de navigation, tes habitudes, tes requêtes DNS, tout ça devient une marchandise. Sans modèle économique légitime, les VPN gratuits s’appuient souvent sur la publicité ou sur la vente de tes données pour gagner de l’argent. Tes informations peuvent être transmises à des régies publicitaires qui t’enverront des publicités ciblées non sollicitées.
Là où ça devient vraiment inquiétant, c’est sur la question du chiffrement lui-même. Selon une étude du CSIRO, environ 18 % des VPN gratuits ne chiffrent pas ton trafic malgré leurs promesses. D’autres utilisent des protocoles de chiffrement sous-standards et présentent des fuites IPv6 et DNS, ce qui signifie que tes activités en ligne ne sont plus confidentielles. quand ton ami analyse ton trafic : il peut voir tout, sans même forcer quoi que ce soit.
Ton appareil transformé en complice à ton insu
La revente de données, c’est déjà une mauvaise surprise. Mais certains VPN gratuits vont bien plus loin. Plus d’un tiers des applications VPN Android gratuites contiennent un certain type de logiciel malveillant, ce qui signifie que certaines des plus populaires dans les résultats de recherche sont dangereuses. Ce chiffre mérite qu’on s’y arrête une seconde.
De nombreuses offres de VPN gratuits ne sont que des façades destinées à te faire télécharger un programme infecté sans éveiller tes soupçons. Une fois installés sur ta machine, ils peuvent nuire de bien des manières : voler les données présentes dans ton disque dur, enregistrer tes frappes au clavier pour subtiliser mots de passe et données confidentielles, ou même prendre le contrôle du système à ton insu.
L’affaire la plus spectaculaire sur ce sujet reste le botnet 911 S5, démantelé par le FBI en mai 2024. Les autorités ont arrêté l’opérateur présumé de 911 S5, un service d’anonymisation en ligne alimenté par ce que le directeur du FBI a qualifié de « probablement le plus grand botnet jamais créé au monde », dont l’infrastructure reposait sur des produits « VPN gratuits » transformant les ordinateurs des victimes en relais de trafic. Parmi les marques utilisées : MaskVPN, DewVPN, PaladinVPN, Proxygate, Shield VPN et ShineVPN.
Le réseau proxy 911 S5 s’est principalement constitué en proposant des services VPN « gratuits ». Le VPN fonctionnait comme annoncé pour l’utilisateur en permettant de naviguer anonymement, mais il transformait aussi silencieusement l’ordinateur en relais de trafic pour les clients payants de 911 S5. Les enquêteurs ont estimé que 5,9 milliards de dollars ont été perdus via 560 000 demandes d’indemnisation chômage frauduleuses provenant d’adresses IP compromises par 911 S5. Des gens normaux, qui voulaient juste regarder une série en streaming, sont devenus malgré eux les complices d’une fraude massive.
Le cas Hola VPN illustre une variante moins criminelle mais tout aussi dérangeante. Hola revend la bande passante inexploitée de ses utilisateurs non premium via un service tiers. Concrètement, si tu utilises Hola gratuitement, d’autres utilisateurs peuvent se servir de ta connexion pour accéder à des contenus qui ne sont pas bloqués chez toi. Ton abonnement internet, payé par toi chaque mois, devient la matière première d’un business que tu ne contrôles absolument pas.
Le problème structurel : la gratuité est un modèle incompatible avec la sécurité
Les risques des VPN gratuits sont inhérents à leur modèle économique, car un service de VPN sérieux engendre des coûts de fonctionnement qui rendent sa gratuité impossible. C’est aussi simple que ça. Un réseau de serveurs répartis dans le monde entier, du personnel pour le maintenir, des audits de sécurité réguliers : rien de tout cela n’est gratuit. Quand le service est à zéro euro, quelqu’un paie quand même, et c’est toi, d’une façon ou d’une autre.
Certains VPN gratuits font exactement l’inverse de ce qu’ils promettent en traçant les activités en ligne des utilisateurs. La même recherche du groupe ICSI a établi que 72 % des services VPN gratuits analysés intégraient des outils de traçage tiers dans leur logiciel. Soixante-douze pourcent. C’est la quasi-totalité du marché du VPN gratuit qui intègre des mouchards dans son propre outil de confidentialité. L’ironie est tellement poussée qu’elle en devient presque esthétique.
Les VPN payants incluent souvent des options de sécurité avancées très utiles, dont le « Kill Switch » : cette fonction coupe automatiquement ta connexion internet si le VPN se déconnecte de manière inopinée, afin d’éviter que ta véritable adresse IP ne soit exposée. Cette fonctionnalité est très rarement présente dans les versions gratuites. Résultat : à la moindre micro-coupure, ton IP réelle se retrouve exposée.
Alors, on fait quoi ?
La réponse honnête, c’est qu’il existe une poignée d’exceptions sérieuses dans le monde du VPN gratuit. Proton VPN propose à la fois un essai payant de 30 jours et une version 100 % gratuite sans carte bancaire, utilisable indéfiniment. Développé à Genève, son code source est intégralement public et audité, ce qui permet à quiconque de vérifier l’absence de collecte de données. Ce modèle existe parce que Proton est financé par ses utilisateurs premium, pas par la revente de tes données.
Pour le reste du marché, les VPN gratuits consignent souvent tes données de connexion et peuvent les vendre à des tiers, ce qui les rend contre-productifs pour la confidentialité et faciles à tracer. La vigilance minimale à avoir avant d’installer n’importe quel VPN : vérifier qui est derrière l’application, où l’entreprise est domiciliée, si elle a été auditée indépendamment, et surtout lire cette politique de confidentialité que tout le monde ignore.
Quand on regarde de plus près ces outils, ils sont pour la grande majorité situés en Chine. Certains sont téléchargés plusieurs dizaines de millions de fois avec des avis très positifs sur le Play Store ou l’App Store. La plupart affichent entre 4 et 5 étoiles, parce que les utilisateurs ignorent ce qui est fait de leurs données. Les bonnes notes ne valent rien comme indicateur de sécurité. L’affaire 911 S5 le prouve de façon cinglante : les applications concernées fonctionnaient parfaitement bien pour débloquer des vidéos. C’est précisément pour ça qu’elles étaient si efficaces à constituer un botnet.
Sources : presse-citron.net | darty.com