Débloquer une série américaine disponible uniquement sur une plateforme US, ça semble être un petit tour de passe-passe innocent. On cherche « VPN gratuit », on installe l’appli en 30 secondes, on regarde ses épisodes. Mais pendant ce temps-là, d’autres personnes passent par votre connexion internet. Et certaines d’entre elles n’ont absolument pas les mêmes intentions que vous.
À retenir
- Hola VPN a transformé les appareils de ses utilisateurs en botnet revendant leur bande passante à 20 dollars le gigaoctet
- 80% des VPN gratuits intègrent du tracking, et vos données partent vers ByteDance et Yandex sans consentement
- Votre adresse IP peut être utilisée pour des activités illégales attribuées directement à vous
Le modèle économique qu’on ne vous explique jamais
Un service VPN coûte de l’argent à faire tourner : serveurs, bande passante, ingénierie. Quand l’utilisateur ne paie rien, les revenus viennent forcément d’ailleurs. Et dans la plupart des cas, ils viennent de l’utilisateur lui-même. Pas de son portefeuille, de ses données.
Les VPN gratuits ne perçoivent pas de fonds de la part des utilisateurs, mais ils ont pourtant besoin de financements pour exister. Pour les obtenir, la revente de données est hélas monnaie courante. En les utilisant, vous prenez le risque de voir ces précieuses informations captées par ceux-là mêmes qui étaient censés les protéger. C’est le paradoxe fondamental du VPN gratuit, et il ne disparaît pas parce qu’on l’ignore.
Les sources de revenus les plus courantes pour les applications VPN gratuites incluent des SDK publicitaires présents dans près de la moitié des applis auditées, la revente de métadonnées de navigation, les réseaux de proxy résidentiels, et dans certains cas la collecte de credentials via des abus de permissions. Voilà le menu. Ces applis ne « fuient » pas vos données par négligence. Elles les collectent intentionnellement. L’intégration des SDK est délibérée. Les permissions demandées sont calculées. L’architecture entière est conçue pour extraire de la valeur depuis l’utilisateur, parce que celui-ci ne paie pas en argent.
Ce qui passe vraiment par votre connexion
Le cas le plus documenté, et le plus glaçant, reste celui du modèle peer-to-peer. Hola VPN, exemple fréquemment cité, a historiquement utilisé un système de partage de bande passante en pair-à-pair dans lequel les appareils des utilisateurs pouvaient servir de nœuds de sortie pour le trafic d’autres utilisateurs. Concrètement : le trafic internet d’inconnus transite par votre box, avec votre adresse IP.
Dès fin 2014, Hola avait commencé à revendre l’accès à ses utilisateurs en tant que nœuds de sortie, sous le nom Luminati, facturant 20 dollars par gigaoctet de bande passante qui provenait en réalité de ses utilisateurs gratuits. La conséquence directe est vertigineuse : toute activité illégale réalisée lors de cette connexion est attribuée à votre adresse IP, qui n’est donc pas cachée et peut être tracée jusqu’à vous.
En 2015, le service a été exposé pour avoir transformé les appareils de ses utilisateurs en botnet, permettant à des clients professionnels payants de router leur trafic via les connexions des utilisateurs gratuits à leur insu. Cela a transformé les appareils des utilisateurs en nœuds de sortie pouvant être exploités pour des activités malveillantes. Google a depuis bloqué plusieurs extensions et applications de ce type, mais en 2025, il a bloqué 1,75 million d’applications malveillantes sur le Play Store, dont une part significative était des utilitaires et des applications VPN.
Des données qui partent dans toutes les directions
Malgré des promesses de « zéro log », des enquêtes montrent que de nombreux VPN gratuits tracent les sites que vous visitez, à quelle heure et combien de temps. Certaines applications collectent des identifiants comme la localisation GPS, les identifiants d’appareils, les noms de réseaux Wi-Fi et même les contacts, avant de revendre tout ça à des annonceurs ou des sociétés d’analyse.
La moitié des applis auditées contenaient dans leur code source des fonctions envoyant des données directement à des tiers, notamment ByteDance et Yandex. ByteDance opère TikTok. Yandex est le moteur de recherche dominant en Russie et une plateforme publicitaire. Les SDK intégrés dans ces applis VPN collectent des identifiants d’appareils, des habitudes de navigation, des listes d’applis installées et dans certains cas des coordonnées GPS, le tout packagé et vendu à des réseaux publicitaires et des data brokers.
Des données prédisent que 80 % des VPN gratuits embarquent des fonctionnalités de tracking, et les ventes de données à des tiers pourraient atteindre 60 %. Un chiffre qui donne une autre couleur à l’écran de chargement de votre série préférée.
Il y a pire que la revente de données : des VPN gratuits peu scrupuleux peuvent même intégrer des logiciels malveillants dans leur application. Ces derniers peuvent infecter votre ordinateur ou votre smartphone pour vous espionner ou voler des informations sensibles, comme vos mots de passe ou vos coordonnées bancaires. Concrètement : enregistrement de vos frappes au clavier, vol de mots de passe, ou prise de contrôle partielle du système. Vous vous exposez également à des tentatives de racket lors desquelles vos données sont chiffrées par un pirate qui vous demande de payer pour les récupérer.
Il existe des alternatives qui ne vous retournent pas contre vous-même
Tout VPN gratuit n’est pas une arnaque. La distinction tient au modèle économique. La version gratuite de Proton VPN opère sous juridiction suisse, sans publicités, sans limite de données, et est financée par les revenus des abonnés payants. Proton a passé plusieurs audits indépendants. Ce n’est pas de la générosité naïve : c’est un produit d’appel transparent, conçu pour convertir des utilisateurs gratuits en abonnés, sans les exploiter entre-temps.
Si un fournisseur cache qui le possède, où il est basé ou comment il gère les données, vous ne pouvez pas juger de ses intentions ni de ses obligations légales. C’est la question à se poser avant d’installer n’importe quelle appli présentée comme « VPN gratuit illimité ». L’origine géographique du service a aussi son importance : les pays membres des alliances de surveillance 5/9/14 Eyes peuvent légalement exiger la transmission de données. Opter pour un fournisseur situé hors de ces zones peut offrir un niveau de confidentialité plus élevé.
Un dernier détail qui mérite d’être connu : les extensions de navigateur VPN sont particulièrement risquées, car elles peuvent collecter l’activité au niveau des pages web ou injecter des scripts. Ce type d’extension, souvent le plus facile à installer pour regarder du contenu géo-bloqué, est précisément celui qui offre le moins de protection réelle tout en disposant d’un accès direct à chaque page que vous consultez. C’est un angle mort que même les utilisateurs avertis ont tendance à négliger.
Sources : vpnmentor.com | top10vpn.com