Selon plusieurs experts en sécurité, la plupart des ménages n’ont pas besoin de VPN pour aller sur Internet, au regard de l'amélioration de la sécurité sur le web. Peut-on réellement se passer de l'utilisation d'un VPN ?
Frédéric Mouffle: Pouvez-vous nous rappeler comment fonctionne un VPN, et comment sont-ils utilisés en terme de sécurité informatique ?
Le VPN (Virtual Private Network) est un serveur informatique qui a pour fonction de faire transiter du trafic Internet (navigation Web, e-mail, RDP) et tout autre types services distants. Concrètement comment cela fonctionne, l’utilisateur se connecte par l’intermédiaire d’un login et d’un mot de passe au serveur VPN créant ainsi une liaison sécurisée que l’on appelle aussi un tunnel. L’intérêt premier est que tout le trafic qui est généré entre vous et le serveur final est crypté avec une clé de chiffrement très difficile à casser (plusieurs milliers d’années pour casser une clé de 256Bits). Pour imager le fonctionnement d’un VPN, il faut imaginer une autoroute avec une voie de droite enfermée dans un tunnel. Vous qui êtes sur la voie du milieu vous ne voyez pas les véhicules qui circulent sur la voie de droite car elles sont dans un tunnel. C’est souvent l’exemple que j’utilise lors de session de sensibilisation utilisateurs car la plupart d’entre eux ont une vision très abstraite de ce type de service.
En termes de sécurité informatique, le VPN permet aux salariés de pouvoir se connecter en toute sécurité au serveur de l’entreprise et par conséquent pouvoir accéder aux ressources (accès au fichier de l’entreprise, e-mail, intranet…).
Concrètement comment ça fonctionne, utilisateur achète une prestation VPN chez un opérateur. Une fois le service acquis, il dispose d’un compte. Il va pouvoir soit télécharger un logiciel qui aura la charge de créer la connexion. Pour les plus avertis, ils peuvent se passer du logiciel de l’éditeur et configurer eux la connexion VPN. L’utilisation d’un VPN n’est pas exclusivement réservée aux ordinateurs, il peut également être utilisé depuis un smartphone ou une tablette. La plupart des applications proposées par les prestataires permettent de choisir l’adresse IP par laquelle vous voulez vous connecter. Plusieurs pays différents sont disponibles. C’est l’utilisateur qui fait son choix.
L’avantage d’un VPN au-delà du fait que le trafic n’est pas interceptable, c’est qu’il permet de cacher son adresse IP, d’éviter dans certains cas de voir ses données collectées, de ne pas être géo localisées. Certains l’utilisent pour pratiquer du téléchargement ou d’avoir la possibilité se connecter à des plates-formes vidéos non autorisé depuis certains pays. Pour une plate-forme dont l’utilisation n’est possible que depuis les États-Unis par exemple, si vous vous connecter avec une adresse IP française la connexion ne sera pas autorisé. En revanche si vous utilisez un VPN avec une adresse IP américaine, la plate-forme vous verra comme une personne se connectant depuis les États-Unis et vous autorisera l’accès.
Selon plusieurs experts en sécurité, la plupart des ménages n’ont pas besoin de VPN pour aller sur internet depuis le domicile, et encore moins depuis les réseaux publics. Et ça, malgré les larges campagnes et le marketing des sociétés de VPN. Pourquoi depuis quelques années, utiliser un VPN est probablement inutile ?
Les services de VPN peuvent avoir de l’intérêt pour certains utilisateurs qui, ne souhaite pas être tracé sur Internet. Certains vont utiliser ses services pour cette raison d’autres pour ne pas être géolocalisé et certain pour pouvoir pratiquer le téléchargement illégal sans risque de se faire identifier. L’utilisation d’un VPN peut avoir de l’intérêt lorsque vous vous connecter à des points d’accès des publics comme dans les gares, les hôtels ou les restaurants. Par le passé certains hacker, pratiquer l’usurpation de hotspot afin de pouvoir intercepter votre trafic et collecter vos identifiants. Cette pratique se fait de plus en plus rare, sa mise en œuvre reste complexe et incertaine. D’autres méthodes existent pour se protéger, plusieurs modules dans Firefox par exemple permet de changer certaines données liées à votre type de navigateur internet, à votre système d’exploitation ou à votre résolution d’écran. Pour certains d’entre eux, des services VPN sont intégrés manquant ainsi votre adresse IP. Il ne veut pas oublier que la navigation privée apporte aussi certaines garanties et est totalement gratuit. L’intérêt des sociétés proposant des services VPN et bien sûr de créer un besoin qui par conséquent n’est pas forcément utile pour le commun des mortels.
Lorsque l’on utilise ce type de service il est nécessaire de se poser un certain nombre de questions : qui est le prestataire ? Ou est-il localisé ? Que fait-il avec les données qui transitent par leur serveur ?
La plupart des services VPN propose du (nolog), c’est-à-dire qu’il vous apporte la garantie que l’historique de navigation n’est pas conservé sur leur serveur. Ce n’est que du déclaratif, des arguments commerciaux. Ce qu’il faut savoir c’est que pour maintenir des serveurs en place les logs, traces ou un journal d’événement permettant de pouvoir identifier l’origine d’un dysfonctionnement ou d’un accès non autorisé (hacking). Il est donc peu probable que les serveurs n’ont aucun Log. Cet aspect des choses a fait débat auprès des plus gros prestataire avançant ces arguments. Depuis quelques temps, les grands acteurs du marché, n’hésite pas à faire appel à des sociétés d’audit spécialisée afin d’obtenir des certifications de non-conservation des données. Ceci ayant pour but de rassurer les utilisateurs qui pourrait avoir des doutes sur le bien-fondé des garanties proposées. Ils affichent souvent le faite que leur société est installé dans des pays (ex: Panama), dont les juridictions ne permettent pas de transmettre des données. Aujourd’hui certains fournisseurs comme OVH proposent de se mettre en place son propre VPN. Pour les utilisateurs (honnêtes) l’avantage est que vous avez un total contrôle du serveur et des données qui transitent. C’est sûrement la meilleure solution pour disposer d’un service de qualité et en France.
Pensez-vous qu’offrir la possibilité à tout le monde d’avoir son VPN crée des risques supplémentaires, par exemple ; en créant un faux sentiment d’invincibilité et de sécurité en surfant sur internet ?
Ce qu’il faut bien comprendre c’est que l’utilisation d’un VPN ne protège pas des virus, des pishing, ni que vous naviguez sur un site légitime. Il permet de naviguer sous une autre IP, de masquer son trafic face à son opérateur Internet, dans certains cas d’éviter la collecte de données personnelles. Le fait de se cacher derrière un serveur VPN ne vous empêchera pas d’être inquiété si vous pratiquez des activités illégales sur Internet ou de la diffamation. C’est évidemment plus compliqué pour les services de police de vous identifier mais d’autres méthodes plus spécifiques existent pour identifier un auteur.
La sécurité de la navigation Internet est intimement liée au comportement de l’utilisateur, des sites qu’il fréquente et de son niveau de connaissance des « best practices ».
Si tout le monde utilise un VPN, internet deviendra payant car le modèle économique de la plupart des plates-formes gratuites sont la commercialisation des données et des profils clients qui peuvent être élaborés. On le voit bien avec des plates-formes comme YouTube par exemple qui propose des services payants pour supprimer les publicités. Certains sites de presse, lorsque vous refuser la collecte de cookies, vous orientent vers un service payant pour compenser le manqua a gagner. C’est finalement le vrai prix à payer pour naviguer sans pub. Il faut également noter que l’utilisation d’un VPN peut créer un certain nombre de problèmes notamment lorsque vous vous connecter à votre banque. Si votre IP n’est pas celle habituelle, la banque peut considérer que c’est un accès frauduleux et bloquer vos comptes. Il est également important de savoir que certains pays interdisent purement les VPN comme la Chine la Turquie l’Irak et Oman
Comments