Si les VPN sont censés protéger les données personnelles de l'utilisateur, certains fournisseurs peu scrupuleux n'hésitent pas à les exploiter. C'est ce que révèle une enquête américaine sur des applications populaires.

Longtemps réservés aux professionnels, les VPN (Virtual Private Network ou "réseaux privés virtuels" en français) se popularisent de plus en plus au sein du grand public. Et pour cause : faciles à installer et à utiliser, ces services qui servent de relais sur Internet permettent de sécuriser et d'anonymiser une connexion, mais aussi de changer d'adresse IP publique, et donc de modifier une localisation géographique pour accéder à des services en principe inaccessibles, notamment sur les plateformes de streaming. Autant d'atouts qui les rendent précieux pour de nombreux internautes dans leur utilisation quotidienne.

Seulement voilà : du fait même de leur nature d'intermédiaires, les VPN "voient" passer toutes les informations qui transitent entre leurs utilisateurs et les sites qu'ils consultent. Certaines évidentes et nécessaires, d'autres plus confidentielles, en principe cryptées (identifiants, mots de passe, coordonnées bancaires, etc.). Or, s'il semble normal que les éditeurs de VPN conservent certaines certaines informations statistiques – indispensables pour pouvoir fournir des forfaits selon la quantité de données consommées ou limiter les connexions à un certain nombre d'appareils –, on peut s'interroger sur l'usage qu'ils font d'autres donnés plus sensibles, comme les adresses des sites visités, ou d'autres, plus confidentielles encore. Surtout quand on sait que la majorité des prestataires proposant des services gratuits vivent justement de l'exploitation – et la venge – de données personnelles. Et, dans ce domaine, il semblerait que tous les VPN ne soient pas logés à la même enseigne… 

Pour en savoir plus, le vénérable Washington Post s'est penché sur la question en étudiant, avec des experts, la nature et la quantité de données récoltées par certains VPN. En l'occurrence, des applications gratuites, très populaires. Et plus précisément, des applications d'origine chinoise. Et le journal a découvert qu'elles présentaient des risques en matière de confidentialité, allant jusqu'à dire qu'elle collectaient davantage d'informations que TikTok ! Il convient toute fois de replacer cette analyse – et sa conclusion – dans le contexte actuel des relations diplomatiques et économiques entre la Chine et les États-Unis, les Américains se méfiant de tout ce qui provient le l'Empire du Milieu, en particulier quand il s'agit de technologies. En témoigne la crise qui se cristallise avec la question de l'interdiction de TikTok sur le sol américain et dans d'autres pays. Le fait que le média se focalise sur des VPN chinois est à remettre dans le contexte.

Sécurité des VPN : des données personnelles enregistrées

Comme la plupart outils offrant des services en ligne, les VPN enregistrent et conservent certaines données dans des fichiers d'identification pour gérer leurs utilisateurs : nom et prénom, adresse mail et coordonnées bancaires, dans le cas où un abonnement payant a été souscrit. Du classique, donc qui ne pose a priori aucun problème. Mais ils utilisent également des "journaux d'activité" – logs, en anglais –, qui contiennent l'adresse IP de l'utilisateur, son temps de connexion au service, les adresses IP de destination, le volume de données échangées par jour, le détail des sessions de connexion, etc. Et là, c'est un peu plus compliqué. Pour savoir exactement ce que collecte le VPN utilisé, il faut aller chercher dans les conditions générales de vente du fournisseur... en espérant qu'il soit transparent !

Il y a une grande différence entre la quantité et la nature des données personnelles enregistrées par les VPN payants et les VPN gratuits, ces derniers ayant tendance à revendre certaines données personnelles à des tiers – c'est même la base de leur modèle économique. Selon une enquête menée par le Washington Post, des VPN très populaires ont induit les consommateurs en erreur sur leurs pratiques tout en dissimulant leur origine, leurs activités et l'emplacement de leur siège social. Le journal pointe notamment du doigt des VPN basés en Chine ou contrôlés par des ressortissants chinois, dans la mesure où le gouvernement de Pékin peut forcer les entreprises technologiques chinoises à fournir des informations aux autorités gouvernementales.

Sécurité des VPN : des politiques de confidentialités opaques

Pourtant, ces VPN problématiques sont mis en avant par les géants du numérique que sont Google et Apple via leur boutique d'applications officielle. En effet, ils leur vendent des espaces publicitaires sur l'App Store et le Play Store et prélèvent une commission pour chaque vente réalisée sur leurs plateformes. Le Washington Post donne en exemple l'application Turbo VPN, qui fait partie des premiers résultats sur le Google Play Store en cumulant plus de 100 millions de téléchargements. En regardant de plus près, on découvre qu'Innovative Connecting, son éditeur, est enregistré aux îles Caïmans mais qu'il possède son siège social à Singapour. Et en allant un peu plus loin, on découvre que plusieurs ressortissants chinois ont été directeurs de la société au cours des dernières années. "Comme de nombreuses autres applications, il n'y a aucun moyen de prouver qui ou où sont les vrais propriétaires", explique le journal. Notons toutefois que, dans ses conditions générales de vente, Turbo VPN indique ne pas tenir de journal d'activités et n'accéder et ne transmettre que des données anonymes ou en relation avec le fonctionnement de son application (bugs techniques, échecs de connexion, diagnostics...).

Du côté de Thunder VPN, qui apparait lui aussi dans les premiers résultats du Play Store, l'application appartient à Signal Lab qui n'a, contrairement à ce que son nom pourrait laisser entendre, aucun lien avec la messagerie instantanée cryptée Signal. La société, qui serait basée à Hong Kong, indique dans sa politique de confidentialité que son VPN ne conserve pas les journaux d'activité des utilisateurs, mais peut collecter les heures de connexion à son service, la quantité totale de données transférées par jour, etc. De plus, elle se réserve le droit de surveiller l'activité de l'utilisateur pour enquêter sur "toute violation possible" des conditions d'utilisation et se réserve le droit, "à notre seule discrétion et sans préavis, supprimer, bloquer, filtrer ou restreindre par quelque moyen que ce soit tout matériel ou information que nous considérons comme des violations réelles ou potentielles des restrictions énoncées dans les présentes Conditions, et toute autre activité pouvant engager la responsabilité de Thunder VPN ou de ses clients."  Curieux et pas vraiment rassurant...

Le Washington Post a interrogé Google et Apple à propos de ces VPN qu'ils autorisent sur leur boutique officielle. La marque à la pomme lui a répondu que "les applications VPN sont des outils puissants qui peuvent être utilisés pour suivre le trafic Internet des utilisateurs, nous avons donc des directives strictes sur ce que les développeurs d'applications VPN doivent faire pour être sur l'App Store." De son côté, la firme de Redmond explique que "Google Play a mis en place des politiques pour assurer la sécurité des utilisateurs que tous les développeurs, y compris les applications VPN, doivent respecter. Nous prenons au sérieux les réclamations de sécurité et de confidentialité contre les applications, et si nous constatons qu'une application a violé nos politiques, nous prenons les mesures appropriées." Des réponses assez vagues finalement...

Certes, l'enquête du Washington Post est à remettre dans le contexte de suspicion d'ingérence et d'espionnage qui règne aux États-Unis vis-à-vis de la Chine. Mais, même s'il faut prendre ses résultats avec des pincettes, elle a le mérite de pointer un aspect méconnu – et sous-estimé – des VPN : l'utilisation réelle des données que ces services traitent. C'est bien beau de passer par un intermédiaire pour se protéger sur le Net : encore faut-il avoir une confiance absolue dans la confidentialité de toutes les informations qu'il voit passer…