[Édito] Au pays des VPN menteurs…

Un VPN est inutile pour la très grande majorité des utilisateurs grand public (dans le monde de l’entreprise, c’est différent). Pourtant, ces services pullulent sur Internet, que ce soit en sponsorisant des contenus, dans des comparatifs et des articles de presse. Pourquoi un tel engouement ? L’argent…

On ne va pas réinventer la roue et vous faire un cours sur les VPN (Virtual Private Network)… d’autant qu’on vous l’a déjà fait il y a quelques années et que rien n’a changé depuis. Pour faire simple, un VPN permet à des appareils de se connecter à un réseau local comme s'ils en faisaient partie, à travers un accès distant comme une connexion Internet.

• Un VPN, à quoi ça sert ?
• Le réseau privé virtuel (VPN) par l’exemple

Un VPN, c’est utiliser la connexion de quelqu’un d’autre

En entreprise, le VPN est largement utilisé pour les employés à distance (déplacement, télétravail). Leur machine est alors intégrée dans le réseau de l’entreprise, comme si elle était sur place, afin d’accéder aux documents et aux applications internes. Lorsque vous vous connectez à un réseau distant, ce dernier vous partage généralement son accès Internet pour que vous puissiez continuer à surfer sur le Net.

Vous accédez alors à Internet à travers son routeur et donc son adresse IP publique. Dans ce genre de situation, si vous regardez votre adresse (sur MonIP.org par exemple), vous verrez que c’est celle de votre VPN et pas de votre FAI.

Vous pouvez ainsi « cacher » votre adresse IP, mais il faut avoir une totale confiance en la société qui assure ce service, car l’intégralité de vos échanges passe par elle. Elle peut en effet avoir le même niveau de connaissance sur vos habitudes de navigation qu'un fournisseur d'accès Internet, mais sans en avoir les mêmes obligations légales, surtout s’il est basé à l’étranger.

Certains VPN se font une joie d’annoncer qu’ils sont d’ailleurs dans des pays étrangers, leur permettant ainsi de faire un peu ce qu’ils veulent, loin des juridictions américaines, chinoises et européennes. Certes, mais tout le monde ne connait pas la réglementation locale du Panama par exemple. De plus, faut-il plus faire confiance à une société basée dans un pays lointain ou à un opérateur soumis à des réglementations locales ? Vous devez vous poser cette question.

Et si la confidentialité de vos données et de vos communications est à ce point primordiale, commencez par vérifier que vous n’utilisez pas de services comme Facebook, Gmail, Outlook, Alexa, etc.

À ce sujet, on ne peut que vous conseiller de regarder cette vidéo de Micode :

Promesses et mensonges des VPN clé en main

Dans cet édito, on va se pencher sur le grand public français et les VPN « clé en main » qui inondent les réseaux sociaux – et Internet de manière générale – de contenus sponsorisés… avec leur lot de mensonges et de fausses vérités. Le but ? Installer un faux sentiment de danger et proposer une solution payante à un problème qui n’existait pas réellement pour l'immense majorité.

Déjà, deux premiers points très importants et qui ont encore la vie dure : un VPN ne rend pas anonyme et ne protège pas des « hackers ». Cela n’a tout simplement rien à voir. C’est un peu comme se dire qu’on va emprunter la voiture de quelqu’un d’autre en pensant ainsi éviter les contrôles routiers.

Un mot sur le chiffrement de la connexion mis en avant par de nombreux vendeurs de VPN : là encore, rien de neuf. Les connexions avec les sites sont chiffrées dans leur immense majorité (vérifiez la présence du cadenas dans la barre d’adresse).

Et puisqu’on y est, balayons également du revers de la main la robustesse mise en avant par certains (des milliards d’années avant de casser le chiffrement, niveau militaire et je ne sais quoi d’autre) : c’est le niveau de base, comme sur les sites avec un cadenas. Des VPN mettent en avant « une protection post-quantique », mais là encore, passez votre chemin sans crainte.

Si on cherche bien, l’un des rares cas d’usage est lors d’une connexion à un Wi-Fi public en naviguant sur des sites non sécurisés. Avec la forte augmentation des gigaoctets dans les forfaits et le roaming inclus, les hot spots Wi-Fi ne sont plus aussi importants qu’avant.

Et si vous devez utiliser un VPN dans ce genre de situation – ou lors d’un voyage à l’étranger, suivant les réseaux sur place, la censure, etc. – , vous pouvez vous en monter un vous-même très facilement. Un Raspberry Pi installé chez vous avant de partir peut faire l’affaire, certaines box Internet (notamment des Freebox) et NAS intègrent un serveur VPN si besoin. Sinon, des sociétés comme Proton et Mozilla avec une bonne réputation sur la confidentialité proposent des VPN payants.

« No logs », vraiment ?

Parlons ensuite des logs (journaux de connexion). De nombreux VPN promettent de ne pas les enregistrer. Dans la pratique, ce n’est pas si simple, comme le rappelle l’ingénieur DevOPS Alexandre Hublau sur son blog : « Les VPN basés aux US ou UK sont soumis à une législation qui oblige à montrer vos informations aux autorités. Le “No log” est une promesse marketing uniquement ». Une règle d’or : il n’y aura de toute manière jamais moyen de vérifier cette affirmation, quel que soit le VPN.

L’ingénieur citait un article Spotflux de 2013 expliquant que n’importe quel « responsable d’une infrastructure informatique d’une certaine envergure sait qu’exploiter cette infrastructure avec zéro log est impossible ». Spotflux proposait justement un service de VPN, mais le site renvoie désormais vers FastVPN, un autre VPN… qui affirme : « Nous ne conservons pas de journaux d’utilisateurs ».

On peut tergiverser pendant des heures sur ce que contiennent ces « journaux », mais on va mettre fin au débat avec une affaire de 2020 : sept VPN « no logs » ont laissé fuiter pas moins de 1,2 To de données sur leurs utilisateurs. Un exemple parmi d’autres.

Le double discours sur le streaming et le blocage géographique

On retrouve parfois des promesses de contournement des contenus bloqués géographiquement, avec les services de streaming comme cible principale. NordVPN s’en défend vigoureusement : « Le service NordVPN ne doit jamais être utilisé pour contourner les réglementations sur les droits d'auteur. NordVPN ne fait pas la promotion et n'approuve ni ne cautionne l'utilisation du service à de telles fins ».

Il n’y a pas si longtemps pourtant, NordVPN (immatriculée au Panama) sponsorisait des publications expliquant cette « astuce » : Le catalogue Netflix américain, à portée de VPN, chez Numerama par exemple. Mettre en avant le contournement du blocage géographique des plateformes de streaming est courant dans les publications sponsorisées des VPN (ici, là, mais on pourrait multiplier les exemples).

Si NordVPN met en avant son respect de la réglementation sur le droit d’auteur, la société n’hésite pas à en faire la promotion en interne. Dans des emails envoyés à des « partenaires », un représentant partenariats et affiliation de NordVPN ne cachait pas sa motivation en 2022. Citant le nouveau film Marvel Doctor Strange qui était alors disponible sur la plateforme Disney, mais pas en France, NordVPN affirmait que son service « permet donc d’accéder à ce contenu. C’est un argument de taille pour les prochains articles. N’hésitez pas à l’utiliser ».

Rebelote fin 2023 à l’occasion du Black Friday avec deux « usecases » mis en avant par la plateforme : Harry Potter disponible sur « Netflix AUS » et Spider-Man : Across the Spider-Verse « aux US ». L’idée là encore est d’accéder aux films en utilisant NordVPN.

Quand NordVPN sponsorise à tout-va

Des mails, NordVPN en envoie quasiment toutes les semaines aux partenaires. Le dernier en date fait suite à la fermeture du VPN de Google : « Un article "quelle est la meilleure alternative au VPN de google" recommandant NordVPN pourrait faire sens. Vous pouvez également mettre à jour vos pages mentionnant le VPN de google en mettant NordVPN en reco dessus ».

Les « usecases » dans le jargon de NordVPN sont combinés à une commission « généreuse », ce qui pousse certainement des médias à sauter le pas et à multiplier les articles (sponsorisés ou non). On se demande sinon quel serait l’intérêt de mettre en avant des services payants et inutiles pour une grande majorité des gens ?

Quand les primes et l’affiliation prennent le pouvoir

Et on passe aussi sur la politique de promotion permanente : est-ce que des clients ont déjà payé un abonnement NordVPN sans une réduction de plusieurs dizaines de pourcents ? Si vous en connaissez, n’hésitez pas à nous le signaler.

D’ailleurs, puisqu’on parle de contenus sponsorisés, NordVPN est au taquet en France, depuis des années.

Afin de s’assurer d’une excellente visibilité pour un service inutile à la grande majorité des gens, l’entreprise sponsorise à tour de bras des youtubeurs (Vilebrequin, Cyprien, Nota Bene, Amixem, Joueur du Grenier, PewDiePie, MrBeast… la liste est tellement longue qu’on ne peut pas tous les citer) et des articles/comparatifs sur des sites de presse. Même sur Next INpact, nous avons eu par le passé un « sponso » sur NordVPN, suite à un changement de notre politique sur le sujet en 2019.

Pour conclure, citons Micode qui résume parfaitement la situation : « C’est un outil dont presque personne n’a besoin, mais ça, personne ne va jamais vous le dire. Pourquoi ? Car c’est un secteur ou les primes d’affiliation sont les plus élevées ». Je ne dirais pas mieux !

Maintenant, vous êtes tranquille sur Next : il n’y a ni publicité, ni publication sponsorisée, ni affiliation. Ha mince, on me souffle dans l’oreillette que je viens de faire de la pub pour Next. Au point où nous en sommes : abonnez-vous !