Tous les sites récupèrent des données à notre insu. L’interception de connexions sans fil (dans des hotspots) n’est pas réservée aux séries TV avec des pirates. Pour ces deux raisons principales, l’installation d’un VPN devient indispensable. Mais quelques précautions sont nécessaires pour renforcer sa sécurité.
C’est connu, « pour vivre heureux, vivons caché ». Cet extrait d’une fable du XVIIIe convient parfaitement à notre époque. Le tracking marketing et la récupération de données personnelles se sont généralisés. Cette pratique ne concerne pas que les GAFA.
De très nombreux sites en récupèrent à notre insu. Les plus vicieux d’entre eux contournent les obligations du RGPD (indication exhaustive de tous les cookies installés et de leur finalité) en indiquant qu’ils ont recours à très peu de cookies. En réalité, ils les masquent !
Bref, nous sommes cernés par toutes ces régies publicitaires et les data brokers. Autre menace, le piratage de données bancaires lorsque nous achetons un billet de cinéma depuis la borne WiFI d’une célèbre enseigne de restauration rapide (mais c’est la même chose dans les aéroports, les gares…).
Tunnel chiffré
Dans tous les endroits où une connexion WiFi est proposée, il peut y avoir une personne malveillante qui tente d’intercepter les paquets de données de cette connexion (notamment la clé wifi, le handshake et l’adresse MAC). Certes, il faut s’y connaitre un peu, mais il existe une pléthore d’outils gratuits sur Internet pour jouer aux apprentis pirates.
Pour ces deux raisons principales (mais on peut aussi ajouter l’envie de regarder le catalogue américain de Netflix…), il est fortement recommandé d’installer un VPN. Comme son nom l’indique, un « Virtual Private Network » est un réseau permettant d’échanger de manière sécurisée des données à travers une infrastructure de transit publique non sécurisée, typiquement internet.
Pour les professionnels, le VPN est également plus que recommandé pour éviter l’espionnage économique, le vol ou les fuites de données. La connexion entre le serveur de l’entreprise et l’ordinateur du salarié s’effectue dans un « tunnel » dans lequel les données sont sécurisées et chiffrées pour transiter d’un site A vers un site B. Plutôt que de chiffrer message par message, un VPN permet donc de chiffrer l’ensemble des flux (tout votre trafic internet passe par les serveurs de l’éditeur du VPN et non plus par les serveurs du FAI).
En vous connectant à un VPN, vous pouvez masquer votre adresse IP et votre emplacement. Certains éditeurs disposent de centaines de serveurs dans des dizaines de pays. Ainsi, vous pouvez vous connecter depuis la France à un serveur en Finlande ou au Brésil.
Un VPN peut être installé sur son ordinateur, mais aussi sur son smartphone. Quel que soit le système d’exploitation de l’ordinateur (Windows, macOS ou GNU/Linux) ou votre smartphone (iOS et Android), ce logiciel protège vos échanges sur internet. Vous pouvez aussi installer une extension (proposée par de nombreux éditeurs de VPN) pour votre navigateur web.
Des VPN curieux…
Il existe de nombreuses technologies VPN : IP Sec, « Point-to-point tunneling protocol » (PPTP), « Layer 2 Tunneling Protocol » (L2TP)… Elles fonctionnent de façons légèrement différentes pour crypter (les pros préférant dire « chiffrer ») et protéger vos données, le canal par lequel elles transitent, ou les deux. Deux ou plusieurs options peuvent être combinées pour offrir des niveaux de sécurité plus élevés.
Comme avec toutes les solutions informatiques, tous les VPN ne se valent pas. Premièrement, les performances du réseau peuvent légèrement diminuer. Mais cela concerne plutôt les services VPN gratuits.
Les deux principaux risques sont la récupération de données personnelles et le piratage du ou des serveurs de l’éditeur.
Concernant la première menace, de nombreux services VPN avouent plus ou moins explicitement qu’ils récupèrent vos données de connexion. Cette pratique est-elle surprenante lorsqu’il s’agit de services gratuits ? Non. Tout le monde sait que lorsqu’on utilise gratuitement un service propriétaire, nous en sommes le produit. Les utilisateurs de Gmail le savent tous (non ?) !
Plus surprenant, une étude réalisée il y a quelques mois par VPNpro, spécialisée dans la confidentialité et la sécurité, a révélé que près d’un tiers des principaux VPN appartiennent secrètement à des entreprises chinoises, tandis que d’autres propriétaires sont établis dans des pays où les lois sur la protection de la vie privée sont faibles ou inexistantes. Autant dire qu’avec ces VPN-là, la confidentialité des données n’existe pas !
Le monde de Oui-Oui n’existe pas !
Concernant la seconde menace, il y a l’affaire NordVPN pour nous éclairer.
Fin octobre 2018, cet éditeur très connu et réputé pour la qualité de son service a avoué qu’un de ses serveurs en Finlande avait été piraté en… mars 2018. Toutes les personnes ayant souscrit un abonnement à ce VPN auront apprécié la rapidité avec laquelle cet éditeur a joué la transparence !
Pour éviter d’être de nouveau piraté, NordVPN a lancé un bug bounty. Objectif : inciter des hackers à trouver des failles. Le montant des primes varie en fonction de leur niveau de « criticité ». Cela va de 1000 à 5000 dollars pour des failles critiques à 100 dollars pour un risque faible.
Pour sa défense, NordVPN a précisé que le serveur ne contenait pas de journaux d’activités, de noms d’utilisateur ou de mots de passe. Mais l’attaquant aurait pu voir quels sites les utilisateurs visitaient pendant cette période. Par ailleurs, un responsable de NordVPN a indiqué qu’ils changeaient toutes les cinq minutes environ le serveur auquel chaque utilisateur est connecté.
Pour éviter une nouvelle faille de sécurité, NordVPN a décidé de lancer un Bug Bounty (voir notre article sur cette pratique). Les primes ne sont évidemment pas très élevées comparées à celles des géants du web comme Google qui a versé en 2018 3,4 millions de dollars mais les moyens ne sont pas les mêmes.
Le piratage de NordVPN confirme qu’il faut toujours rester prudent et qu’aucune solution n’est infaillible. Néanmoins, opter pour un VPN nous paraît très conseillé : en dépit de cette affaire, NordVPN reste un prestataire sérieux tout comme CyberGhost et ExpressVPN. Ces trois VPN ont des centaines de serveurs dans des dizaines de pays, leurs performances et leurs ergonomies sont reconnues et c’est un bon rapport qualité prix.
Et rappelons quelques règles de bases fondamentales : un mot de passe « fort » et unique par compte (cet outil du gouvernement peut être fort utile pour vérifier la solidité de votre mot de passe), éviter d’utiliser des services gratuits et se renseigner avant de prendre n’importe quelle application VPN pour smartphone. Sur Play Store, il y a pléthore de VPN avec des notes élevées et qui s’avèrent être des arnaques.
Vivons cachés et ne soyons pas naïfs !
