Il y a encore quelque temps j’utilisais simplement les infrastructures de Medialisme pour « anonymiser » et chiffrer le contenu de mon activité internet (et celle de ma petite famille). Le système assez technique à mettre en place, et dont je vous épargnerais les détails, était simple d’utilisation et relativement robuste et sécurisé. Mais depuis la fermeture de Voile-RC (et donc de Medialisme) en mai et les gentilles lois que nous ont votées nos élus, je me sentais un peu tout nu dès que j’allumais un ordinateur et cela n’était pas vraiment bon pour les bonnes résolutions que je comptais prendre dans ma nouvelle vie numérique. Comme il m’était impossible de reproduire, juste pour mon usage, le système que j’avais mis en place pour Medialisme — notamment pour des raisons de couts — j’ai décidé de me mettre en chasse d’un bon service VPN… Et je dois avouer que ça n’a pas été simple : une offre un peu obscure, pas facilement comparable et parfois relativement technique, beaucoup de beaux arguments marketing mis en avant pour cacher des choses plus ou moins avouables… J’ai donc passé quelques semaines à défricher le sujet et je me propose de le partager avec vous.

Je ne vais pas vous expliquer ici en quoi utiliser un VPN pour chiffrer vos communications est important — cela fera sans doute l’objet d’un article futur. Si vous lisez cet article, c’est que vous savez déjà pourquoi votre privée est importante pour vous, vos proches et moins proches et que vous cherchez à vous y retrouver dans la multitude des offres VPN pour choisir un prestataire en toute connaissance de cause…

 

Avant d’aller plus loin, passons quelques lignes à rappeler ce qu’est un VPN et en quoi son utilisation permet de mieux protéger notre vie privée.

Lorsque nous surfons sur le web, relevons nos emails, accédons à des services en ligne via des applications, mobiles ou non, notre ordinateur ou smartphone échange des informations avec un ou des serveurs distants. Si ces informations ne sont pas chiffrées, elles sont accessibles « en clair » à n’importe qui ou n’importe quoi se trouvant sur le trajet (par exemple les fameuses boites noires — introduites par la loi 2015-912 du 24 juillet — déposées chez notre fournisseur d’accès à internet). Et ces données ainsi directement accessibles peuvent nous être associées puisque notre ordinateur a — à l’insu de son plein gré — indiqué qui il était en fournissant son adresse IP.

Vous l’avez compris le défaut de confidentialité de ce que nous faisons sur internet est majoritairement lié à deux éléments : l’absence de chiffrage des données (avec qui nous communiquons, le contenu de nos emails, quels sites web nous visitons, etc.) et la fourniture par notre ordinateur de son « identification » sur le réseau (son adresse IP).

Un serveur VPN est un serveur distant auquel notre ordinateur ou mobile va se connecter de façon chiffrée et qui va recevoir et rediriger tout le trafic internet en provenance et à destination de notre ordinateur. Ce flux étant chiffré, il ne sera pas exploitable directement (y compris par notre fournisseur d’accès à internet) et qui plus est les services auxquels nous accèderons ne verront pas notre adresse IP mais celle du serveur VPN auquel nous sommes connectés.

L’utilisation d’un serveur VPN permet ainsi de résoudre tout ou partie des problèmes évoqués plus haut. Qui plus est, son utilisation permet de passer outre les limitations géographiques que nous imposent certains services (par exemple de streaming vidéo) : la localisation se fait maintenant à partir de l’adresse IP du serveur VPN, et il suffit donc d’utiliser un serveur VPN situé, par exemple, en Norvège pour faire croire au service accédé que notre ordinateur se situe physiquement en Norvège. Elle apporte aussi quelques autres avantages de moindre importance.

 

Ceci étant posé, comment choisir ce service VPN ? Sur quels critères se baser pour comparer les offres ? Voici les axes de comparaison — et de sélection — que j’ai utilisés. Ils ne sont peut-être pas les seuls que vous voudrez utiliser, mais cela vous donnera toujours une liste de départ :

L’entreprise

En souscrivant un contrat de service VPN vous allez, de fait, accorder une certaine confiance à l’entreprise qui va vous fournir ce service. Même si cette confiance doit rester toute relative, il est important d’essayer de comprendre quelle est cette entreprise. Les points les plus importants à investiguer sont :

Où est-elle établie ? Cela vous permettra de savoir de quelle juridiction dépend cette entreprise… et par voie de conséquence quelles lois nationales l’impactent. Cela a une influence sur le risque que vous faites courir — ou non — aux données qu’elle stocke sur vous (notamment les données de connexion et de paiements) et à quelles demandes judiciaires elle peut répondre. Par exemple, une société basée au Panama ou en Islande n’aura pas à répondre à des demandes de type DMCA ou certaines formes de requêtes judiciaires alors qu’une société établie aux USA y donnera, quant à elle, une suite systématiquement favorable.

Depuis combien de temps existe-t-elle ? Plus une société existe depuis longtemps plus il y a des chances que son modèle économique tienne la route et que le service soit à la hauteur des tarifs qu’elle propose. Cela peut aussi avoir une influence sur sa « solidité » technique (notamment la diversité et le nombre de points de sortie) et qui plus est, vous aurez plus de chance de trouver sur le web des avis argumentés sur sa qualité.

Quelle est la mission de cette entreprise ? Comment se présente-t-elle ? Cela a-t-il l’air sincère ? N’oubliez pas que ce que vous trouverez sur son site institutionnel correspond à la façon dont elle veut être perçue. Vérifiez donc impérativement auprès de vos connaissances et sur le web ce qu’en disent les utilisateurs et s’il n’existe pas des « révélations » sur son activité. Et recoupez toujours ces informations pour ne pas vous laisser désinformer par des concurrents. Par exemple, ce que vous trouverez concernant le service VyprVPN devrait suffire à vous alerter…

Autres questions potentielles : qui gère et à qui appartiennent les datacenters et les serveurs exploités par le service ; quelles sont les procédures de réponse (et d’alerte de l’utilisateur) dans le cas de la réception d’une requête judiciaire ; etc. ?

Vos données

Aussi incroyable que cela puisse paraitre au regard des raisons d’être d’une entreprise offrant un service VPN, cette société a toujours plus ou moins besoin de stocker des informations vous concernant. Voire de les partager avec d’autres entreprises. Posez-vous donc les questions suivantes :

Vos données de connexion et d’activité sont-elles stockées ? Certaines de ces sociétés ont une tactique No-Log : elles n’enregistrent rien concernant votre activité et vos connexions à leurs services. D’autres, non ! Pour ma part, j’ai décidé d’éliminer systématiquement celles qui ne sont pas No-Log.

Peut-on payer anonymement ? Certains services sont payables en bitcoins ou carte prépayées que l’on peut acheter en grande surface avec des espèces. Si c’est le cas, c’est plutôt un bon signe… et une bonne option à utiliser.

Quelles autres données peuvent être stockées, et peuvent-elles être partagées avec des tiers ? Se poser cette question peut paraitre saugrenu tant elle parait antinomique avec la finalité d’un service VPN. Néanmoins, il s’agit d’un impondérable pour les sociétés offrant du support, des newsletters,… Vérifiez surtout la façon dont les données peuvent être associées entre elles (certaines sociétés proposent un service de support qui n’est lié d’aucune façon au compte utilisateur, par exemple) et avec quels prestataires tiers cela peut être partagé.

Autres questions potentielles : quels outils sont utilisés pour la supervision ; quels DNS sont utilisés (internes ou externes) ; etc. ?

Utilisation

Cette fois-ci, il s’agit de vérifier l’adéquation du service qui est proposé avec vos usages :

Combien de connexions ou périphériques simultanés sont-ils autorisés ? Si vous souhaitez protéger votre ordinateur, votre smartphone, votre tablette, etc. vérifiez que vous pourrez le faire avec un seul abonnement. La plupart des services VPN fonctionnent pour plus d’une connexion ou d’un périphérique, mais rarement plus de cinq.

Le service propose-t-il des logiciels adaptés à vos configurations ? Si vous êtes sous MacOS, notamment, pensez vraiment à valider la chose. Ou alors, choisissez d’utiliser un client OpenVPN disponible sur un maximum de plateformes. Il existe aussi un bon nombre d’outils tiers de connexion OpenVPN sur Windows, Mac, Androïd et iOS

Quels protocoles/méthodes de connexion sont autorisés ? À vérifier en fonction de vos périphériques et de ce qui est plus ou moins sécurisé. Dans tous les cas, oubliez le PPTP qui est une vraie passoire.

L’utilisation via routeur est-elle possible ? Si vous choisissez de protéger votre réseau local complet (quel que soit le périphérique qui s’y connecte, par exemple une X-Box ou une Apple TV), il faut vous assurer que votre routeur le permet… et que le service VPN aussi ! Pour ma part, c’était un prérequis car je souhaitais accéder à internet via un routeur sous Tomato. Pour vous ce n’est peut-être pas le cas.

Combien de points de sortie et de serveurs sont disponibles ? Cela est souvent, mais pas toujours, un indicateur de la performance du service. Plus ces nombres sont grands, plus les chances d’avoir un service rapide sont réelles. Mais cet indicateur ne peut pas, à lui seul, remplacer un bon benchmark !

Autres questions potentielles : quels pays sont couverts ; le service respecte-t-il la neutralité du réseau ; quelles sont les limitations d’usage qualitatives et quantitatives ; etc. ?

Sécurité

Chaque service VPN a ses propres particularités en matière de sécurités. Assurez-vous d’avoir accès aux fonctionnalités dont vous avez besoin :

Quels niveaux de cryptage, quels types ? À quelques exceptions près, il est possible de « moduler » le type et le niveau de cryptage utilisés. Vérifier que ce qui est proposé par le service correspond bien au niveau dont vous avez besoin. Si cela est du chinois pour vous, rapprochez-vous de quelqu’un qui a la compétence, il doit bien y en avoir dans votre entourage.

Y a-t-il une protection contre les fuites DNS et quels sont les DNS utilisés ? L’utilisation (invisible à vos yeux) de services DNS peut laisser pas mal de traces de votre activité sous forme de métadonnées d’activité. Vérifiez que les DNS sont bien internes et que le service protège des fuites DNS ou alors utilisez un système complémentaire de chiffrage DNS, tel que DNSCrypt en vérifiant du coup la compatibilité du service VPN avec de tels systèmes.

Le service propose-t-il un kill-switch ? Un kill-switch permet de bloquer automatiquement vos connexions si le tunnel VPN est défaillant ou si le service VPN ne peut plus fonctionner correctement. Cela permet de ne pas exposer involontairement vos données en cas de défaillance du service

Autres questions potentielles : quels sont les niveaux de sécurités complémentaires proposés ; le service propose-t-il un double ou triple VPN ; existe-t-il des sorties TOR spécifiques ; etc. ?

Tarifs

Bien que les offres tarifaires des services VPN restent sensiblement homogènes (à fonctionnalités équivalentes), n’hésitez pas à les comparer. Les prix s’étalent généralement de 6$ à 20$ par mois, mais il est possible d’obtenir des réductions significatives en payant à l’année. Pensez aussi à vérifier s’il n’existe pas des coupons ou des offres promotionnelles particulières.
Notez que j’ai éliminé toutes les offres gratuites car je ne les trouve pas sérieuses et parce que ce vieil adage me parait fort applicable au monde des VPN…

 

Une fois toutes ces réponses en votre possession, à vous de pondérer les questions : préférez-vous un service ultrarapide, mais situé aux USA ou êtes-vous prêt à sacrifier un peu de vitesse pour souscrire un service dans un pays respectueux de la vie privée ? La mission de l’entreprise a-t-elle plus d’importance à vos yeux que les tarifs qu’elle pratique ? Etc.

Ce sont vos exigences propres qui vous permettront d’établir cette pondération. Vous verrez alors qu’il ressort très nettement du lot moins d’une dizaine de services…

Pour ma part, après cette phase, je n’ai gardé que les trois meilleures et je suis passé à la seconde phase :

Tester les services

On ne le dira jamais assez : toutes les informations que vous avez récoltées concernant la vitesse du service doivent être validées. En effet, même si cette vitesse dépend bien évidemment du service, elle dépend aussi de votre connexion, de votre environnement technique et de votre localisation géographique. Ne prenez donc rien comme argent comptant et vérifiez par vous même !
Certains services proposent une période d’essai, profitez-en. Pour ceux qui n’en proposent pas, prenez un mois d’abonnement.
Pour ma part, j’ai fait le choix de tester en même temps les trois services que j’avais identifiés. J’ai donc pris trois abonnements au même moment, je les ai configurés sur la même machine et je bascule de l’un à l’autre régulièrement pour mon usage réel et pour mesurer la bande passante. Cela permet d’avoir des conditions de test quasi équivalentes et donc… comparables !
Pour tester la bande passante, vous pouvez utiliser des outils classiques en ligne (du genre SpeedTest pour ne citer que celui-là), il n’y a pas de différence de type de mesure entre avec VPN et sans VPN

 

J’espère que cet article vous aura apporté un peu d’aide dans votre quête du service VPN idéal (qui n’existe pas, c’est toujours une affaire de compromis). Dans tous les cas, n’oubliez jamais que l’utilisation d’un service VPN n’est pas suffisante en soi pour se prémunir totalement de l’ensemble des dangers que peuvent rencontrer vos données sur internet. Il s’agit d’une mesure de base permettant de complexifier fortement le travail de ceux qui cherchent à capter ces données, à les stocker et à les exploiter. Plusieurs autres mesures complémentaires peuvent être prises pour accroitre cette difficulté. Elles feront l’objet de futurs articles.

Commentaires

  1. Pierre
    Répondre

    Bon récap, le choix d’un VPN se fait aussi selon les besoins de l’utilisateur, besoin de localisation de l’ip … Quel choix de VPN « no log » avez-vous fait du coup ? De mon côté Ipvanish est vraiment pas mal niveau rapport qualité prix.

    • Pierre Lannoy
      Répondre

      Lorsque j’ai appliqué les critères (cités dans l’article) avec ma « pondération » personnelle, il est ressorti deux fournisseurs : iVPN et NordVPN. Après des tests de bande passante (répartis sur plusieurs périodes de la journée et de la semaine), j’ai finalement retenu iVPN qui, s’il est le plus cher des deux, est de loin le meilleur en terme de débit potentiel.
      En fait, NordVPN présente un gros désavantage pour ceux (comme moi) qui recherchent impérativement un point de sortie en France qui tienne la route : un débit systématiquement inférieur à 4Mb/s sur Paris et Roubaix – une catastrophe. Ce n’est bien-sur pas le seul point de sortie dont j’ai besoin, mais celui là était un impondérable… Ça n’aurait pas été le cas, je pense que j’aurais choisi NordVPN.

      Concernant IPVanish, il est effectivement top en terme de rapport performance/prix… En revanche, c’est une société US soumise au Patriot Act et au DMCA, raison pour laquelle ce service n’avait pas obtenu un bon score dans mon classement.

      Si cela vous intéresse, sachez que je suis en train de réaliser un article « benchmark » assez complet sur iVPN que je le publierai sur ce blog.

  2. Jean-François Mayer
    Répondre

    Ce n’est qu’aujourd’hui que je découvre votre excellente introduction, et je regrette de l’avoir pas découverte plus tôt, car elle aurait bien aidé l’utilisateur sans connaissances techniques que je suis, si je l’avais lue au début de ma recherche d’un fournisseur de VPN. J’y ai passé pas mal de temps, et j’ai publié samedi dernier un article en ligne pour résumer quelques observations et réflexions: http://www.orbis.info/2016/02/internet-vpn/
    Je dois dire avoir aussi été assez séduit par IVPN (avec des « valeurs ajoutées » comme l’option multihop), et je continue encore de le tester, mais j’ai trouvé d’autres offres de VPN qui correspondaient plus strictement à mes critères. Comme je l’écris, cependant, il y a une part de subjectivité, finalement, dans le choix d’un prestataire auquel nous allons faire ou non confiance.

  3. Camille
    Répondre

    Bonjour,
    j’utilise bestukvpn.com uniquement pour surfer sur le web.
    Pensez vous que ce site soit fiable ? (je n’y connais pas grand chose)
    Je vous remercie et vous souhaite une belle journée

    • Pierre Lannoy
      Répondre

      Bonjour Camille.
      Selon mes critères (qui me sont propres, donc), ce service n’est pas un VPN digne de ce nom. Je retiens les deux premiers arguments qui m’ont sauté aux yeux quand j’ai été faire un tour sur leur site :
      – utilisation du seul protocole PPTP (qui est une vraie passoire et connu pour être largement exploité par des agences comme la NSA)
      – ce service n’est pas No-Log (voir dans leur pied de page)
      En utilisant la grille de critères présentée dans cet article vous verrez que le service dont vous parlez n’a de VPN que le nom. Il ne vous protège de rien… Désolé…

      • Camille
        Répondre

        Merci beaucoup Pierre pour votre réponse rapide.
        Je me suis connectée plusieurs fois à mon compte bancaire, hotmail Facebook… avec ce Vpn.
        Pensez vous qu’il faille que je change mes mots de passe?
        Passez une bonne soirée

        • Pierre Lannoy
          Répondre

          Si vous vous connectez sur à ces services via https cela rend la chose un peu moins scabreuse, mais dans tous les cas ne vous considérez jamais en sécurité avec un tel service…
          Notez aussi que ce service est gratuit, demandez-vous quel est leur modèle économique…

          • Camille

            Je me suis connectée via https en effet.
            Quelle galère !! Mais que font les vpn avec nos infos ? ils les revendent et nous collent de la publicité à gogo?
            Je me demande bien ce qu’ils font de notre adresse ip et s’ils peuvent avoir accès à nos mots de passe et recherche google…..
            Merci Pierre, bonne journée à vous.
            Camille (la fille qui n’a apparemment rien compris à la sécurité sur internet^^)

  4. Diki
    Répondre

    Bonjour à toutes et à tous,
    Félicitations pour ce superbe article. Je vous invite dès la semaine prochaine ( à compter de mardi 19 avril 2016) à lire mon dernier article traitant du « Client VPN / Serveur VPN ». Je l’ai intitulé: Installation gratuite « VPN GATE »: tests « Steganos Online Shield VPN » vs « NordVPN »

    Site web: http://www.leblogduhacker.fr

    Malgré le contenu « comparatif » mais non anxiogène du sujet traité, j’aborde notamment la notion de « Client VPN / Serveur VPN », l’anonymat sur internet, la protection de la vie privée… Le débat sera ouvert et convivial.

    Le volet de la protection de la vie numérique d’un internaute est un sujet sensible au même titre que certaines informations marketing en provenance d’éditeurs de solution VPN, affirmant une politique de « no log » (non rétention de logs). Je vous livre un exemple de notion ambiguë que j’aborde en toute objectivité, en confrontant « l’anonymat du navigateur » et la « suppression des cookies ». Le premier réflexe d’un utilisateur (internaute) est de faire confiance à son logiciel de suppression de cookies. Nous savons tous, où du moins les mieux informés en la matière, que l’anonymat d’un navigation internet reste malgré tout fragilisée et relatif au comportement de l’internaute à un moment donné ‘T’. En réalité l’idée de croire que l’on peut être totalement protégé et anonyme sur internet est illusoire, dans la mesure où un individu se sent hors d’atteinte d’une « machine » et invisible aux yeux du monde entier…

    Aujourd’hui, ceux sont les « machines » qui surveillent le travail d’autres « machines ». Croire que des personnes sont derrière leur PC pour traquer et surveiller des internautes est irréaliste… Croire que des « machines » sont capable de pister et remonter jusqu’à une autre « machine » sur internet est plus que probable de nos jours…

    Cordialement,
    Diki

  5. thomas
    Répondre

    Bonjour, je suis novice en matière de VPN et j’ai choisi PureVPN.
    J’aimerais connaître votre sentiment vis à vis de ce vpn.
    Cordialement

    • Pierre Lannoy
      Répondre

      Bonjour Thomas.
      Je ne connais pas ce service plus que cela. Au regard de la grille d’analyse présentée dans cet article, comment se positionne t’il ? Je n’ai rien vu notamment au niveau de la politique de log (après un très rapide tour sur leur site). Savez-vous ce qu’il en est ?

      • thomas
        Répondre

        Merci pour votre réponse rapide, voici quelques infos complémentaires:
        PureVPN est une société basée à Hong Kong, elle est née en 2007. Maintenant elle compte plus d’1 million d’utilisateurs, plus de 500 serveurs dans 141 pays. Purevpn dit avoir une politique NO LOG, sans enregistrement de l’activité faite par ses clients.

Faire un commentaire