Catégories
Technologies & Systèmes d'Information Vie Numérique

Comment choisir son service VPN ?

Il y a encore quelque temps j’utilisais simplement les infrastructures de Medialisme pour « anonymiser » et chiffrer le contenu de mon activité internet (et celle de ma petite famille). Le système assez technique à mettre en place, et dont je vous épargnerais les détails, était simple d’utilisation et relativement robuste et sécurisé. Mais depuis la fermeture de Voile-RC (et donc de Medialisme) en mai et les gentilles lois que nous ont votées nos élus, je me sentais un peu tout nu dès que j’allumais un ordinateur et cela n’était pas vraiment bon pour les bonnes résolutions que je comptais prendre dans ma nouvelle vie numérique. Comme il m’était impossible de reproduire, juste pour mon usage, le système que j’avais mis en place pour Medialisme — notamment pour des raisons de couts — j’ai décidé de me mettre en chasse d’un bon service VPN… Et je dois avouer que ça n’a pas été simple : une offre un peu obscure, pas facilement comparable et parfois relativement technique, beaucoup de beaux arguments marketing mis en avant pour cacher des choses plus ou moins avouables… J’ai donc passé quelques semaines à défricher le sujet et je me propose de le partager avec vous.

Je ne vais pas vous expliquer ici en quoi utiliser un VPN pour chiffrer vos communications est important — cela fera sans doute l’objet d’un article futur. Si vous lisez cet article, c’est que vous savez déjà pourquoi votre privée est importante pour vous, vos proches et moins proches et que vous cherchez à vous y retrouver dans la multitude des offres VPN pour choisir un prestataire en toute connaissance de cause…

[c5ab_divider c5_helper_title= » » margin_top= »0″ margin_bottom= »0″ ]

 

Avant d’aller plus loin, passons quelques lignes à rappeler ce qu’est un VPN et en quoi son utilisation permet de mieux protéger notre vie privée.

Lorsque nous surfons sur le web, relevons nos emails, accédons à des services en ligne via des applications, mobiles ou non, notre ordinateur ou smartphone échange des informations avec un ou des serveurs distants. Si ces informations ne sont pas chiffrées, elles sont accessibles « en clair » à n’importe qui ou n’importe quoi se trouvant sur le trajet (par exemple les fameuses boites noires — introduites par la loi 2015-912 du 24 juillet — déposées chez notre fournisseur d’accès à internet). Et ces données ainsi directement accessibles peuvent nous être associées puisque notre ordinateur a — à l’insu de son plein gré — indiqué qui il était en fournissant son adresse IP.

Vous l’avez compris le défaut de confidentialité de ce que nous faisons sur internet est majoritairement lié à deux éléments : l’absence de chiffrage des données (avec qui nous communiquons, le contenu de nos emails, quels sites web nous visitons, etc.) et la fourniture par notre ordinateur de son « identification » sur le réseau (son adresse IP).

Un serveur VPN est un serveur distant auquel notre ordinateur ou mobile va se connecter de façon chiffrée et qui va recevoir et rediriger tout le trafic internet en provenance et à destination de notre ordinateur. Ce flux étant chiffré, il ne sera pas exploitable directement (y compris par notre fournisseur d’accès à internet) et qui plus est les services auxquels nous accèderons ne verront pas notre adresse IP mais celle du serveur VPN auquel nous sommes connectés.

L’utilisation d’un serveur VPN permet ainsi de résoudre tout ou partie des problèmes évoqués plus haut. Qui plus est, son utilisation permet de passer outre les limitations géographiques que nous imposent certains services (par exemple de streaming vidéo) : la localisation se fait maintenant à partir de l’adresse IP du serveur VPN, et il suffit donc d’utiliser un serveur VPN situé, par exemple, en Norvège pour faire croire au service accédé que notre ordinateur se situe physiquement en Norvège. Elle apporte aussi quelques autres avantages de moindre importance.

[c5ab_divider c5_helper_title= » » margin_top= »0″ margin_bottom= »0″ ]

 

Ceci étant posé, comment choisir ce service VPN ? Sur quels critères se baser pour comparer les offres ? Voici les axes de comparaison — et de sélection — que j’ai utilisés. Ils ne sont peut-être pas les seuls que vous voudrez utiliser, mais cela vous donnera toujours une liste de départ :

L’entreprise

En souscrivant un contrat de service VPN vous allez, de fait, accorder une certaine confiance à l’entreprise qui va vous fournir ce service. Même si cette confiance doit rester toute relative, il est important d’essayer de comprendre quelle est cette entreprise. Les points les plus importants à investiguer sont :

Où est-elle établie ? Cela vous permettra de savoir de quelle juridiction dépend cette entreprise… et par voie de conséquence quelles lois nationales l’impactent. Cela a une influence sur le risque que vous faites courir — ou non — aux données qu’elle stocke sur vous (notamment les données de connexion et de paiements) et à quelles demandes judiciaires elle peut répondre. Par exemple, une société basée au Panama ou en Islande n’aura pas à répondre à des demandes de type DMCA ou certaines formes de requêtes judiciaires alors qu’une société établie aux USA y donnera, quant à elle, une suite systématiquement favorable.

Depuis combien de temps existe-t-elle ? Plus une société existe depuis longtemps plus il y a des chances que son modèle économique tienne la route et que le service soit à la hauteur des tarifs qu’elle propose. Cela peut aussi avoir une influence sur sa « solidité » technique (notamment la diversité et le nombre de points de sortie) et qui plus est, vous aurez plus de chance de trouver sur le web des avis argumentés sur sa qualité.

Quelle est la mission de cette entreprise ? Comment se présente-t-elle ? Cela a-t-il l’air sincère ? N’oubliez pas que ce que vous trouverez sur son site institutionnel correspond à la façon dont elle veut être perçue. Vérifiez donc impérativement auprès de vos connaissances et sur le web ce qu’en disent les utilisateurs et s’il n’existe pas des « révélations » sur son activité. Et recoupez toujours ces informations pour ne pas vous laisser désinformer par des concurrents. Par exemple, ce que vous trouverez concernant le service VyprVPN devrait suffire à vous alerter…

Autres questions potentielles : qui gère et à qui appartiennent les datacenters et les serveurs exploités par le service ; quelles sont les procédures de réponse (et d’alerte de l’utilisateur) dans le cas de la réception d’une requête judiciaire ; etc. ?

Vos données

Aussi incroyable que cela puisse paraitre au regard des raisons d’être d’une entreprise offrant un service VPN, cette société a toujours plus ou moins besoin de stocker des informations vous concernant. Voire de les partager avec d’autres entreprises. Posez-vous donc les questions suivantes :

Vos données de connexion et d’activité sont-elles stockées ? Certaines de ces sociétés ont une tactique No-Log : elles n’enregistrent rien concernant votre activité et vos connexions à leurs services. D’autres, non ! Pour ma part, j’ai décidé d’éliminer systématiquement celles qui ne sont pas No-Log.

Peut-on payer anonymement ? Certains services sont payables en bitcoins ou carte prépayées que l’on peut acheter en grande surface avec des espèces. Si c’est le cas, c’est plutôt un bon signe… et une bonne option à utiliser.

Quelles autres données peuvent être stockées, et peuvent-elles être partagées avec des tiers ? Se poser cette question peut paraitre saugrenu tant elle parait antinomique avec la finalité d’un service VPN. Néanmoins, il s’agit d’un impondérable pour les sociétés offrant du support, des newsletters,… Vérifiez surtout la façon dont les données peuvent être associées entre elles (certaines sociétés proposent un service de support qui n’est lié d’aucune façon au compte utilisateur, par exemple) et avec quels prestataires tiers cela peut être partagé.

Autres questions potentielles : quels outils sont utilisés pour la supervision ; quels DNS sont utilisés (internes ou externes) ; etc. ?

Utilisation

Cette fois-ci, il s’agit de vérifier l’adéquation du service qui est proposé avec vos usages :

Combien de connexions ou périphériques simultanés sont-ils autorisés ? Si vous souhaitez protéger votre ordinateur, votre smartphone, votre tablette, etc. vérifiez que vous pourrez le faire avec un seul abonnement. La plupart des services VPN fonctionnent pour plus d’une connexion ou d’un périphérique, mais rarement plus de cinq.

Le service propose-t-il des logiciels adaptés à vos configurations ? Si vous êtes sous MacOS, notamment, pensez vraiment à valider la chose. Ou alors, choisissez d’utiliser un client OpenVPN disponible sur un maximum de plateformes. Il existe aussi un bon nombre d’outils tiers de connexion OpenVPN sur Windows, Mac, Androïd et iOS

Quels protocoles/méthodes de connexion sont autorisés ? À vérifier en fonction de vos périphériques et de ce qui est plus ou moins sécurisé. Dans tous les cas, oubliez le PPTP qui est une vraie passoire.

L’utilisation via routeur est-elle possible ? Si vous choisissez de protéger votre réseau local complet (quel que soit le périphérique qui s’y connecte, par exemple une X-Box ou une Apple TV), il faut vous assurer que votre routeur le permet… et que le service VPN aussi ! Pour ma part, c’était un prérequis car je souhaitais accéder à internet via un routeur sous Tomato. Pour vous ce n’est peut-être pas le cas.

Combien de points de sortie et de serveurs sont disponibles ? Cela est souvent, mais pas toujours, un indicateur de la performance du service. Plus ces nombres sont grands, plus les chances d’avoir un service rapide sont réelles. Mais cet indicateur ne peut pas, à lui seul, remplacer un bon benchmark !

Autres questions potentielles : quels pays sont couverts ; le service respecte-t-il la neutralité du réseau ; quelles sont les limitations d’usage qualitatives et quantitatives ; etc. ?

Sécurité

Chaque service VPN a ses propres particularités en matière de sécurités. Assurez-vous d’avoir accès aux fonctionnalités dont vous avez besoin :

Quels niveaux de cryptage, quels types ? À quelques exceptions près, il est possible de « moduler » le type et le niveau de cryptage utilisés. Vérifier que ce qui est proposé par le service correspond bien au niveau dont vous avez besoin. Si cela est du chinois pour vous, rapprochez-vous de quelqu’un qui a la compétence, il doit bien y en avoir dans votre entourage.

Y a-t-il une protection contre les fuites DNS et quels sont les DNS utilisés ? L’utilisation (invisible à vos yeux) de services DNS peut laisser pas mal de traces de votre activité sous forme de métadonnées d’activité. Vérifiez que les DNS sont bien internes et que le service protège des fuites DNS ou alors utilisez un système complémentaire de chiffrage DNS, tel que DNSCrypt en vérifiant du coup la compatibilité du service VPN avec de tels systèmes.

Le service propose-t-il un kill-switch ? Un kill-switch permet de bloquer automatiquement vos connexions si le tunnel VPN est défaillant ou si le service VPN ne peut plus fonctionner correctement. Cela permet de ne pas exposer involontairement vos données en cas de défaillance du service

Autres questions potentielles : quels sont les niveaux de sécurités complémentaires proposés ; le service propose-t-il un double ou triple VPN ; existe-t-il des sorties TOR spécifiques ; etc. ?

Tarifs

Bien que les offres tarifaires des services VPN restent sensiblement homogènes (à fonctionnalités équivalentes), n’hésitez pas à les comparer. Les prix s’étalent généralement de 6$ à 20$ par mois, mais il est possible d’obtenir des réductions significatives en payant à l’année. Pensez aussi à vérifier s’il n’existe pas des coupons ou des offres promotionnelles particulières.
Notez que j’ai éliminé toutes les offres gratuites car je ne les trouve pas sérieuses et parce que ce vieil adage me parait fort applicable au monde des VPN…

[c5ab_divider c5_helper_title= » » margin_top= »0″ margin_bottom= »0″ ]

 

Une fois toutes ces réponses en votre possession, à vous de pondérer les questions : préférez-vous un service ultrarapide, mais situé aux USA ou êtes-vous prêt à sacrifier un peu de vitesse pour souscrire un service dans un pays respectueux de la vie privée ? La mission de l’entreprise a-t-elle plus d’importance à vos yeux que les tarifs qu’elle pratique ? Etc.

Ce sont vos exigences propres qui vous permettront d’établir cette pondération. Vous verrez alors qu’il ressort très nettement du lot moins d’une dizaine de services…

Pour ma part, après cette phase, je n’ai gardé que les trois meilleures et je suis passé à la seconde phase :

Tester les services

On ne le dira jamais assez : toutes les informations que vous avez récoltées concernant la vitesse du service doivent être validées. En effet, même si cette vitesse dépend bien évidemment du service, elle dépend aussi de votre connexion, de votre environnement technique et de votre localisation géographique. Ne prenez donc rien comme argent comptant et vérifiez par vous même !
Certains services proposent une période d’essai, profitez-en. Pour ceux qui n’en proposent pas, prenez un mois d’abonnement.
Pour ma part, j’ai fait le choix de tester en même temps les trois services que j’avais identifiés. J’ai donc pris trois abonnements au même moment, je les ai configurés sur la même machine et je bascule de l’un à l’autre régulièrement pour mon usage réel et pour mesurer la bande passante. Cela permet d’avoir des conditions de test quasi équivalentes et donc… comparables !
Pour tester la bande passante, vous pouvez utiliser des outils classiques en ligne (du genre SpeedTest pour ne citer que celui-là), il n’y a pas de différence de type de mesure entre avec VPN et sans VPN

[c5ab_divider c5_helper_title= » » margin_top= »0″ margin_bottom= »0″ ]

 

J’espère que cet article vous aura apporté un peu d’aide dans votre quête du service VPN idéal (qui n’existe pas, c’est toujours une affaire de compromis). Dans tous les cas, n’oubliez jamais que l’utilisation d’un service VPN n’est pas suffisante en soi pour se prémunir totalement de l’ensemble des dangers que peuvent rencontrer vos données sur internet. Il s’agit d’une mesure de base permettant de complexifier fortement le travail de ceux qui cherchent à capter ces données, à les stocker et à les exploiter. Plusieurs autres mesures complémentaires peuvent être prises pour accroitre cette difficulté. Elles feront l’objet de futurs articles.