Blog GlobalSign

30 nov. 2018

Huit stratégies utilisées par les fournisseurs de VPN gratuits pour faire de l’argent sur votre dos

(Spoiler : vos données ne sont pas si privées après tout)

Vous vouliez protéger votre vie privée en ligne et vous êtes donc procuré un VPN gratuit. Lorsque vous l’avez allumé et avez commencé à naviguer sur le Web, vous avez ressenti une poussée d’adrénaline.

Vos données personnelles n’étaient plus à la merci de votre FAI ou de vos serveurs DNS. Vous pensiez ne plus être suivi à la trace et échapper aux publicités ciblées. Vous pensiez être totalement à l’abri.

Eh bien, vous aviez tort !

« Rien n’est vraiment gratuit ». Le dicton s’applique tout particulièrement aux VPN gratuits. Certes, vous ne réglez sans doute rien directement, mais le service se paie au prix fort : avec vos données personnelles.

Comment est-ce possible ? Pour le savoir, lisez la suite et découvrez comment les VPN gratuits font de l’argent sur votre dos !

1. Insertion de cookies, de balises Web et de pixels invisibles

Généralement, tout le monde aime les cookies, surtout avec du lait… mais pas les cookies de navigation. Ces petits paquets de données peuvent suivre à la trace votre historique de navigation entièrement à votre insu.

Les balises Web ressemblent aux cookies de navigation en ce sens qu’elles peuvent aussi vous pister sur Internet à l’aide d’un fichier image en clair.

Les pixels de suivi sont des graphiques de 1x1 qui se chargent chaque fois que vous consultez un site Web ou un e-mail. Ils sont utilisés pour suivre certaines activités.

Le point commun entre les trois ? Tous pistent, d’une manière ou d’une autre, vos habitudes en ligne.

En permettant aux annonceurs d’insérer ces petits traceurs qui recueillent des informations sur votre historique de navigation, les VPN gratuits gagnent de l’argent sur votre dos.

2. Affichage de publicités

Pour se rémunérer, les VPN gratuits ne se contentent pas d’autoriser les annonceurs à accéder à vos données. Ils complètent leurs revenus en permettant à leurs partenaires ou commanditaires d’afficher de la publicité lorsque leur service est utilisé.

Si la plupart des publicités ne sont pas envahissantes au point de réellement vous importuner — elles n’en rendent pas moins l’expérience moins agréable, voire désagréable, pour les utilisateurs. Ceux-ci doivent en effet faire défiler la page deux à trois fois plus bas pour pouvoir contourner l’avalanche de messages publicitaires.

Mais le comble, c’est de devoir attendre de longues secondes, voire une minute, jusqu’à la disparition de fenêtres pop-up réellement intrusives?!

3. Transmission de votre adresse e-mail à leurs partenaires

Certains VPN gratuits transmettent votre e-mail à leurs partenaires ou à des tiers. Cela pose problème, car on ignore à quelles fins votre adresse pourrait être utilisée.

Rançongicielhameçonnagele cryptojacking, courriels non sollicités… la liste des cybermenaces qui se servent des e-mails comme vecteur d’attaque n’est pas exhaustive. C’est pourquoi vous ne devez permettre à personne d’utiliser votre adresse de messagerie sans précautions — pas même votre service VPN gratuit.

4. Utilisation de votre ordinateur comme « nœud de sortie » pour les utilisateurs payants

La plupart des services gratuits de VPN proposent également un abonnement payant. En général, lorsqu’ils proposent un service VPN gratuit, ils cherchent à vous donner un « avant-goût » de leur offre payante. Autrement dit, ils se rémunèrent avec leur abonnement payant et non avec leur service gratuit.

Le problème se pose lorsqu’une entreprise propose un service VPN gratuit de manière complètement dissociée de son offre payante. Il faut alors savoir qu’elle vend l’accès à votre réseau et à votre ordinateur pour en faire un nœud de sortie que les autres utilisateurs (payants) peuvent utiliser pour accéder à Internet.

Si cette contrepartie à l’utilisation de services VPN gratuits peut, a priori, sembler séduisante, n’oubliez pas qu’en étant un nœud de sortie, vous devenez le point de passage obligé pour tout le trafic des autres utilisateurs, y compris le trafic illégal. Au-delà des nombreux ennuis que cela pourrait vous attirer, c’est à vos risques et périls que vous le faites (qui plus est gratuitement) TANDIS que votre fournisseur de services VPN se rémunère grâce à ses abonnés payants qui vous utilisent comme nœud de sortie.

5. Revente à des partenaires ou tiers d’autres informations recueillies sur vous

Si le VPN gratuit que vous utilisez ne permet pas à ses partenaires ou à des tiers de vous suivre à la trace, c’est peut-être parce que votre fournisseur de VPN gratuit se charge lui-même de vous pister pour ensuite revendre les données collectées.

Si certaines entreprises l’admettent, vous l’ignorez peut-être encore. L’information se trouve sans doute cachée quelque part dans leur politique de confidentialité — dont la formulation juridique vise, la plupart du temps, à vous empêcher de bien comprendre dans quoi vous vous embarquez.

6. Bridage délibéré

Vous vous souvenez des VPN gratuits qui proposent aussi des services payants (n4) ? Les fournisseurs les plus honnêtes annoncent d’entrée de jeu la couleur en avouant proposer des services gratuits limités, espérant vous voir opter par la suite pour une formule payante (qui offre, quoi qu’il en soit, de meilleurs services).

En face, il y a ceux qui ne jouent pas franc jeu. Ils limitent vos données et la bande passante, et désactivent même les connexions peer-to-peer (torrents inclus) pour vous inciter à passer au service premium.

7. Utilisation de vos données à des fins de marketing et de publicité

Certains VPN gratuits indiquent d’emblée qu’ils sont susceptibles d’utiliser (lire « qu’ils utiliseront ») vos données à des fins de marketing. Méfiance : cela signifie qu’ils enregistrent vos données et les utilisent pour déterminer la meilleure façon de vous vendre de la publicité.

En quoi est-ce différent des points 1, 2 et 3 ? La différence est une question de juridiction — notamment avec l’alliance des « 14 Yeux ». Toute société de services VPN située dans l’un des pays de l’alliance des 14 yeux peut se voir obligée par son gouvernement ou les autorités compétentes de conserver et de remettre toutes les données susceptibles d’entrer en leur possession — y compris les données à caractère personnel qu’ils ont enregistrées sur vous.

8. Communication des données utilisateur avec les partenaires marketing

Le plus dangereux qu’une société de services VPN gratuits puisse faire est de partager ouvertement les données de ses utilisateurs à ses partenaires marketing. Contrairement au point précédent, la société de VPN gratuit et son partenaire marketing forment ici une seule et même entité en ce qui concerne vos données personnelles.

Ce sont les plus redoutables, car ils vous traitent vous et vos données comme une « vache à lait ». Pour ces entreprises, votre vie privée, votre intérêt et votre sécurité passent après leurs activités lucratives.

En conclusion

Je ne recommande pas l’utilisation de VPN gratuits. Hormis le fait qu’ils vendent, donnent ou partagent vos informations, ils permettent aussi à des tiers de suivre votre trafic Internet et d’afficher des publicités, et ils vous manipulent en bridant délibérément leurs services. Au bout du compte, la protection de votre vie privée n’est pas aussi sûre que vous le pensiez.

Si votre VPN gratuit ne protège pas votre vie privée, quel intérêt présente-t-il ?

Pour plus de renseignements sur les pratiques douteuses des fournisseurs de VPN, je vous invite à lire mon billet original : TheBestVPN : How Free VPNs Sell Your Data.

À propos de l’auteur

John Mason est un analyste en cybersécurité/journaliste basé en Estonie et titulaire d’un Master en sciences de l’université de Northumbria. À ses heures perdues, il donne des conférences (payantes et gratuites) et écrit sur les questions l’actualité, la politique et les technologies relatives au respect de la vie privée. Son travail est paru sur Tripwire, Digital Guardian, Glassdoor, StaySafeOnline, etc. Vous pouvez consulter son site Web ici : JohnCyberMason.com

Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.

Partager ce blog

RGPD : quels impacts pour les fournisseurs de VPN (et les utilisateurs) ?

Top 10 des réseaux VPN prenant votre vie privée & sécurité au sérieux