Selon une étude portant sur le fonctionnement de 144 VPN, il ressort que plus de 70 % d'entre eux ne respectent pas la vie privée de leurs utilisateurs. Les comportements observés sont contraires au RGPD.

Le respect de la vie privée sur Internet est une question de plus en plus centrale. En Europe notamment, les nombreuses régulations visant à protéger les données personnelles des utilisateurs se multiplient. Pour celles et ceux qui ne souhaitent pas attendre, ou qui veulent aller plus loin, il existe plusieurs outils. Le plus connu d'entre eux est probablement le VPN, acronyme de Virtual Private Network.

Pour faire simple, c'est un logiciel qui va faire transiter votre trafic Internet par un serveur distant sécurisé avant de le rediriger vers sa destination. En passant par ce “tunnel” intermédiaire, votre connexion est chiffrée et donc illisible par quelqu'un qui voudrait vous espionner. Le système n'est pas infaillible à 100 % et peut être détourné pour diffuser des malwares, mais cela reste rare. Une étude de PrivacyTutor sur 144 VPN vient pourtant ternir le tableau. Il en ressort que plus de 70 % des VPN ne protègent pas réellement la vie privée de leurs clients.

Plus de 2 VPN sur 3 ne respectent pas la vie privée de leurs utilisateurs

En général, vous êtes constamment pistés sur Internet via des “trackers”. Cela prend le plus souvent la forme de cookies, ces petits programmes souvent publicitaires dont Google veut se débarrasser avec son projet FLoC. Vous avez d'ailleurs l'habitude de voir sur les sites Web un message vous demandant si vous les acceptez. Sur les VPN étudiés, les chercheurs ont trouvé que 72 % d'entre eux placent des cookies sans vous avertir et sans vous donner la possibilité de les refuser. Sur les versions Android, 79 % utilisent des trackers. Au final, seuls 12 VPN sur les 144 n'en présentent aucun. Pour des logiciels se vantant de vous éviter le pistage, c'est très peu.

Le nombre de trackers repérés sur les applications VPN Android est également assez alarmant. En moyenne, elles en contiennent chacune 3,4. Le record est de 17 pour iTop VPN. L'étude ne s'est en revanche pas penchée sur les versions iOS des services.

Une autre particularité mise en avant par les VPN est l'absence de suivi des utilisateurs, ou “log”. Autrement dit : le logiciel n'enregistre pas ce que vous faites pendant que vous l'utilisez. Pour le prouver, les sociétés peuvent faire appel à des entreprises d'audit indépendantes. Seulement voilà : sur 80 % des VPN affirmant ne pas enregistrer de “log”, 17 % seulement l'ont fait vérifier par une entité externe. Pire : certains autorisent des services tiers à conserver vos données tout en rappelant ne pas le faire eux-mêmes.

Dans ce dernier cas, il faut lire attentivement les conditions d'utilisation du VPN, qui le mentionne. Parmi les informations récoltées, on peut retrouver l'adresse IP, la localisation, le navigateur Web, le nom du fournisseur d'accès Internet, les sites visités, la date et l'heure des visites, etc. Là encore, cela va totalement à l'encontre de l'intérêt d'un VPN, censé empêcher l'enregistrement de données de ce genre. Ceux qui jouent le jeu le font en revanche avec sérieux puisqu'ils font régulièrement examiner leur fonctionnement, jusqu'à 11 fois en 2022 pour l'un d'entre eux.

Cookies, enregistrements des sessions, anonymat… Les VPN ne protègent pas tous la vie privée

Reste enfin la question du paiement sur Internet. La plupart des VPN affirment sécuriser au maximum la manœuvre en le rendant anonyme via l'utilisation de crypto-monnaies. 56 % des 144 sélectionnés pour l'étude le permettent. Sauf que pour la majorité d'entre eux, ce n'est possible qu'en passant par une entreprise intermédiaire qui gère la transaction. À partir de là, il est impossible de garantir l'anonymat de la procédure.

Il est important de noter que la plupart comportements problématiques observés, surtout sur les cookies, est une violation du Règlement Général sur la Protection des Données (RGPD). Ne pas le respecter est très loin d'être sans conséquence. Même les plus grands noms de la Tech doivent s'y plier, sous peine d'être lourdement sanctionnés. Meta a ainsi écopé d'une amende de 1,2 milliards d'euros pour ne pas avoir répondu à temps aux exigences de l'Union Européenne. Il n'y a eu pour l'instant aucune réaction de la part des VPN suite à la publication de l'étude, aussi il est difficile de savoir si elle aura des répercussions dans l'immédiat.