De nos jours, les fournisseurs dits de VPN sont légions. Vous connaissez sans doute les plus classiques, NordVPN, ExpressVPN ou Surfshark. Néanmoins, en une simple recherche sur le store Google Play ou l’App Store d’Apple, vous pouvez en découvrir des centaines d’autres moins connus. Certains seront gratuits, d’autres non, qu’importe.

Nous avons mené notre enquête pour savoir si ces VPNs sont bons, s’ils souffrent de la concurrence des plus célèbres ou si, en effet, ils ne sont vraiment pas aptes à rejoindre le haut de notre classement.

Avertissement : Nous souhaitons rappeler ici que l’objectif de cet article est d’aider nos lecteurs à bien choisir leur fournisseur VPN et de leur faire prendre conscience de certains risques. Nous luttons pour un Internet sécurité, privé et fiable à travers des informations justes, transparents et pertinentes.

Comment avons-nous procédé ?

Pour cette enquête, nous avons choisi au hasard un service VPN peu connu. Pour ce faire, rien de plus simple que de taper « VPN inconnu » sur Google. C’est ainsi que nous avons découvert l’existence du fournisseur VPN dont nous tairons le nom par principe, mais qui est un exemple parfait pour cet article.

Ce VPN prétend un anonymat complet, sans aucun log, pour un prix particulièrement coûteux comparé à d’autres fournisseurs plus connus.

En regardant plus en détail, nous avons trouvé l’open source de leur client sur GitHub, ce qui nous a permis d’en savoir plus… et il s’avère que ce fournisseur n’est pas aussi sécurisé qui le sous-entend.

HTTP au lieu des requêtes HTTPS

En testant ce produit, une première chose nous a semblé étrange. Le VPN utilisait le protocole HTTP plutôt que HTTPS – dans toutes ses requêtes API.

Pour les plus novices d’entre vous, il faut savoir que le sigle HTTP correspond à un protocole d’application utilisé pour les systèmes d’information distribués (les pages Web, par exemple). Lorsque ce sigle s’habille d’un « S » pour devenir HTTPS, cela signifie qu’il est doté d’une couche de sécurité supplémentaire (nommée le certificat SSL) – protégeant nos systèmes.

Ce cryptage de sécurité est aujourd’hui utilisé par quasiment tous les magasins en ligne. Si jamais, ces e-boutiques ne l’utilisent pas, il vaut mieux éviter de passer une commande dessus.

Alors, imaginez bien, si un fournisseur de VPN ne se dote pas de cette fonctionnalité alors qu’il est censé vous protéger, c’est déjà mal parti.

Pourquoi est-ce si dangereux ?

SSL est l’acronyme de Secure Socket Layer, une technologie standard permettant de garder une connexion Internet sécurisée et protéger toutes les données sensibles envoyées entre deux systèmes (une boutique en ligne et votre navigateur).

Ce certificat empêche donc les criminels de lire et/ou de modifier les informations transférées, y compris les données personnelles.

Dès lors, l’absence d’une fonction de cryptage SSL permet à quiconque de voir les détails que vous envoyez via les requêtes API. Même si le service que nous avons testé met en place d’autres outils pour « garantir » votre confidentialité, vos informations d’identification pourront toujours être dérobées.

Des requêtes GET au lieu de POST

Après avoir découvert l’absence de la certification HTTPS, nous étions prêts à tout. Mais quelle surprise lorsque nous avons découvert que le VPN en question utilisait des requêtes GET, au lieu des requêtes POST.

Bien que ce paragraphe puisse sembler un peu technique, sachez que cette erreur est récurrente chez les VPNs débutants. Oui, récurrente mais impardonnable, et nous souhaitons vous expliquer pourquoi.

Pourquoi est-ce un problème ?

Lors d’une connexion avec un service ou un logiciel, il existe deux types de requêtes pour transférer des données de l’utilisateur vers le serveur. Ce sont les requêtes GET et POST.

Dans le cas d’un fournisseur de VPN, l’utilisation de la requête GET pour envoyer des données sensibles est très dangereuse. En effet, la raison principale est que les fichiers qui enregistrent les évènements qui se produisent lors de l’exécution d’un logiciel (les fichiers logs) contiendront – via ce type de requête GET – tous les identifiants et mots de passe de l’utilisateur.

Avec une requête dite de type POST, ces données ne sont jamais enregistrées dans les logs.

Le principal inconvénient de la méthode GET est l’absence de protection des données lorsqu’elles sont enregistrées. Le client va non seulement envoyer son mot de passe et son identifiant au serveur mais aussi l’ID unique de son matériel.

A cela, ajoutez une connexion HTTP non sécurisée, multipliez cette situation par le fait que le VPN n’enregistre aucuns logs et vous aurez compris le problème.

Si jamais, vous ne voyez toujours pas, cela signifie que ce VPN ne vous protège pas ou très peu… et qu’il est temps de fuir très loin !

Assistance Client

Dans une volonté d’aller plus loin, nous avons décidé d’écrire aux personnes derrière ce VPN. Nous leur avons fait part de nos recommandations et de nos doutes à l’égard de leur outil – une manière pour nous de tirer tout le monde vers le haut…

Quelle surprise cependant, lorsqu’ils nous ont répondu…

En effet, les personnes derrière ce VPN n’ont pas vraiment apprécié nos informations, remettant même en question notre dévoué équipe de cyber sécurité. On vous préservera de leurs surprenantes réponses, mais elles sont révélatrices de beaucoup de choses.

Pourquoi ça nous laisse perplexe ?

Si une entreprise fait des propositions audacieuses sans pouvoir respecter ou accepter la critique justifiée de ses pairs, cela en dit long sur la fiabilité possible de leur service.

Soit la compagnie propose un outil qui n’est pas à la hauteur de ce qu’ils annoncent ; soit elle ne sait pas vraiment ce qu’elle fait. Nous ne savons pas ce qui est le pire en tout cas – et on n’arrive toujours pas à vous le dire.

Avec un prix aussi élevé par rapport aux meilleurs VPNs, nous sommes navrés, mais c’est difficile à accepter. Et pourtant, on vous l’a dit : on est plutôt sympathiques !

Que s’est-il passé ensuite ?

Après notre entretien avec l’équipe du VPN, nous avons remarqué qu’ils avaient partiellement résolu les problèmes mentionnés.

• Ils ont ajouté le certificat SSL à leur protocole de connexion – pour la sécurité de tous, c’est une bonne chose !
• D’autre part, ils ont rectifié (là aussi, en partie) le problème d’empreinte digitale de l’utilisateur en proposant l’utilisation d’un ID aléatoire qui n’est plus utilisé ensuite.

Cependant, ils utilisent encore les requêtes GET pour se connecter. Cela signifie que leur affirmation de non-journalisation (no logs) n’est pas pertinente.

Conclusion

Pour finir en toute sécurité, un seul conseil à retenir : si jamais l’envie te prend d’utiliser un VPN obscur quasi inconnu, tourne sept fois ta souris dans un sens et passe à autre chose. D’accord ?