La réponse courte est non. La réponse longue est … : toujours non ! Alors, pourquoi les vendeurs de ces Réseaux Privés Virtuels nous promettent-ils l’inverse ? Et comment expliquer à votre oncle que non, ce n’est pas son identité qu’il « cache » en utilisant un VPN ?
Un VPN protège la vie privée
Soyons clairs : un VPN permet une meilleure protection de la vie privée de l’individu. C’est bien, mais ça ne garantit pas son anonymat !
Habituellement, un utilisateur d’internet qui cherche à se connecter à un site va passer par un navigateur, sur lequel il va taper des mots clefs, cliquer sur des liens ou indiquer dans la barre de recherche une adresse de site qu’il cherche à joindre. Ces actions généreront des « requêtes », des demandes faites par le navigateur aux sites que l’utilisateur cherche à joindre. Ces requêtes seront envoyées directement par le navigateur aux serveurs des sites en question et seront associées à l’adresse I.P. de l’utilisateur.
Vous avez dit adresse I.P. ?
Cette adresse est notre « carte de visite » de réseau. Unique, elle indique aux autres entités sa localisation et le type d’appareil utilisé. Quand on se connecte directement à un site, notre IP lui dévoile en même temps des métadonnées, comme : « France, Paris, 75014, type de connexion, site « google.com » consulté précédemment, navigateur Mozilla/5.0, OS Android sur téléphone SGS7, … ». D’où l’utilité d’utiliser un VPN pour protéger cette adresse IP.
En effet, lorsqu’un utilisateur lance une application VPN, une connexion chiffrée est alors établie entre la machine et le serveur du VPN. Désormais, les requêtes passent par le serveur VPN qui s’occupe de les transmettre aux sites internet. Ces requêtes sont donc « déroutées » vers le serveur : celui-ci devient le nouveau point de départ des requêtes et l’utilisateur apparaît donc aux entités extérieures (sites consultés, autorités, pirates, …) comme s’il faisait partie du réseau local du VPN. Il lui donne pour cela une nouvelle adresse I.P., ce qui correspond grosso modo à une nouvelle identité numérique. En plus de fournir un nouveau point de départ officiel à la connexion, le serveur se charge aussi de chiffrer les requêtes afin de les rendre illisibles pour un acteur malveillant qui parviendrait à les intercepter.
Un VPN est aussi utile pour contourner les restrictions géographiques. Quand il doit choisir son serveur VPN, lors de la mise en route de l’application, l’utilisateur peut choisir la localisation qui l’intéresse, par exemple pour utiliser certains sites avec des restrictions basées sur la géolocalisation de l’adresse IP, comme les plateformes de téléchargement, les sites militants censurés dans leur pays ou autre. Par exemple, s’il souhaite accéder au catalogue américain de Netflix, l’utilisateur choisit simplement sur son application VPN un serveur situé aux USA. Sa machine se connectera alors à ce serveur, qui lui attribuera une adresse IP provenant de son propre réseau local (une adresse américaine), et enverra ensuite la requête à Netflix, qui reconnaitra la machine comme résident aux USA !
Mais il peut aussi créer un réseau site à site. Le principe est de créer un tunnel VPN spécifique qui relie la machine sur laquelle l’application est installée au réseau local de l’entreprise. Il peut s’y authentifier à l’aide d’un mot de passe ou d’un certificat qu’il a installé au préalable sur la machine. Pendant ses déplacements, il accède alors au réseau local (LAN*) de son entreprise sans en exposer les ressources sur Internet ou même au réseau local de sa maison, qui peut héberger ses fichiers personnels ou ses parties de jeux vidéo.
Mais un VPN ne nous rend pas anonyme
Récapitulons : en utilisant un VPN, nos demandes (requêtes) sont interceptées (déroutées) par le serveur du VPN, qui s’occupe de les transmettre au destinataire final. Le plus souvent, il les chiffre, pour qu’elles ne soient pas comprises si des personnes malveillantes les lisent. Enfin, il s’approprie notre requête et lui donne une autre adresse IP, qui lui appartient. Notre adresse IP est donc cachée et notre identité en partie protégée.
En partie seulement car toutes les requêtes passant désormais par son serveur, le fournisseur du VPN peut suivre l’aventure de l’utilisateur sur le réseau, qui lui fait confiance pour transmettre les bonnes informations et cacher le reste.
De plus, le VPN effectuant le chiffrement et le déchiffrement des requêtes, il a accès à leur contenu et pourrait potentiellement le stocker ou le consulter. Vous l’avez bien lu : la requête est récupérée en clair (non chiffré) par le VPN. Le fournisseur peut donc accéder à la recherche « comment cultiver des tomates » envoyée à Google par l’utilisateur. Il faut donc choisir avec soin à quel fournisseur confier ses données !
Au-delà du VPN, les actions effectuées sur internet par un utilisateur peuvent en elles-mêmes donner des informations à qui surveillerait l’activité de l’adresse I.P.
Lorsqu’il entre ses identifiants sur un site web : son identité est révélée.
Lorsqu’il utilise une adresse courriel (même si c’est la quatrième adresse des spams) : son identité est révélée.
Lorsqu’il paie sur internet : son identité est révélée.
Son comportement sur internet, les sites qu’il consulte, les clics qu’il fait, ses horaires de connexion, les messages qu’il laisse sur les forums sont autant d’indicateurs qui peuvent révéler son identité.
Si une entité, malveillante ou non, recoupe les informations correspondant à la trace d’un individu, qu’elle a facilement trouvées ou achetées, elle peut finir par l’identifier.
Par exemple, lorsqu’il se connecte à Facebook avec une adresse courriel, un identifiant temporaire (alias métadonnée) est attaché à l’adresse IP (donc avec un VPN, à l’adresse neuve qu’il vient d’avoir). S’il va ailleurs avec cette même adresse, l’identifiant reste le même.
Le comportement qu’il a sur la Toile va être révélateur : nouvelle IP ou non, il aura tendance à utiliser les mêmes sites, de la même manière, aux mêmes moments… et les métadonnées attachées à l’adresse IP resteront identiques et libres d’accès. La toute nouvelle adresse IP soi-disant américaine est alors associée au moyen de paiement, aux identifiants que l’utilisateur vient de taper.
Si la NSA le détecte en train de contrevenir à certaines de leurs exigences, elle peut demander aux sites associés à l’identifiant temporaire, ici à Facebook, de fournir les informations de connexion associées. Associées au comportement, aux sites visités, aux horaires, le profil d’utilisateur est établi et peut être relié à une personne physique.
Utiliser un VPN a donc des avantages de sécurité, d’accès et de protection de vie privée, mais pour obtenir un anonymat réel, il faudra y mettre beaucoup plus d’efforts !
Article rédigé par : Charlotte Lemaistre, consultante chez Coralium