On l'a récemment vu avec Onavo Project, le service VPN de Facebook qui pistait des utilisateurs pour 20 dollars par mois (en cartes cadeaux) en échange d'un accès à leurs données. Via les services de bêta-testeurs Applause, BetaBound et uTest, une application Research (ou Facebook Research) pour smartphone installe un VPN pour pister leurs activités. Tous les services de réseau virtuel privé ne se valent pas sur le marché, mais certains se montrent particulièrement néfastes pour la vie privée des utilisateurs.

Car en promettant de masquer l'identité de l'utilisateur, certains VPN n'hésitent pas à aller piocher directement auprès de ce dernier les informations qu'il est censé protéger. C'était ainsi le cas avec Onavo Project, le service de VPN de Facebook que le réseau social a récemment abandonné, puisque pointé du doigt par nombre de chercheurs en sécurité.

VPN

L'application proposait aux utilisateurs (du moins en apparence), de surfer anonymement sur Internet via un service de VPN gratuit. Le système était standard : l'utilisateur se connecte à un serveur qui se charge d'établir les connexions externes à sa place, jouant alors le rôle de tampon, tout en camouflant la véritable adresse IP de l'utilisateur réel.

Sur le principe, Facebook mettait en avant le service pour permettre aux utilisateurs de "reprendre le contrôle sur leurs données personnelles" (sic) et éviter ainsi les trackers et autres outils de pistage... Mais dans les faits, l'application collectait une foule de données en rapport avec l'activité mobile de l'utilisateur : les applications téléchargées, le temps passé en ligne, la géolocalisation, les données transférées, les réseaux WiFi à portée... Pour s'éviter d'être pistés sur la toile, les utilisateurs en venaient ainsi à installer eux-mêmes un espion bien plus gourmand sur leur mobile.

Dans le fond, ce n'est pas la première fois qu'un service VPN se fait épingler pour collecter des données sur les utilisateurs afin de les revendre. La première affaire du genre à avoir fait grand bruit date de 2017, la FTC ayant été saisie pour intervenir auprès de Hotspot Shield. Mais depuis l'affaire d'Onavo Project, de nombreux experts en sécurité ont pointé des services de VPN, souvent gratuits il faut l'avouer, qui se rémunèrent non plus avec les abonnements, mais en collectant des données personnelles sur leurs utilisateurs et en les revendant aux annonceurs et tiers. Et bien souvent, cette collecte se fait sans aucun consentement de la part de l'utilisateur.

Alors, comment bien choisir son service de VPN ? Il serait injuste de dire que toutes les solutions gratuites collectent forcément des données personnelles pour se rémunérer. Certaines l'affichent d'ailleurs clairement dans leurs CGU et tentent de limiter le volume de cette collecte afin que leur usage ne devienne pas pire que les avantages procurés par le VPN.

Une récente étude a démontré qu'il y avait ainsi bien plus de collecte de données personnelles dans les applications de VPN dédiées au mobile, notamment parce que ce marché reste encore restreint et que les éditeurs et développeurs jouent sur le manque d'information des utilisateurs. Par ailleurs, une grande majorité de ces VPN espions sont des services développés en Chine, une situation ubuesque quand on sait que ces services sont très encadrés dans le pays.

Les services payants se montrent, en général, bien plus sérieux puisque leur modèle économique leur permet de ne pas avoir à collecter de données sur leurs utilisateurs. Par ailleurs, les offres payantes sont souvent proposées par des acteurs réputés et dont les CGU ne sont pas amenées à changer sans alerter l'utilisateur. En cas de doute, il existe des tests de ces services, on peut ainsi citer les tests de VPNPro qui mettent en lumière les éléments clés de chaque service de VPN avec notamment un volet sur la collecte de données et leur conservation.

Notons enfin que les services VPN ont beaucoup évolué au fil du temps et que la concurrence est actuellement telle que les offres s'affichent à des prix plancher, on peut ainsi trouver des offres à partir de 1€ par mois et qui se montrent de confiance.