VPN gratuits : une fausse sécurité pour des millions d’utilisateurs

Des millions d’utilisateurs séduits par la gratuité se retrouvent exposés sans le savoir.

Des millions d’utilisateurs séduits par la gratuité se retrouvent exposés sans le savoir.

Des applications VPN plus risquées qu’il n’y paraît

En apparence anodines, certaines applications de VPN très répandues sur le marché international cachent des liens complexes, parfois opaques, avec des entreprises peu transparentes — voire avec l’armée chinoise. Une étude universitaire récente, intitulée « Hidden Links: Analyzing Secret Families of VPN Apps », a passé au crible les cent applications les plus téléchargées sur mobile selon SensorTower et AppMagic, afin d’examiner en profondeur leurs origines, leur code source, mais surtout leurs vulnérabilités. Ce travail fait écho à une précédente enquête du Tech Transparency Project (TTP), qui avait déjà tiré la sonnette d’alarme sur ce marché souvent mal régulé.

Un entrelacs de familles dissimulées

Le rapport distingue trois « familles » d’applications parmi les plus téléchargées — pour certaines, plus de 100 millions d’installations rien que sur le Google Play Store — et recense un total de 18 VPN suspects. Parmi eux, on retrouve :

• Family A, dont tous les membres sont liés à la société Lemon Seed, elle-même associée à Qihoo 360 et indirectement à l’armée chinoise.
• Family B, où plusieurs applications partagent la même infrastructure technique et présentent des politiques de confidentialité ambiguës.
• Family C, composée notamment de X-VPN et Fast Potato VPN, deux apps utilisant un protocole maison étonnamment similaire.

Certaines autres applications comme Super Unlimited Proxy ou Secure VPN Safer Internet échappent à ce classement mais demeurent considérées à risque par les chercheurs.

Derrière la gratuité, une sécurité illusoire

La majorité de ces services sont proposés gratuitement ou sous forme freemium. Un atout qui séduit des centaines de millions d’utilisateurs… sans que ceux-ci réalisent forcément l’étendue des faiblesses techniques pointées par l’étude : partage massif de code entre apps concurrentes, systèmes de chiffrement fragiles voire aisément contournables, et utilisation du proxy Shadowsocks — initialement conçu pour contourner la censure du « Great Firewall » chinois plutôt que pour garantir une authentique protection des données personnelles.

Mieux vaut prévenir : comment choisir son VPN ?

Face à ces pratiques obscures, difficile pour un internaute lambda d’identifier les risques réels. Pourtant, le choix d’un VPN réputé et transparent, doté d’une politique stricte « no-logs » et reconnu pour sa fiabilité technique, demeure essentiel. S’abonner à un service payant reconnu offre aujourd’hui bien davantage qu’une simple illusion de confidentialité : fonctionnalités renforcées, vitesse supérieure… mais surtout une véritable barrière contre la collecte ou la fuite involontaire de données sensibles. En résumé : méfiance absolue envers les solutions gratuites trop populaires au pedigree trouble.