VPN, ou réseau privé virtuel.

• Permet d'établir un lien entre une machine internet et la votre, en disposant des mêmes accès que si elle était située sur votre réseau local.
• Depuis les lois HADOPI, souvent utilisé comme façade pour masquer sa propre adresse IP lors de téléchargements par P2P.
• Services souvent payants.

Un VPN, c'est un noeud du réseau par lequel circulera votre traffic ainsi que celui d'autres usagers. Alors que nous utilisons des solutions P2P, avec l'usage d'un VPN nous retombons dans un modèle centralisé, avec les inconvénients que cela comporte (goulot d'étranglement, fragilité à l'égard d'une potentielle prise de contrôle…).

Comme souvent, un commerce se créé autour de l'illégalité. Les services VPNs s'apparentent alors à des Mafia, où l'on rémunère le prestataire technique (qui ne dispose pas de droits particuliers sur les oeuvres échangées) aux dépends de l'artiste.

Il y a d'ailleurs une similitude avec l'idée de licence globale : la répartition des sous dans le modèle de la licence globale se fera essentiellement aux artistes qui cultivent le mieux leur image et qui pourront prétendre aux dividendes, autrement dit ceux qui suivent au mieux le marketing et l'industrie.

Le VPN est donc un secteur très marketé.

Comme le rappelle cet article (anglais) de hackernoon, l'usage d'un VPN revient à faire transiter toutes vos données par celui-ci, soit à lui confier tout ce que vous faites sur internet. Pourtant rares sont les VPNs dont on peut prouver qu'ils sont de confiance. Certains sont même tenus par des agences publicitaires, et tout porte à croire qu'ils surveillent le traffic réseau.

Dans cette situation, il n'y a qu'en utilisant une couche de chiffrement supplémentaire que vous pouvez vous protéger (par exemple, en utilisant toujours https à la place de http), mais la situation reste assez défavorable.

Si la technologie VPN a pour intérêt de limiter les risques de poursuites judiciaires (pour échapper à des lois que l'on pense sans fondement), pourquoi cela ne profiterait-il qu'à ceux qui peuvent se la payer ? Le fait que 2 régimes de risques de poursuites puisse s'appliquer sur le réseau est donc inégalitaire.

Les VPNs sont-ils une solution garantissant vraiment l'anonymat ?

Pas vraiment :

• La politique des «logs» varie d'un service VPNs à l'autre, certains assurent autant de confidentialité que peut se faire, d'autres y font des exceptions, selon leurs modalités de collaboration avec les autorités (fournissent les données en cas d'enquête judiciaire…).
• Les prétentions des services VPNs (qui indiquent ne pas conserver de logs) ne sont pas toujours respectées. Il faut aussi lire les CGUs du service.
• Même si l'opérateur du service VPN en lui-même est fiable, les autorités qui ont suffisamment d'emprise auprès des opérateurs ne sont pas dépourvus de moyens de surveiller le réseau. L'analyse de segments du réseau situés en amont et à la sortie du VPN peut compromettre l'anonymat des échanges. Voir (ici)
• Alors imagineons qu'il y ait quelques négligences dans le fonctionnement, il suffit aux autorités de prendre possession du VPN pour récupérer toutes les traces, voire continuer à opérer le VPN en toute discrétion tout en contrôlant la machine ?

En clair, le VPN n'est pas une solution à envisager dans le cadre d'un anonymat. Vous profiterez toutefois des lois des pays dans lesquels sont situés les VPNs (un peu comme de l'évasion fiscale), mais se poseront toujours les questions de confiance, de fiabilité technique, et de failles humaines… S'il était si facile de se cacher, pourquoi les plus grands filous du net qui ont beaucoup plus d'expérience que vous et moi se font quand même attraper ?

Dans le soucis de connaître la politique suivie par un service VPN en cas d'injonction de la part des autorités, ceux-ci peuvent mettre en place des rapports de transparence. (Un expl)

Certains services commerciaux sollicitent des audits concernant leur sécurité ou l'application de leur politique “no-logs”, voir un exemple sur TorrentFreak. Le problème est qu'on ne peut pas tout à fait faire confiance à ces audits non plus car les boites effectuant ces audits ont aussi des intérêts commerciaux. La question de la confiance se solutionne donc autrement, ou bien il faut considérer qu'il y a absence de confiance et prendre les mesures nécessaires.

Un VPN veut juste dire que le tunnel (donc le transporteur) est chiffré, par contre il ne garantit pas que les paquets (donc le colis) ne contiennent pas de données identifiantes.

Imaginons par exemple que vous fassiez votre déclaration d'impôts par VPN. C'est tout à fait envisageable, et dans ce cas l'Etat sait que c'est vous qui l'avez faite, quand bien même vous utilisez un VPN, puisque vous aurez fourni des données identifiantes (votre numéro fiscal, etc) au serveur des impôts.

De même, imaginons que vous vous décidiez enfin à utiliser un VPN et que vous louez donc un service VPN. Il est probable que vous ayez déjà vos habitudes, vos comptes sur les trackers privés… mais ceux-ci connaissent déjà votre adresse IP réelle (lorsque vous n'aviez pas de VPN, lorsque vous vous êtes inscrit…), et avec un peu de malchance, elle est conservée dans les journaux d'activité de leur serveur web¹⁾, il vaut donc mieux que les admins du site aient désactivé les journaux de leur site (mais est-ce qu'ils le font vraiment ?). Dès lors que vous reprenez vos activités avec le VPN branché, si vous reprenez vos identifiants, cela peut vous lier à vos activités passées où vous n'aviez pas cette couverture.

Les VPNs peuvent effectivement être utilisés pour échapper à l'application des lois sur les droits d'auteurs. Cela vaut tant que de telles infractions ne justifient pas d'enquête. Par contre le VPN ne garantit pas l'anonymat, ce pour les raisons techniques, politiques et humaines que l'on a mentionné.

Les services VPNs sont un marché important qui suscite méfiance. Une précaution peut être de réserver leur usage au partage de fichiers, afin d'éviter le siphonnage de données lié à vos habitudes de surf.

Cherchez à distinguer quels prestataires sont de confiance, notamment en vous renseignant sur *qui* administre ces services.

• Une liste de VPNs
• Wikipédia: Réseau_privé_virtuel (fr)
• Définition de Virtual Private Network sur le site L'internet rapide et permanent
• http://wiki.korben.info/vpn

• http://dev.cbcdn.com/ipmagnet/ - Un site qui permet de tester si notre client BitTorrent utilise bel et bien le VPN, et que notre adresse IP réelle ne transparaît pas.
• OpenVPN + Freelan

• Un article sur la façon dont l'adresse IP peut leaker si le Port Forwarding est activé sur le serveur VPN : https://www.perfect-privacy.com/blog/2015/11/26/ip-leak-vulnerability-affecting-vpn-providers-with-port-forwarding/
• Un article qui donne des raisons d'utiliser un VPN: http://toonux.net/vpn/qui-a-besoin-de-toonux-vpn/
• https://blog.csiro.au/tinker-torrentor-streamer-spy-vpn-privacy-alert/ ; un article qui passe en revue les «apps» androïd qui proposent un VPN, le tableau est peu glorieux, certains VPNs ne chiffrent pas du tout, d'autres embarquent des services de tracking…
• Un article (15/09/2014) de Reflets au sujet de GigaNews et VyprVPN, qui seraient opérés par le FBI (canular potentiel): http://reflets.info/cryptome-leak-giganews-et-vyprvpn-seraient-operes-par-le-fbi/
• (14/10/2014) http://reflets.info/vpn-et-logs-lettre-ouverte-a-ceux-qui-croient-encore-au-%E2%80%8Epere-noel/
• Un article au sujet d'un VPN, en l'occurence Psilo, qui explique certains enjeux liés à l'usage d'un VPN: http://blog.developpeur-neurasthenique.fr/vie-privee-psilo-un-vpn-meme-qu-il-est-vachement-bien.html
• Illustration du «tiers de confiance» via le mythe d'Hermes: http://www.libroscope.org/Hermetisme-et-securite-la-valeur
• Incidence du climat de surveillance généralisé sur les VPNs Etats-Uniens → TorrentFreak (en): VPN Provider Shuts Down After Lavabit Case Undermines Security
• https://torrentfreak.com/hotspot-shield-vpn-reported-to-ftc-for-alleged-privacy-breaches-170807 : c'est là qu'il faut lire les petites lignes du contrat de notre service VPN, et qu'on ne peut pas non plus se laisser tromper par les engagements apparents de ces services qui clament “ne jamais stocker ni revendre nos données”. Plus clair dans cet article, ils injectent de la pub via javascript et des iframes : https://www.theregister.co.uk/2017/08/07/hotspot_shield_deceives_with_false_privacy_promises_complaint_claims/