Pour protéger ses données personnelles au quotidien, le VPN est souvent présenté comme l'outil idéal. En théorie, les réseaux privés virtuels permettent de rendre le trafic internet des utilisateurs inaccessible pour les cybercriminels. Pourtant, dans certains cas, cette protection est loin d'être garantie, c'est même plutôt l'inverse. Récemment, plusieurs éditeurs de VPN gratuits ont été mis en cause pour avoir massivement collecté des données.
Plus de 8 millions d'utilisateurs concernés
C'est un chercheur de l'entreprise Koi Security qui a trouvé cette faille et qui l'a dévoilée sous la forme d'un rapport édifiant. Ce rapport indique, en effet, que certains outils VPN gratuits collectent massivement les échanges d'utilisateurs avec des services d'intelligence artificielle. Les extensions de navigateur concernées s'activaient spécifiquement quand l'utilisateur accédait à des plateformes comme ChatGPT, Gemini, Copilot, Claude, etc. Le script, intégré au VPN, interceptait à la fois les questions posées aux IA, ainsi que les réponses.
Ironie de l'histoire, les extensions VPN concernées vantaient une protection IA, en conseillant par exemple aux utilisateurs de ne pas partager leurs emails avec ChatGPT. Dans le même temps, l'outil transmettait des conversations entières avec des IA à des courtiers en données. On parle de potentielles exploitations et reventes des informations à des tiers à des fins marketing.
Pour finir, il semblerait que les extensions concernées, appelées Urban VPN proxy, 1ClickVPN Proxy, Urban Browser Guard ou Urban Ad Blocker, étaient parfaitement accessibles sur le Chrome Web Store et le Microsoft Edge Store. Certains de ces services ont même reçu un badge "recommandé" de la part de Google pendant plusieurs mois !
Le risque des VPN gratuits
Cette actualité récente ne fait qu'illustrer les dangers que représentent les VPN gratuits. Le modèle économique de ces derniers ne leur permet tout simplement pas d'offrir un niveau de sécurité suffisant. Soit, ils génèrent des revenus en revendant des données utilisateurs à des sociétés tierces, soient ils n'ont pas les financements nécessaires pour maintenir un niveau de sécurité en adéquation avec la réalité de l'internet actuel. À l'inverse, les principaux VPN payants du secteur n'hésitent pas à montrer patte blanche en faisant auditer leur processus, leur fonctionnement et leurs infrasctutres de manière régulière.
Outre une confidentialité assurée par une politique no-log stricte, ces VPN ont également recours aux meilleurs protocoles actuels pour garantir la sécurité des données utilisateurs. Parmi ces protocoles, on peut citer WireGuard, OpenVPN ou encore IKEv2. Certains VPN vont jusqu'à développer leur propre protocole, à l'image de NordVPN et son NordLynx, on encore ExpressVPN et son Lightway.
Pour autant, ces précautions extrêmes ne se traduisent pas forcément par des prix excessifs. Certains des meilleurs VPN du marché proposent des formules dont le prix mensuel ne dépasse pas les 2,50€/mois.
Kevin Champeau
Rédacteur expert en sécurité
