Choisir le RPV qui vous convient

RPV signifie « réseau privé virtuel ». Quand vous vous connectez à un RPV, toutes les données que vous envoyez, telles que les requêtes aux serveurs quand vous parcourez le Web, semblent provenir du RPV même plutôt que de votre propre FAI. Ainsi, votre adresse IP est dissimulée, ce qui peut s’avérer être un outil important pour protéger votre vie privée et vos données personnelles, dans la mesure où votre adresse IP indique votre emplacement géographique approximatif et peut, par conséquent, être utilisée pour vous identifier.

Dans la pratique, les RPV peuvent :

• Protéger votre activité sur Internet des yeux indiscrets, particulièrement si vous êtes connecté à un réseau Wi-Fi non sécurisé dans un café, un aéroport, une bibliothèque ou ailleurs.
• Contourner la censure d’Internet sur un réseau qui bloque certains sites ou services. Par exemple, quand vous travaillez à partir de la connexion Internet d’une école ou dans un pays qui bloque le contenu. Note : il est important de rester au courant des nouvelles en matière de sécurité qui couvrent les politiques de certains pays quant aux RPV.
• Vous connecter à l’intranet d’entreprise de votre bureau alors que vous voyagez à l’étranger, que vous êtes à la maison ou chaque fois que vous n’êtes pas au bureau.

L’on croit à tort que les RPV sont juste pour les ordinateurs de bureau. Il peut être aussi risqué de vous connecter à des connexions Wi-Fi inconnues à partir de votre téléphone que de vous connecter à un réseau Wi-Fi inconnu à partir de votre ordinateur. Vous pouvez mettre en place un RPV sur votre téléphone pour chiffrer le trafic de votre opérateur de réseau mobile et de votre fournisseur d’accès à Internet (FAI).

Il n’y a pas de solution universelle en matière de RPV. Comme pour le courriel, il existe de nombreux services de RPV et vous devriez choisir le service qui vous convient le mieux. En fonction de celui que vous choisissez, vous pouvez profiter d’un niveau de sécurité accru une fois connecté à des réseaux en lesquels vous n’auriez habituellement pas confiance. Cela signifie cependant que vous accorderez votre confiance au RPV même.

Donc, avez-vous besoin d’un RPV (page en anglais)? Et quel RPV devriez-vous utiliser ? La réponse à ces questions regorge de différentes considérations et de nuances. Ce guide vous aidera à établir quels outils vous conviennent et quels facteurs vous devriez prendre en considération dans votre recherche d’un RPV.

Commençons par les bases : comment les RPV fonctionnent-ils ? anchor link

Ce texte explicatif (en anglais) par le Centre pour la démocratie et la technologie (Center for Democracy & Technology) décrit un RPV comme un outil qui crée « une sorte de tunnel pour votre trafic Internet [afin d’]empêcher à des intrus de surveiller ou de modifier votre trafic. Le trafic dans le tunnel est chiffré et envoyé à votre RPV, ce qui complique considérablement la surveillance que des tiers, tels des fournisseurs d’accès à Internet (FAI, page en anglais) ou des pirates qui se trouveraient sur des réseaux Wi-Fi publics, pourraient établir. Il en serait de même s’ils tentaient d’exécuter des attaques de l’intercepteur. Le trafic quitte ensuite le RPV vers sa destination en dissimulant l’adresse IP originale de cet utilisateur. Cela aide à dissimuler l’emplacement physique d’un utilisateur à quiconque surveillerait le trafic une fois qu’il quitte le RPV. »

Nous vous recommandons de lire en entier l’article (en anglais) du Centre pour la démographie et la technologie avant de poursuivre afin de mieux comprendre ce que les RPV sont et comment ils fonctionnent.

Choses à prendre en considération : ce que les RPV ne font pas anchor link

Un RPV protège votre trafic Internet contre la surveillance sur le réseau public, mais il ne protège pas vos données contre le réseau public que vous utilisez. Si vous utilisez un RPV d’entreprise, les personnes qui gèrent le réseau d’entreprise pourront alors voir votre trafic. Si vous utilisez un RPV commercial, les personnes qui gèrent le service pourront voir votre trafic.

Un service RPV de mauvaise réputation pourrait le faire délibérément, pour recueillir des renseignements personnels ou autres données précieuses.

Le gestionnaire de votre RPV d’entreprise ou commercial pourrait aussi subir des pressions de gouvernements ou d’organismes d’application de la loi pour qu’il remette des renseignements au sujet des données que vous avez envoyées par le réseau. Vous devriez chercher dans la politique de confidentialité de votre fournisseur de RPV des renseignements concernant les circonstances dans lesquelles votre fournisseur de RPV pourrait remettre vos données aux gouvernements ou organismes d’application de la loi.

Vous devriez aussi porter attention aux pays où le fournisseur de RPV fait affaire. Le fournisseur sera soumis aux lois de ces pays, dont les lois qui régissent les demandes de renseignements qui proviennent des gouvernements. Les lois varient d’un pays à l’autre et parfois ces lois permettent aux représentants des gouvernements de recueillir des renseignements sans vous en aviser ni vous donner l’occasion de le contester. Le fournisseur de RPV pourrait aussi être soumis aux demandes juridiques de renseignements qui émanent de pays avec lesquels les pays où son service est offert ont un traité d’entraide judiciaire.

La plupart des RPV commerciaux exigeront que vous payiez en utilisant une carte de crédit, ce qui dévoilera des renseignements à votre sujet que vous ne voudriez peut-être pas divulguer à votre fournisseur de RPV, car le lien avec votre identité pourrait alors facilement être établi. Si vous ne souhaitez pas communiquer votre numéro de carte de crédit à votre fournisseur de RPV commercial, utilisez un fournisseur de RPV qui accepte les bitcoins ou les cartes-cadeaux, ou encore utiliser des numéros de carte de crédit éphémères ou à utilisation unique. Veuillez aussi noter que le fournisseur de RPV pourrait quand même recueillir votre adresse IP quand vous utilisez le service, adresse qui pourrait aussi être utilisée pour vous identifier, même si vous utilisez un autre mode de paiement. Si vous souhaitez cacher votre adresse IP à votre fournisseur de RPV, vous pourriez utiliser Tor pour vous connecter à votre RPV ou ne vous connecter à votre RPV qu’à partir d’un réseau Wi-Fi public.

Comment choisir un RPV qui me convient ? anchor link

Les besoins de chacun sont différents quant à la façon dont ils espèrent utiliser un RPV. Aussi, la gamme des RPV et leur qualité varient beaucoup d’un service à l’autre. Pour trouver le RPV qui vous convient, vous pouvez évaluer les RPV d’après les critères suivants :

Ce que le fournisseur prétend anchor link

Le fournisseur du RPV vante-t-il les vertus de son produit ou de ses services ? Il prétend peut-être ne pas journaliser les données de connexion des utilisateurs (voir collecte de données ci-dessous) ni partager ni vendre de données. Souvenez-vous que prétendre n’est pas garantir, donc vérifiez bien ce qu’il avance. Plongez-vous dans la politique de confidentialité du fournisseur de RPV pour découvrir des renseignements sur la manière dont il va tirer un profit pécuniaire de vos données, même si le RPV ne les vend pas directement à des tiers.

Modèle d’entreprise anchor link

Même si un RPV ne vend pas vos données, il doit d’une manière ou l’autre en assurer le fonctionnement. Si le RPV ne vend pas son service, comment maintient-il l’entreprise à flot? Sollicite-t-il des dons ? Quel est le modèle d’entreprise du service ? Certains RPV fonctionnent sur un modèle « semi-payant ». Cela signifie que l’inscription est gratuite, mais que facturation il y aura dès que vous aurez transféré un certain volume de données. Si votre budget est restreint, il est bon de connaître cette information.

Réputation anchor link

Il convient d’effectuer une recherche sur les personnes et les organismes associés au RPV. Est-il approuvé par des spécialistes de la sécurité ? Des articles sont-ils écrits à son sujet ? Si le RPV a été mis en place par des personnes connues au sein de la communauté de la sécurité de l’information, la probabilité qu’il soit digne de confiance est plus grande. Montrez-vous sceptique envers un RPV qui offre un service pour lequel personne ne veut engager sa réputation personnelle, ou qui est géré par une entreprise que personne ne connaît.

Collecte de données anchor link

Un service qui ne collecte pas de données ne pourra pas les vendre. Vérifiez dans la politique de confidentialité si le RPV collecte des données d’utilisateur. S’il n’y est pas clairement indiqué que les données de connexion des utilisateurs ne sont pas journalisées, il est fort probable qu’elles le soient. Et suivant les pays, un gouvernement peut exiger ces données ou délivrer une assignation à comparaître pour les obtenir.

Même si une entreprise prétend ne pas journaliser les données de connexion, cela ne garantit pas toujours un bon comportement. Nous vous encourageons à faire enquête et à trouver où un RPV a été mentionné dans la presse. Il aurait pu se faire prendre à tromper ses clients ou à leur mentir. Une simple recherche peut vous en apprendre beaucoup.

Emplacement géographique et lois anchor link

Vous pourriez choisir un RPV d’après le lieu où son siège social est situé. Choisir un RPV d’après les lois de protection des données de ce pays peut être un facteur important, mais veuillez noter que les lois et les politiques peuvent changer.

Chiffrement anchor link

Le chiffrement du RPV offre-t-il un bon niveau de sécurité ? Si le RPV utilise une méthode de chiffrement dépassée telle que le protocole de tunnel point à point (PPTP) ou des algorithmes de chiffrement faibles, toutes les données qui y transiteront pourront facilement être déchiffrées et visualisées par votre FAI ou votre pays. Si vous utilisez le RPV de votre employeur, contactez le service des technologies de l’information et posez des questions sur le niveau de sécurité de la connexion. Il peut être difficile d’évaluer la robustesse du chiffrement d’un RPV. Vous pourriez consulter ce tableau de comparaison de RPV (en anglais) produit par « That One Privacy Site », qui analyse près de 200 fournisseurs de RPV d’après leur pays et leurs politiques.

La FFÉ ne peut pas se porter garante des évaluations de ces RPV ni d’aucune autre. Des RPV dont les politiques de confidentialité sont exemplaires pourraient être dirigés par des personnes sournoises. N’utilisez pas un RPV en lequel vous n’avez pas confiance.

N’oubliez pas : il n’y a pas de RPV universel. Les facteurs à prendre en considération sont nombreux lors du choix d’un RPV. Pensez toujours à prendre en considération votre plan de sécurité avant toute décision concernant les outils que vous utilisez pour protéger votre sécurité numérique.