N'utilisez pas de service VPN

vpn-fr_FR.md

N'utilisez pas de service VPN

Non, sérieusement, ne le faites pas. Probablement que vous lisez ce document parce que vous avez demandé quel service VPN souscrire, et ceci est la réponse.

Remarque : le contenu de cette publication ne s’applique pas à l’usage pour lequel le VPN fut pensé ; à savoir un réseau privé interne. Ici, on critiquera l'usage des VPN comme des mandataires (proxys) glorifiés, ce que fait chaque fournisseur tier.

• Ceci est une traduction de Don't use VPN services
• Une traduction en russe, par Timur Demin.
• En turc, par agyild.
• En espagnol.
• Il y a aussi cet article (en anglais) à propos des services VPN, qui est bien mieux écrit que mon article (et a beaucoup plus d’images de chats !)

Pourquoi pas ?

Parce qu’un VPN ainsi déployé n’est un mandataire (proxy) glorifié. Le fournisseur VPN peut voir tout votre trafic, et en faire ce qu’il lui plait -- journalisation (logging) incluse.

Mais mon fournisseur ne journalise pas !

Vous n’avez aucun moyen de vérifier, et bien sûr un fournisseur VPN malveillant prétendra ne pas s’en rendre coupable. En bref : la seule hypothèse raisonnable est que chaque fournisseur VPN journalise.

Et gardez à l’esprit que c’est dans le meilleur intérêt du fournisseur VPN de journaliser l’activité de ses usagers -- ceci leur permet de rejeter la responsabilité sur le client, en cas de menace judiciaire. Les 10 € mensuels que vous payez pour votre service VPN ne paient même pas le café de l’avocat, donc attendez-vous à ce que vous soyez balancé.

Mais un fournisseur perdrait des clients s’il faisait ça !

Je le croirai quand HideMyAss déposera le bilan. Il y a quelque temps, ils trahirent leurs usagers et ce fut largement couvert (lien original en anglais). La vérité c’est que la plupart de leurs clients soit s’en fichent, soit n’est savent rien.

Mais je paie de manière anonyme, en utilisant des Bitcoins/PaysafeCard/liquide/drogue !

Ça ne change rien. Vous êtes de toute manière connecté à leur service via votre propre adresse Internet (IP) qu’ils peuvent journaliser.

Mais je veux plus de sécurité !

Les fournisseurs VPN ne fournissent pas de sécurité. Ce sont juste des mandataires glorifiés.

Mais je veux plus de respect de ma vie privée !

Les VPN ne fournissent pas de sécurité, à quelques exceptions près (voir plus bas). Ils sont juste des mandataires. Si quelqu’un veut écouter votre connexion, ils peuvent toujours le faire -- il leur suffit de le faire à un endroit différent (par exemple, en sortie du serveur du fournisseur VPN).

Mais je veux plus de chiffrement !

Utilisez SSL/TLS et HTTPS pour les services centralisés, ou un chiffrement de bout en bout (pour les applications fonctionnant en pair-à-pair). Les VPN ne peuvent pas chiffrer votre trafic par magie -- c’est simplement techniquement impossible. Si le point terminal s’attend à lire du texte brut, il n’y a rien que vous puissiez faire.

Quand vous utilisez un VPN, la seule partie chiffrée de votre connexion est de votre ordinateur jusqu’à votre fournisseur. Au-delà du VPN, c’est pareil que si vous étiez sans VPN. Et rappelez-vous, le fournisseur VPN peut voir et manipuler tout votre trafic.

Mais je veux brouiller les traqueurs en partageant une adresse IP !

Votre adresse Internet est une donnée particulièrement inutile dans les systèmes de traque modernes. Les gens du markéting ont pris conscience de ce genre de stratégie, et combinés à la popularisation du CGNAT, ainsi que l’éternelle augmentation du nombre de terminaux par foyer, l’adresse IP n’est tout simplement plus fiable pour différencier les usagers.

Les gens du markéting vont presque toujours utiliser un autre genre de mesure pour vous identifier, vous distinguer. Ceci peut être n’importe quoi, de l’identifiant de votre navigateur à un profil d’empreinte numérique (fingerprinting profile). Un VPN ne peut pas l’empêcher.

Alors quand devrais-je utiliser un VPN ?

En gros il y a deux cas d’usage quand vous devriez vouloir utiliser un VPN :

1. Vous être sur un réseau notoirement hostile (tel qu’un accès WiFi public, ou quand un fournisseur de services Internet est connu pour pratiquer des attaques de type MITP, et vous avez besoin d’un contournement.
2. Vous voulez cacher votre adresse IP d’un ensemble spécifique de contrariants non gouvernementaux -- par exemple, contourner un bannissement dans une session de conversation (chatroom), ou éviter des lettres de menace d’association de protection des droits d’auteur.

Dans le second cas, il est plus probable que vous voulez juste un service mandataire spécifiquement pour ce trafic -- envoyer tout votre trafic à travers un fournisseur VPN (comme c’est la règle avec la plupart des clients VPN) va toujours permettre à votre fournisseur de VPN de s’immiscer dans votre trafic.

Cependant, en pratique, n'utilisez pas de fournisseur de VPN du tout, même dans ces cas.

Bon, ben… et donc ?

Si vous avez absolument besoin d’un VPN, et que vous comprenez ses limitations, louez un serveur virtuel (VPS) et déployez votre propre service (ou en utilisant quelque chose comme Streisand, ou manuellement -- je recommande l’usage de Wireguard. Je ne recommanderai pas un fournisseur spécifique (la diversité à du bon !), mais il y a plein de choix abordables à trouver sur LowEndTalk (en anglais).

Mais en quoi est-ce mieux qu’un service VPN ?

Un fournisseur de service VPN recherche particulièrement ceux qui désirent protéger leur vie privée et ont donc un trafic particulièrement intéressant à observer. En termes statistiques, il est plus que probable qu’un fournisseur de VPN ciblant ceux qui souhaitent protéger leur vie privée soit malveillant, plutôt qu’un fournisseur générique.

Alors pourquoi les services VPN existent-ils ? Ils doivent bien servir à quelque chose ?

Parce que c’est de l’argent facile. Il n’y a qu’à déployer OpenVPN sur un petit nombre de serveurs, et essentiellement revendre de la bande passante décorée. Vous pouvez promettre monts et merveilles, parce que personne ne peut les vérifier. Vous n’avez même pas besoin de savoir ce que vous faites, parce qu’encore une fois, personne ne vérifiera ce que vous dites. C’est de la poudre de perlimpinpin.

Donc oui, les services VPN remplissent un rôle -- c’est juste un rôle qui bénéficie au fournisseur, pas à vous.

---

Cette publication est protégée par la licence WTFPL ou CC0, à votre guise. Vous pouvez diffuser, utiliser, modifier, traduire ou protéger selon votre goût.

---

Avant tout commentaire : soyez conscient que tout commentaire non constructif sera supprimé. Ceci inclut, sans être exhaustif :

• de la publicité pour des fournisseurs de VPN (même déguisée sous forme de question)
• trollage
• harcèlement
• insultes
• faits déjà expliqués dans l’article

Si votre commentaire n’est pas une question sincère ou un contre-argument solidement étayé par des faits et des preuves, il n’a pas sa place ici.

vpn.md

Don't use VPN services.

No, seriously, don't. You're probably reading this because you've asked what VPN service to use, and this is the answer.

Note: The content in this post does not apply to using VPN for their intended purpose; that is, as a virtual private (internal) network. It only applies to using it as a glorified proxy, which is what every third-party "VPN provider" does.

• A Russian translation of this article can be found here, contributed by Timur Demin.
• A Turkish translation can be found here, contributed by agyild.
• There's also this article about VPN services, which is honestly better written (and has more cat pictures!) than my article.

Why not?

Because a VPN in this sense is just a glorified proxy. The VPN provider can see all your traffic, and do with it what they want - including logging.

But my provider doesn't log!

There is no way for you to verify that, and of course this is what a malicious VPN provider would claim as well. In short: the only safe assumption is that every VPN provider logs.

And remember that it is in a VPN provider's best interest to log their users - it lets them deflect blame to the customer, if they ever were to get into legal trouble. The $10/month that you're paying for your VPN service doesn't even pay for the lawyer's coffee, so expect them to hand you over.

But a provider would lose business if they did that!

I'll believe that when HideMyAss goes out of business. They gave up their users years ago, and this was widely publicized. The reality is that most of their customers will either not care or not even be aware of it.

But I pay anonymously, using Bitcoin/PaysafeCard/Cash/drugs!

Doesn't matter. You're still connecting to their service from your own IP, and they can log that.

But I want more security!

VPNs don't provide security. They are just a glorified proxy.

But I want more privacy!

VPNs don't provide privacy, with a few exceptions (detailed below). They are just a proxy. If somebody wants to tap your connection, they can still do so - they just have to do so at a different point (ie. when your traffic leaves the VPN server).

But I want more encryption!

Use SSL/TLS and HTTPS (for centralized services), or end-to-end encryption (for social or P2P applications). VPNs can't magically encrypt your traffic - it's simply not technically possible. If the endpoint expects plaintext, there is nothing you can do about that.

When using a VPN, the only encrypted part of the connection is from you to the VPN provider. From the VPN provider onwards, it is the same as it would have been without a VPN. And remember, the VPN provider can see and mess with all your traffic.

But I want to confuse trackers by sharing an IP address!

Your IP address is a largely irrelevant metric in modern tracking systems. Marketers have gotten wise to these kind of tactics, and combined with increased adoption of CGNAT and an ever-increasing amount of devices per household, it just isn't a reliable data point anymore.

Marketers will almost always use some kind of other metric to identify and distinguish you. That can be anything from a useragent to a fingerprinting profile. A VPN cannot prevent this.

So when should I use a VPN?

There are roughly two usecases where you might want to use a VPN:

1. You are on a known-hostile network (eg. a public airport WiFi access point, or an ISP that is known to use MITM), and you want to work around that.
2. You want to hide your IP from a very specific set of non-government-sanctioned adversaries - for example, circumventing a ban in a chatroom or preventing anti-piracy scareletters.

In the second case, you'd probably just want a regular proxy specifically for that traffic - sending all of your traffic over a VPN provider (like is the default with almost every VPN client) will still result in the provider being able to snoop on and mess with your traffic.

However, in practice, just don't use a VPN provider at all, even for these cases.

So, then... what?

If you absolutely need a VPN, and you understand what its limitations are, purchase a VPS and set up your own (either using something like Streisand or manually - I recommend using Wireguard). I will not recommend any specific providers (diversity is good!), but there are plenty of cheap ones to be found on LowEndTalk.

But how is that any better than a VPN service?

A VPN provider specifically seeks out those who are looking for privacy, and who may thus have interesting traffic. Statistically speaking, it is more likely that a VPN provider will be malicious or a honeypot, than that an arbitrary generic VPS provider will be.

So why do VPN services exist? Surely they must serve some purpose?

Because it's easy money. You just set up OpenVPN on a few servers, and essentially start reselling bandwidth with a markup. You can make every promise in the world, because nobody can verify them. You don't even have to know what you're doing, because again, nobody can verify what you say. It is 100% snake-oil.

So yes, VPN services do serve a purpose - it's just one that benefits the provider, not you.

---

This post is licensed under the WTFPL or CC0, at your choice. You may distribute, use, modify, translate, and license it in any way.

---

Before you comment: Be aware that any non-constructive comments will be removed. This includes advertising for VPN providers (yes, even when you phrase the marketing claims like a question), trolling, harassment, insults towards other people, claims that have already been addressed in the article, and so on.

If your comment isn't a genuine question or a concrete counterargument supported by evidence, it probably doesn't belong here.