Qu’est-ce qu’un VPN? Comment ça fonctionne? Et quoi…

Parce que la section Learn de TalkRights présente du contenu produit par des bénévoles de la CCLA et des entrevues avec des experts dans leurs propres mots, les opinions exprimées ici ne représentent pas nécessairement les politiques ou positions propres à la CCLA. Pour des publications officielles, des rapports clés, des documents de position, de la documentation juridique et des nouvelles à jour sur le travail de la CCLA, consultez la section In Focus de notre site web.

La grande majorité du temps passé sur ordinateur ou téléphone intelligent est passé connecté à Internet, à naviguer sur des sites web, regarder des vidéos en ligne, utiliser les réseaux sociaux, etc. L’historique internet d’une personne peut révéler certaines de ses informations les plus personnelles, y compris l’orientation sexuelle et l’idéologie politique. Malgré l’intérêt à garder notre activité internet privée, une grande partie peut être enregistrée ou survue, à des degrés divers, par les fournisseurs d’accès Internet (FAI), les forces de l’ordre et les mêmes sites web que nous visitons. Heureusement, les réseaux privés virtuels (VPN) peuvent ajouter une couche supplémentaire de confidentialité lors de la navigation sur Internet. Cet article explique comment fonctionnent les VPN et explore leurs implications en matière de vie privée.

QU’EST-CE QU’UN VPN ET COMMENT FONCTIONNE-T-IL?

Pour comprendre comment fonctionne un service VPN, il est d’abord instructif de comprendre les bases d’une connexion Internet standard. [1] Un ordinateur se connecte à Internet via un modem souvent fourni par l’un des FAI, comme Rogers ou Bell. Chaque FAI émet une série unique de numéros appelée adresse IP à chacun des modems de ses clients. Un FAI peut retracer l’adresse IP d’un modem jusqu’au client sous lequel le modem est enregistré. Une adresse IP peut aussi être utilisée par n’importe qui pour suivre la localisation géographique générale d’un appareil connecté à Internet.

Nos interactions avec un site web consistent généralement en que notre modem envoie des requêtes électroniques pour recevoir des informations stockées sur le serveur du site. Ce processus comprend plusieurs étapes. D’abord, une requête initiale est envoyée de notre appareil à notre FAI, qui la dirige ensuite vers le serveur web stockant l’information. Après avoir reçu la demande, le serveur web renvoie l’information à notre adresse IP. L’information transmise pendant tout le processus peut être surveillée et enregistrée par le FAI. [2] Le serveur web peut aussi conserver une trace des informations qu’il envoie à une adresse IP particulière.

Un service VPN agit essentiellement comme un intermédiaire sécurisé entre notre FAI et le serveur du site web. [3] Lorsqu’un service VPN est activé, notre FAI connecte notre appareil à un serveur VPN. Contrairement à une connexion Internet normale, toutes les informations qui circulent entre le serveur VPN et notre appareil sont chiffrées et ne peuvent pas être déchiffrées par le FAI. Cette connexion sécurisée est appelée un « tunnel VPN ». Quand vous utilisez un VPN, une requête chiffrée est acheminée directement par le FAI vers le serveur VPN — pas vers le serveur web. Après avoir reçu la requête, le serveur VPN envoie sa propre requête en utilisant une nouvelle adresse IP pour récupérer l’information du serveur du site web. Du point de vue du serveur web, c’est l’adresse IP du VPN — et non celle de l’utilisateur final — qui demande l’information. Le serveur VPN chiffre les informations reçues du serveur du site web et les renvoie à notre adresse IP. Non seulement le FAI est incapable de déchiffrer l’information, mais puisque l’information chiffrée est envoyée directement du VPN à notre appareil, il ignore non plus le site web d’où provient l’information.

IMPLICATIONS POUR LA VIE PRIVÉE

Il y a trois principales implications en matière de vie privée à utiliser un VPN lors de la navigation sur Internet. Premièrement, pour se conformer à la Loi sur le droit d’auteur, les FAI canadiens conservent un enregistrement temporaire de chaque adresse IP qu’ils attribuent à un modem. [4] De plus, un FAI peut conserver un enregistrement des sites web visités et du contenu téléchargé par une adresse IP, bien que la mesure dans laquelle un FAI adopte de telles pratiques soit incertaine et qu’il soit peu probable qu’un FAI surveille activement l’activité Internet de son client. Néanmoins, les informations transmises via une connexion Internet standard peuvent être surveillées et mises à la disposition des forces de l’ordre sur mandat d’exécution. En utilisant un service VPN, l’activité Internet d’une personne sera chiffrée et ne pourra pas être déchiffrée par le FAI. Du point de vue d’un fournisseur d’accès Internet, l’adresse IP attribuée au modem d’un client reçoit simplement des données chiffrées d’un serveur VPN. Il convient toutefois de noter que, tout comme un FAI est normalement capable de surveiller l’information reçue d’un serveur web, le service VPN peut de la même façon surveiller les informations demandées qu’il reçoit du serveur web. Ces informations ne sont chiffrées que plus tard et envoyées du serveur VPN vers notre appareil. Néanmoins, plusieurs VPN ont une politique explicite de ne pas enregistrer l’activité internet d’un utilisateur (mais assurez-vous de bien lire et comprendre cette politique lorsque vous choisissez un VPN!).

Deuxièmement, contrairement aux États-Unis, les fournisseurs d’accès Internet canadiens ne peuvent pas partager les renseignements personnels d’un client, tels que l’historique Internet, avec des tiers sans leur consentement express. Cependant, les lois peuvent souvent changer, et il est tout à fait possible que les FAI puissent à l’avenir partager de telles informations sans consentement. [5] Puisqu’un VPN garantit que l’activité Internet d’un utilisateur est chiffrée, les FAI ne pourront pas vendre des informations sur l’historique internet d’un client.

Enfin, les sites web eux-mêmes conservent une trace des adresses IP qui les visitent. L’adresse IP, à son tour, permet à ces sites web de suivre la localisation générale de l’appareil de l’utilisateur. En utilisant un service VPN, c’est l’adresse IP du VPN — et non l’adresse IP propre à l’utilisateur — qui demande l’information au serveur web, masquant ainsi l’identité de l’utilisateur final.

Tout comme on peut s’attendre à ce que le courrier reste privé pour les facteurs postaux ou que les conversations téléphoniques demeurent privées pour les fournisseurs de télécommunications, il devrait s’attendre à ce que notre activité sur Internet reste privée. Bien que la mesure dans laquelle un FAI surveille et enregistre son activité internet soit incertaine, le fait que les FAI ne soient souvent pas transparents et transparents sur leurs pratiques est préoccupant. Pour ceux qui sont soucieux de la vie privée et souhaitent que leur activité internet reste privée, un VPN est un outil utile pour ajouter une couche supplémentaire de confidentialité lors de la navigation sur Internet.

[1] Pour plus d’informations, voir Shuler, Rus. Comment fonctionne Internet? Pomeroy IT Solutions, 2002, web.stanford.edu/class/msande91si/www-spr04/readings/week1/InternetWhitepaper.htm.

[2] Les sites web qui utilisent un chiffrement tel que HTTPS chiffrent les données envoyées vers et depuis le site web et l’appareil de l’utilisateur. Cependant, contrairement au cas d’un service VPN, un chiffrement HTTPS n’empêche pas un FAI d’enregistrer que votre adresse IP a visité le site. est toujours capable de surveiller le fait que votre appareil est connecté au site web.

[3] Pour plus d’informations, voir Tyson, Jeff et Stephanie Crawford. « Comment fonctionnent les VPN. » HowStuffWorks, 14 avril 2011, https://computer.howstuffworks.com/vpn.htm

[4] La loi actuelle n’est pas claire quant à savoir si les fournisseurs de services VPN canadiens sont tenus de conserver les journaux d’adresses IP. Beaucoup de VPN ont une politique explicite de ne pas conserver de trace des adresses IP des clients.

[5] Pour des informations sur le récent vote du Sénat américain visant à abroger une décision de la FCC empêchant les FAI américains de vendre les données de leurs consommateurs à des tiers, voir Fung, Brian. « À quoi s’attendre maintenant que les fournisseurs d’accès Internet peuvent collecter et vendre l’historique de votre navigateur web. » The Washington Post, 29 mars 2017, http://www.washingtonpost.com/news/the-switch/wp/2017/03/29/what-to-expect-now-that-internet-providers-can-collect-and-sell-your-web-browser-history/?utm_term=.603c26013a26.

Pour plus d’informations sur la situation au Canada, voir Braga, Matthew. « Non, votre fournisseur d’accès Internet canadien ne peut pas vendre vos informations comme aux États-Unis. » CBCnews, CBC/Radio Canada, 31 mars 2017, http://www.cbc.ca/news/technology/us-fcc-internet-privacy-legislation-marketing-ads-canada-1.4046512.