VPN gratuit

VPN gratuits sur mobile : les vrais risques

38% des VPN gratuits Android collectent des données utilisateur selon une analyse de 280 applications. Le Play Store et l'App Store n'ont pas éliminé ce problème. Ce que les études documentent.


L'étude CSIRO/ICSI — ce qu'elle a trouvé

En 2016, des chercheurs du CSIRO australien et de l'ICSI ont analysé 283 applications VPN gratuites disponibles sur le Play Store. Les résultats sont documentés dans un article académique publié sur arXiv : 38% des applications incorporaient du code malveillant ou des pratiques de collecte de données agressives, 18% n'implémentaient pas de chiffrement du trafic malgré leurs affirmations, et 84% demandaient des permissions potentiellement intrusives non nécessaires au fonctionnement VPN.

Depuis 2016, Google et Apple ont durci leurs politiques de store, et plusieurs des applications identifiées ont été retirées. Mais le problème structurel persiste : un VPN gratuit qui opère des serveurs doit se financer. Les modèles de monétisation disponibles sans abonnement incluent la publicité ciblée (nécessitant une collecte de données), la revente de données à des tiers, et l'injection de publicités dans le trafic HTTP.

Les pratiques documentées

Hola VPN, l'une des applications VPN les plus téléchargées, a été documentée pour utiliser la bande passante de ses utilisateurs gratuits comme un réseau proxy revendu via son service commercial Luminati. Vos connexions servaient de relais pour le trafic d'autres utilisateurs payants — sans consentement explicite. La pratique a été révélée en 2015 et Hola a modifié ses conditions, mais le modèle économique repose toujours sur la bande passante des utilisateurs gratuits.

SuperVPN, une application avec plus de 100 millions de téléchargements sur le Play Store en 2021, a été retirée après que des chercheurs de VPNpro ont documenté des connexions vers des serveurs en Chine et des pratiques de collecte de données non divulguées. L'application avait obtenu les autorisations pour accéder aux données de localisation, à l'identifiant publicitaire, et au registre des appels.

Comment identifier un VPN gratuit problématique

Le premier signal est le modèle économique : si l'application est entièrement gratuite, sans limite de bande passante, sans offre premium, et sans mention de sponsors ou de financements, la source de revenus est opaque. Un service gratuit illimité qui opère des serveurs dans de nombreux pays a des coûts d'infrastructure réels — quelqu'un paie, et c'est probablement l'utilisateur via ses données.

Le deuxième signal est la politique de confidentialité : chercher les mentions de "third parties", "advertising partners", "analytics providers". Leur présence n'est pas automatiquement rédhibitoire — certains services légitimes mentionnent des partenaires analytiques — mais l'absence totale de mention sur la façon dont le service se finance est un signal négatif.

Outils de vérification

Exodus Privacy (exodus-privacy.eu.org) analyse les applications Android et liste les trackers publicitaires embarqués et les permissions déclarées. Une application VPN avec 5+ trackers publicitaires intégrés indique une monétisation par les données. Terms of Service; Didn't Read (tosdr.org) résume et note les conditions d'utilisation de nombreux services — utile pour une évaluation rapide.

Les alternatives gratuites légitimes

Quelques services offrent une version gratuite avec un modèle économique transparent. ProtonVPN propose une version gratuite financée par les abonnements payants — la version gratuite est limitée en serveurs et vitesse, pas en données. Windscribe offre 10 Go par mois gratuitement, financés par l'offre premium. Mullvad n'a pas d'offre gratuite mais son modèle économique (paiement à l'usage, acceptation de Monero) est parmi les plus transparents du marché.

La règle pratique : un VPN gratuit qui impose une limite de données mensuelle et qui a une offre payante documentée est structurellement plus fiable qu'un VPN gratuit illimité sans offre premium. La limite de données est le signal que le service gère sa capacité, pas qu'il monétise les utilisateurs gratuits par d'autres moyens.

Les signaux de confiance vérifiables

Quatre critères permettent d'évaluer rapidement un service VPN gratuit. Premièrement, l'audit de sécurité indépendant : un service audité par Cure53, SEC Consult ou Trail of Bits avec rapport public complet a fait vérifier ses affirmations par des tiers. Deuxièmement, l'open source du client : un code source publié et révisable est plus difficile à compromettre discrètement qu'un code propriétaire. Troisièmement, le rapport de transparence : un document annuel listant les demandes d'autorités reçues et les données transmises ou non. Quatrièmement, la limite de données : un service gratuit avec limite mensuelle gère sa capacité honnêtement plutôt que de monétiser les données.

Ces critères s'appliquent aux services payants comme gratuits — ils distinguent les services qui ont investi dans la transparence de ceux qui utilisent les affirmations marketing comme substitut. Pour un VPN mobile testé indépendamment avec ces critères appliqués, des comparatifs spécialisés évaluent les services sur ces dimensions vérifiables.

La conclusion pratique : pour un usage mobile courant, un abonnement VPN payant à 3-5€ par mois chez un service audité est préférable à un VPN gratuit dont le modèle économique est opaque. La différence de coût sur un an représente moins que la valeur des données comportementales collectées et revendues par les services gratuits problématiques. Si le budget est la contrainte principale, ProtonVPN Free ou Windscribe avec leur limite mensuelle sont les options gratuites les plus transparentes disponibles sur Android et iOS.

Vérifier les avis sur les stores en cherchant les mentions de publicités intempestives, de ralentissements inexpliqués, ou de comportements réseau inhabituels est un signal d'alerte supplémentaire à considérer avant d'installer un service VPN gratuit.