Examiner un VPN peut être délicat. Il y a beaucoup de choses à considérer, un éventail de facteurs et de fonctionnalités à peser, et chacun a sa propre vision de ce qui est important et de ce qui ne l'est pas vraiment.
En conséquence, les verdicts définitifs sont difficiles à trouver. Peu importe la fréquence ou la précision avec laquelle quelqu'un mesure les vitesses de connexion du Royaume-Uni à l'Allemagne sur un ordinateur portable Windows - cela ne vous dira pas grand-chose si vous êtes intéressé par une connexion d'Australie à New York sur votre mobile Android.
Lire la suite: CyberGhost VPN
Ce que nous pouvons faire, c'est découvrir de nombreux aspects du service et vous en dire plus à leur sujet. Vous n'êtes peut-être pas intéressé par tous ces éléments - peut-être n'utilisez-vous que le même emplacement, par exemple, alors ne vous souciez pas de l'organisation de la liste des serveurs ou de l'existence d'un système de favoris - mais j'espère que nous en couvrirons suffisamment terrain pour vous donner une idée de ce qu'est un fournisseur.
Dans cette fonctionnalité, nous allons expliquer les problèmes clés que nous considérons, comment nous procédons pour les évaluer et les tester, et comment nous décidons finalement qu'un service comme ExpressVPN arrive en tête. Bien que gardez à l'esprit que si les critiques complètes des meilleurs fournisseurs de VPN couvriront tout ce dont nous allons discuter ici, les critiques plus courtes se concentreront simplement sur les points principaux.
Mais il est également intéressant de noter que ce que nous avons présenté ici n'est qu'une fraction de ce qui pourrait potentiellement se produire dans un véritable examen. Si nous sommes curieux de savoir exactement ce que fait une application VPN - peut-être que nous nous demandons si elle pourrait être malveillante, par exemple - nous pourrions exécuter son exécutable devant un scanner de sécurité (essayez Ostorlab), examiner le code d'une extension de navigateur ou utilisez quelque chose comme dnSpy pour décompiler et parcourir un client .NET. Mais alors, entrer dans ce genre de détail exigerait un livre entier pour couvrir correctement!
- Vous voulez juste savoir lequel télécharger? Ce sont les meilleurs fournisseurs de VPN
Collecte de fonctionnalités
Le processus d'évaluation d'un VPN commence sur son site Web, en collectant des détails sur le service et ses fonctionnalités.
La taille du réseau compte, mais pas autant que les fournisseurs le prétendent parfois (tant qu'un VPN a les emplacements dont vous avez besoin, peu importe qu'il y en ait 20 ou 2000 de plus). En plus des chiffres, nous vérifions à quel point les emplacements sont dispersés, s'ils incluent des pays que vous n'obtiendrez pas toujours avec la concurrence ou s'ils laissent des lacunes dans la couverture ailleurs.
Il est tout aussi important de comprendre les services pris en charge par chaque serveur. Prennent-ils tous en charge le P2P, le streaming, OpenVPN et tout le reste proposé par le fournisseur? Ce n'est pas toujours facile à découvrir, mais cela vaut la peine de faire l'effort (cette liste de 300 emplacements peut sembler beaucoup moins impressionnante si vous réalisez que vous ne pouvez utiliser le P2P qu'avec trois d'entre eux).
Un bon VPN devrait offrir des applications VPN de bureau et mobiles personnalisées, car elles constitueront le moyen le plus simple d'utiliser le service. Soyez prudent lorsque vous vérifiez cela sur un site Web. Les fournisseurs vous donneront parfois une longue liste de plates-formes, mais bien que certaines d'entre elles conduisent à des téléchargements, d'autres pourraient simplement vous diriger vers un didacticiel expliquant comment vous pouvez configurer le service manuellement. Suivez chaque lien pour en savoir plus.
L'identification des protocoles VPN pris en charge vous en dit long sur le service. S'il couvre les normes clés - OpenVPN, L2TP / IPSec, IKEv2 - il y a de fortes chances que vous puissiez l'utiliser sur la plupart des appareils et plates-formes (routeurs, consoles de jeux, etc.), même s'ils ne sont pas directement pris en charge par les applications du fournisseur.
Nous prêtons également une attention particulière à tous les détails de la façon dont chaque protocole est mis en œuvre, y compris les spécificités de toutes les méthodes de cryptage et d'authentification qui pourraient être utilisées. Ceux-ci ne sont pas toujours visibles à l'avance, mais il y a généralement des informations cachées dans le site d'assistance.
Le VPN a-t-il des bonus intéressants? Les exemples courants sont le blocage des publicités, des trackers et des URL malveillantes; le propre système DNS du fournisseur; Support d'oignon; le tunneling fractionné, vous permettant de choisir quelles applications utilisent le VPN et celles qui ne le font pas; et peut-être le support Bitcoin pour les paiements, améliorant votre anonymat lorsque vous vous inscrivez.
Vérifier le prix nous aide à comprendre si le service est d'un bon rapport qualité-prix, mais cela ne se résume pas à un seul chiffre. Certains VPN bon marché n'offrent pas leur prix le plus bas sauf si vous vous inscrivez pendant plusieurs années, il est donc important de regarder la gamme de plans et de prix proposés.
Si la collecte de toutes ces données semble être un processus long et fastidieux, vous avez raison; il est en effet. Mais il ne s'agit pas seulement de trouver des chiffres et des listes de fonctionnalités. Le simple fait de rechercher les informations pertinentes vous donnera une bonne idée de ce à quoi ressemble un VPN.
Un fournisseur douteux peut manquer de détails, par exemple, avec un site Web mal organisé, ce qui rend difficile de trouver ce dont vous avez besoin. Les informations peuvent être incohérentes ou obsolètes, et vous verrez parfois un peu de tromperie marketing, comme faire une vitesse irréaliste ou des promesses de déblocage de site Web que vous soupçonnez que l'entreprise ne peut pas tenir.
Mais un fournisseur professionnel aura un site Web bien conçu qui rend toutes les informations les plus importantes visibles dès le départ, avec beaucoup de détails techniques cachés si vous le souhaitez. La survente sera réduite au minimum, et l'honnêteté et la transparence seront probablement à l'ordre du jour.
Intimité
Il est difficile d'évaluer le niveau de confidentialité offert par n'importe quel VPN, car vous comptez sur le fournisseur pour vous dire honnêtement ce qu'il fait et comment le service fonctionne. Pourtant, il y a souvent suffisamment d'informations pour vous orienter dans la bonne direction.
Cela commence par les données techniques que vous avez collectées précédemment sur les protocoles pris en charge, le cryptage et l'authentification. La prise en charge d'OpenVPN est la meilleure, IKEv2 n'est pas loin derrière, L2TP / IPSec est acceptable, mais il vaut mieux éviter complètement le PPTP obsolète et non sécurisé.
Nous pourrions rechercher le cryptage des données AES-256, RSA-2048 ou 4096 pour couvrir l'établissement de liaison et Perfect Forward Secrecy pour générer de nouvelles clés pour chaque session - mais la vérité est que les VPN ne définissent pas toujours complètement ce qu'ils font.
Il est parfois nécessaire de parcourir le site d'assistance pour trouver des indices, ou vous pouvez télécharger des exemples de fichiers de configuration OpenVPN pour vous donner une idée du fonctionnement du service. Si le service a un chat en direct, essayez de demander à quelqu'un; les agents peuvent généralement répondre aux requêtes avant-vente.
Les fonctionnalités de l'application sont essentielles. Les VPN de qualité utiliseront leurs propres serveurs DNS et mettront en œuvre une protection contre les fuites DNS (IPv4 et IPv6) pour réduire le risque que vos activités Internet deviennent visibles pour les autres. Vous voudrez également avoir un kill switch pour bloquer automatiquement l'accès Internet si la connexion VPN tombe.
Attention: ce n'est pas parce qu'un service a un «kill switch» sur une liste de fonctionnalités de site Web que cette fonctionnalité sera disponible sur toutes les plates-formes. Les applications mobiles ont souvent moins de fonctionnalités et de fonctions que leurs frères et sœurs de bureau, par exemple, nous vérifions donc chacune d'elles pour bien comprendre ce qu'elle fait.
Pour confirmer qu'un VPN masque correctement votre adresse IP, connectez-vous à n'importe quel emplacement VPN et pointez votre navigateur sur ipleak.net. Si vous voyez votre véritable adresse IP ou une adresse appartenant à votre FAI, il y a un problème que vous devez approfondir. Les résultats peuvent varier en fonction de la configuration du navigateur, alors répétez cette opération dans chaque navigateur et sur chaque appareil que vous utilisez.
Nous testons les kill switch sur les clients VPN Windows en utilisant un outil personnalisé pour fermer de force notre connexion VPN, puis nous vérifions combien de temps Internet reste accessible et si notre adresse IP externe régulière est visible du monde extérieur.
Pour faire quelque chose de similaire manuellement, utilisez le Gestionnaire des tâches pour fermer le processus OpenVPN.exe et vérifiez si votre accès Internet s'arrête immédiatement, ou s'il y a un délai de quelques secondes, et s'il se reconnecte automatiquement.
Si le coupe-circuit ne semble pas fonctionner, vérifiez les paramètres pour vous assurer qu'il est activé (parfois il est désactivé par défaut). Recherchez des paramètres alternatifs qui pourraient également vous aider. Certains clients incluent une fonction `` recomposer si la connexion tombe '' qui n'est pas aussi efficace, mais qui offrira quand même une certaine protection de l'anonymat.
Enregistrement
Les fournisseurs de VPN, en particulier les services gratuits, sont régulièrement accusés de vendre l'historique de navigation de leurs utilisateurs. La plupart essaieront de riposter, généralement en criant "Pas de journalisation!" sur la première page de leur site Web, mais des années d'expérience en révision nous ont dit que ce n'est pas toujours vrai. C'est pourquoi nous cherchons toujours un peu plus loin.
La politique de confidentialité peut vous en dire long sur un fournisseur, avant même que vous ne la lisiez. 5 000 mots de jargon juridique mal formaté et jargon sont un mauvais signe, tout comme un document de 100 mots qui ne vous dit presque rien. Ce que nous recherchons, c'est un document clairement formaté, bien organisé et lisible qui permet à chacun de trouver les détails clés dont il a besoin.
Ces détails doivent être explicites et couvrir toutes les possibilités de journalisation. Une seule ligne disant `` nous n'enregistrons en aucun cas ce que vous faites en ligne '', par exemple, n'exclut pas la possibilité que le service enregistre les données de session: la date et l'heure de votre connexion, votre adresse IP entrante, l'adresse IP VPN qui vous est attribuée, la date et l'heure de déconnexion et la bande passante que vous utilisez. Ce niveau de détail pourrait être suffisant pour permettre à d'autres personnes de lier une action Internet à votre compte.
Une meilleure politique exclura cette possibilité en expliquant qu'elle n'enregistre pas les heures de connexion ou de déconnexion, les adresses IP entrantes et sortantes, etc.
Les meilleures politiques vous diront également ce qu'elles enregistrent, pourquoi elles le font et ce qu'il advient de ces données. Par exemple, un fournisseur peut dire qu'il enregistre l'heure de la dernière connexion et la bande passante utilisée dans cette session, mais n'enregistre pas les adresses IP entrantes ou sortantes. Cela pourrait expliquer que ces données sont utiles pour aider l'entreprise à surveiller l'utilisation des services et à identifier les comptes inactifs (cela a du sens), mais ne permettent à personne de savoir ce que vous faites en ligne (tout à fait vrai). Et cela pourrait vous dire que si vous n'utilisez plus le service, vous pouvez envoyer un e-mail à l'assistance et ils supprimeront entièrement vos anciennes données de compte.
Il est important de garder cela en perspective. Aussi bien présentée qu'une politique de confidentialité puisse être, rien ne garantit que tout ce qui est dit dans le document est réellement vrai. Tout est basé sur la confiance.
Cependant, la vérification des petits caractères peut parfois mettre en évidence la journalisation qu'un VPN admet a lieu. Et si rien d'autre, cela peut vous donner des indices sur l'honnêteté et l'ouverture d'un fournisseur.
Nous avons déjà trouvé des VPN gratuits douteux qui ont copié et collé la politique de confidentialité de quelqu'un d'autre, changé les noms de sociétés dans le texte et prétendu que c'était le leur, par exemple. C'est paresseux, incompétent et frauduleux, vraiment - plus que suffisant pour vous dire que ce n'est pas un fournisseur que vous devriez utiliser.
Audits de sécurité
Les fournisseurs de VPN savent qu'il y a un manque de confiance dans l'entreprise, mais certains essaient de contrer cela en se soumettant à des audits de sécurité indépendants.
L'idée est qu'un fournisseur invite une équipe d'experts à examiner en profondeur les problèmes de sécurité ou de confidentialité de ses systèmes et à faire rapport avec leurs conclusions.
Tout VPN qui se soumet à ce processus mérite un certain crédit pour avoir le courage d'exposer son fonctionnement interne au monde. Mais tous les audits ne sont pas les mêmes et leur vraie valeur dépend de plusieurs facteurs.
Quelle est la portée de l'audit, par exemple - qu'est-ce que les auditeurs ont essayé d'examiner? S'il s'agit d'un petit aspect du service, comme les extensions de navigateur, cela ne signifiera pas grand-chose. Inspecter la gamme complète des applications est plus utile, et les meilleurs audits iront encore plus loin. L'audit de sécurité de TunnelBear comprend son infrastructure et même le site Web). Alors que NordVPN fait maintenant appel à PricewaterhouseCoopers pour compléter une politique indépendante de sa politique de non-journalisation.
Découvrez également ce que l'audit a été conçu pour faire. Parfois, les audits vérifient simplement que, par exemple, le service respecte les règles de non-journalisation de la politique de confidentialité. C'est bien, mais d'autres vont plus loin, en soumettant peut-être les applications à des tests approfondis pour identifier les bogues et les failles de confidentialité.
Quel niveau d'accès les auditeurs avaient-ils au service? Pouvoir tester une application, c'est bien, mais avoir accès au code source et à de vrais serveurs VPN, c'est bien, bien mieux.
Le rapport final est-il accessible au public dans son intégralité? Idéalement, tout le monde devrait pouvoir le regarder. Certains rapports ne sont disponibles que pour les clients payants - pas si pratique, mais nous pouvons vivre avec cela. Cependant, quelques-uns ne sont pas du tout accessibles au public, ce qui vous oblige à faire confiance au propre résumé du verdict du VPN. (Ce qui est ironique, étant donné que les audits sont censés réduire ce besoin de confiance.)
Enfin, depuis combien de temps la vérification a-t-elle eu lieu? Un VPN de qualité étend et améliore constamment ses systèmes, donc un rapport d'il y a deux ans n'aura pas autant de valeur aujourd'hui. Nous recherchons des fournisseurs qui non seulement soumettent tous leurs services à l'inspection, mais aussi des entreprises qui s'engagent à le faire l'année prochaine également.
Tester la sélection du serveur
Pour bien comprendre le fonctionnement d'un VPN, nous utilisons des outils automatisés pour nous connecter à plusieurs serveurs et tester les aspects clés du service: disponibilité du serveur, emplacement, temps de connexion, latence et vitesses de téléchargement.
Nos outils se connectent à chaque serveur via OpenVPN, et le processus de test commence par le téléchargement des fichiers de configuration du fournisseur VPN. (Si un service nous demande de les générer nous-mêmes, nous spécifions des connexions UDP).
Ces fichiers sont séparés en quatre groupes basés sur l'emplacement (Royaume-Uni, Europe, Amérique du Nord et le reste du monde), que nous décomposons ensuite pour choisir les serveurs qui seront inclus dans nos tests.
Certains tests VPN utilisent des emplacements en grande partie fixes: un à Londres, un à Amsterdam, un autre à New York, etc. C'est bon pour maintenir la cohérence entre les fournisseurs de VPN, mais cela ne permettra pas nécessairement une comparaison équitable.
Par exemple, si SmallVPN.com a un seul emplacement à New York et BigVPN.com en a 10, alors tester un serveur de chaque fournisseur simplifie la vie. Mais il n'y a aucun moyen de savoir si le serveur unique de BigVPN.com représentera avec précision les bons ou les mauvais points du service.
Pour essayer d'avoir une idée plus réaliste des performances d'un VPN, nous testons jusqu'à 30 emplacements au sein d'un groupe, même si cela signifie qu'ils se trouvent tous dans une zone relativement petite (10 serveurs à Londres, par exemple). Dans les tests du monde réel, l'un de ces serveurs peut parfois vous être attribué, nous devons donc tous les essayer nous-mêmes, ne serait-ce que pour voir comment (ou si) ils varient.
S'il y a significativement plus de 30 sites, nous choisissons un sous-ensemble qui représente le mieux la zone géographique du groupe. Le groupe de l'Amérique du Nord comprendra, dans la mesure du possible, des emplacements sur la côte est, le centre de l'Amérique centrale, la côte ouest et au Canada.
Bien sûr, cela signifie que nous pouvons également manquer certains des meilleurs serveurs (ou les plus lents), mais nous pensons que cela suffit pour nous donner une vue représentative des performances de ce groupe.
Lire la suite:
- Vous aimez le streaming? Découvrez les meilleurs VPN Netflix
- Contournez le «grand pare-feu» avec le meilleur VPN pour la Chine…
- Ou consultez notre guide sur l'utilisation de WhatsApp en Chine