VPN vs Tor : qui vous protège vraiment ?

Imaginez que vous envoyez une lettre confidentielle. Vous pouvez la donner à un coursier de confiance qui la met dans une enveloppe scellée et la livre directement — rapide, fiable, mais vous devez vraiment faire confiance à ce coursier. Ou vous pouvez la passer à travers trois intermédiaires différents, chacun sans savoir qui l'a envoyée ni où elle va finalement, mais le processus prend plus de temps. C'est essentiellement la différence entre un VPN et Tor. Ces deux outils visent à vous protéger, mais ils le font de manières fondamentalement différentes, avec des avantages et des compromis distincts. Qu'est-ce qu'un VPN, vraiment ? Un VPN (Virtual Private Network, ou réseau privé virtuel) crée un tunnel chiffré entre votre appareil et un serveur unique, appartenant à une entreprise ou une organisation. Quand vous utilisez un VPN, tout votre trafic Internet — vos requêtes Web, vos messages, vos téléchargements — passe par ce tunnel avant d'atteindre Internet ouvert. Du point de vue de votre fournisseur d'accès Internet (l'ISP), il ne voit plus vos activités détaillées, seulement que vous communiquez avec un serveur VPN. Les sites web que vous visitez voient l'adresse IP du serveur VPN, pas la vôtre. Le compromis fondamental : vous remplacez la confiance envers votre ISP par la confiance envers le fournisseur de VPN. Ce fournisseur *peut* voir votre trafic. Il peut voir quels sites vous visitez, quand vous les visitez, combien de données vous envoyez. Il peut aussi voir votre véritable adresse IP (celle attribuée à votre connexion Internet). C'est pourquoi la politique de confidentialité d'un fournisseur VPN compte énormément — il faut soit croire qu'il ne conserve pas les journaux d'activité, soit accepter que quelqu'un d'autre que votre ISP ait accès à cette vue d'ensemble. Qu'est-ce que Tor, et pourquoi c'est différent ? Tor fonctionne radicalement différemment. Au lieu d'un seul tunnel vers un serveur de confiance, votre trafic traverse trois serveurs relais distincts, appelés des nœuds, choisis aléatoirement dans un réseau décentralisé. Chaque nœud chiffre votre trafic avec une couche supplémentaire, comme des enveloppes imbriquées. Le premier nœud connaît votre adresse IP réelle mais ne sait pas où va votre trafic. Le second nœud ne voit que le premier nœud et le suivant — pas votre adresse IP ni votre destination finale. Le troisième nœud voit votre destination finale (le site web que vous visitez) mais ne sait pas qui vous êtes vraiment. L'avantage crucial : aucun nœud individuel ne peut relier vous à votre destination. Même si un attaquant contrôlait deux des trois nœuds, il ne pourrait pas créer ce lien avec certitude. C'est un modèle de sécurité « sans confiance » — vous ne devez faire confiance à aucun opérateur particulier. Le réseau lui-même vous protège par sa structure. Le compromis : Tor est lent. Chaque couche de chiffrement et chaque saut supplémentaire ajoutent de la latence. Regarder des vidéos ou télécharger de gros fichiers via Tor peut être frustrant. Aussi, Tor ne chiffre que votre trafic d'application — votre DNS (les requêtes qui convertissent les noms de sites en adresses numériques) peut fuir si vous ne configurez pas correctement. Et les sites web détestent Tor : beaucoup le bloquent ou exigent des vérifications CAPTCHA ennuyeuses. Quand utiliser l'un ou l'autre ? Un VPN est utile quand vous voulez que votre ISP ne voie pas vos activités, quand vous voyagez sur un réseau public non sécurisé, ou quand vous voulez que les sites web vous identifient par une adresse IP différente (pour contourner des restrictions géographiques, par exemple). Il est rapide et transparent. Mais c'est adapté seulement si vous acceptez de faire confiance au fournisseur VPN. Tor est conçu pour les situations où l'enjeu est beaucoup plus élevé : les journalistes couvrant des régimes répressifs, les activistes, les lanceurs d'alerte, ou quiconque a besoin que personne ne puisse établir le lien entre lui et le contenu qu'il consulte. Si vous craignez une surveillance ciblée d'un adversaire puissant (un gouvernement, une organisation criminelle), Tor offre une protection que aucun VPN ne peut égaler. Pour les régions où Tor lui-même est censuré ou bloqué, il existe des « ponts » Tor — des relais Tor publics énumérés dans un annuaire secret qui rend plus difficile pour un gouvernement d'identifier et de bloquer tous les points d'entrée. Il existe aussi des « transports enfichables » comme Obfs4, qui déguisent votre trafic Tor en trafic ordinaire pour éviter la détection. La vérité sur les limites Ni l'un ni l'autre n'est une panacée. Un VPN ne chiffre pas votre trafic avant d'atteindre le serveur — le serveur lui-même voit votre contenu en clair. Si vous visitez un site HTTP non chiffré via VPN, le site et le fournisseur de VPN voient vos données. Tor ne protège pas contre un navigateur mal configuré qui fuit votre adresse IP, et les sites web peuvent vous tracer par d'autres méthodes (cookies, empreinte numérique du navigateur) indépendantes du VPN ou de Tor. Résumé Choisir entre VPN et Tor revient à accepter le risque qui vous préoccupe vraiment. Un VPN sacrifie la confiance envers un fournisseur pour gagner de la vitesse et de la commodité. Tor sacrifie la commodité pour éliminer le besoin de faire confiance à une seule entité. Ce ne sont pas des alternatives interchangeables — ce sont des outils pour des menaces différentes. Avant de choisir, demandez-vous : qui craignez-vous vraiment ? Que cherchez-vous à cacher, et de qui ? Les réponses détermineront quel outil, ou peut-être quelle combinaison d'outils, vous convient.