Votre VPN gratuit sur Android offre souvent moins de protection que vous ne le pensez

Un VPN est censé acheminer votre trafic de données via un tunnel crypté afin que ni votre fournisseur d’accès à Internet, ni quiconque espionnant le réseau Wi-Fi ne puisse voir ce que vous faites. Le problème, c’est qu’à partir de ce moment-là, l’application VPN elle-même peut tout voir. Vous ne faites que transférer votre confiance de votre fournisseur d’accès Internet à l’entreprise qui a développé l’application. Une nouvelle étude montre que de nombreux fournisseurs gratuits ne méritent pas cette confiance.
Des chercheurs de l’université du Michigan, de l’université du Nouveau-Mexique et de l’IIT Delhi ont testé 281 applications VPN gratuites disponibles sur le Google Play Store, sur 14 appareils Android. Ils ont présenté les résultats à l’aide de leur cadre de test, MVPNalyzer, lors de la conférence sur la sécurité NDSS ; l’université du Michigan a publié l’étude en juillet. Les applications testées présentant au moins un problème totalisent à elles toutes plus de 2,4 milliards d’installations.
Cinq applications peuvent être piratées via le Wi-Fi
La découverte la plus dangereuse concerne cinq applications qui chargent leur fichier de configuration sans le chiffrer. Ce fichier précise à quel serveur l’application se connecte. S’il circule sur le réseau en texte clair, un attaquant se trouvant sur le même réseau Wi-Fi, tel que l’exploitant d’un point d’accès public, peut le modifier en cours de route et rediriger la connexion vers son propre serveur. L’utilisateur voit s’afficher l’écran familier « Connecté », mais tout son trafic continue d’être acheminé via l’attaquant. Les chercheurs ont reproduit et confirmé cette attaque sur leurs propres appareils. Parmi les cinq fournisseurs signalés, deux ont répondu et se sont engagés à passer au protocole HTTPS ; trois n’ont pas répondu.
Fuites et traceurs, malgré des promesses contraires
29 applications ont laissé le trafic de données s’échapper du tunnel. 24 d’entre elles ont exposé des requêtes DNS, révélant ainsi les sites web visités au réseau local ; ces applications représentent à elles seules environ 360 millions d’installations. Six ont laissé fuir l’intégralité du trafic, et quatre ont exploité des tunnels sans aucun chiffrement.
Le suivi est particulièrement préoccupant, car de nombreuses personnes installent un VPN précisément pour l’empêcher. 76 applications ont transmis l’identifiant publicitaire de l’appareil, que les annonceurs utilisent pour suivre une personne d’une application à l’autre. Plus de 80 %, soit 246 applications, ont contacté des serveurs publicitaires et de suivi connus et ont envoyé des informations telles que le modèle, la version du système d’exploitation et la taille de l’écran. Bien qu’inoffensives prises isolément, ces données forment ensemble une empreinte digitale qui identifie de manière unique un appareil. Une application a même transmis les coordonnées GPS exactes. Le cas de PromptSnatcher a récemment démontré à quel point un logiciel déguisé peut facilement espionner en secret.
Un chiffrement obsolète en arrière-plan
Les chercheurs ont également analysé les fichiers de configuration OpenVPN de 108 applications. Une seule répondait à l’ensemble des exigences de sécurité testées. Environ 89 % ne s’appuyaient que sur une seule méthode d’authentification au lieu de combiner un mot de passe et un certificat. Près d’une sur cinq utilisait un chiffrement faible ou obsolète, notamment les anciens algorithmes Blowfish et Triple DES, connus pour présenter des vulnérabilités. Certaines désactivaient complètement le chiffrement au sein du tunnel. Le point commun est simple : ces applications font l’objet de peu de maintenance, et les contrôles automatisés du Play Store leur permettent de passer entre les mailles du filet. Selon cette étude, le badge « Vérifié » attribué aux applications VPN relève davantage d’un stratagème marketing que d’une véritable garantie de sécurité.
Ce n’est pas un cas isolé
D’autres enquêtes vont dans le même sens. En août 2025, le Citizen Lab et l’université d’État de l’Arizona ont découvert plusieurs applications VPN Android populaires, totalisant à elles toutes plus de 700 millions de téléchargements, qui étaient secrètement connectées les unes aux autres, partageaient des mots de passe codés en dur et collectaient des données de localisation. En octobre 2025, la société de sécurité Zimperium a signalé que trois des quelque 800 VPN gratuits testés utilisaient encore une version d’OpenSSL vulnérable à Heartbleed, une faille qui avait déjà été corrigée en 2014.
Ce que vous pouvez faire vous-même
Les failles les plus graves, à savoir une configuration non chiffrée et des paramètres de tunnel insuffisants, ne sont pas visibles de l’extérieur. C’est précisément là que réside le problème. La meilleure défense ne réside donc pas dans le protocole mis en avant, mais plutôt dans l’identité de ceux qui se cachent derrière l’application. Privilégiez les fournisseurs qui publient un audit de sécurité récent et indépendant. Méfiez-vous des applications gratuites qui vous inondent de publicités. Et considérez les affirmations telles que « vérifié » ou « sans journaux » comme un point de départ, et non comme une preuve. Si vous recherchez la liste complète des applications préoccupantes, vous la trouverez en annexe de l’étude.
Top 10
» Le Top 10 des PC portables multimédia
» Le Top 10 des PC portables de jeu
» Le Top 10 des PC portables de jeu légers
» Le Top 10 des ordinateurs portables bureautiques
» Le Top 10 des PC portables bureautiques premium/professionnels
» Le Top 10 des Stations de travail mobiles
» Le Top 10 des Ultraportables
» Le Top 10 des Ultrabooks
» Le Top 10 des Convertibles
» Le Top 10 des Tablettes
» Le Top 10 des Tablettes Windows
» Le Top 10 des Smartphones
» Le Top 10 des PC Portables á moins de 300 euros
» Le Top 10 des PC Portables á moins de 500 euros
» Le Top 25 des meilleurs écrans d'ordinateurs






