Avec des débuts timides en juillet 2020 aux États-Unis, au Royaume-Uni, au Canada et en Nouvelle-Zélande, Mozilla VPN a depuis étendu sa disponibilité à la France à d’autres pays. Cependant, suite à une campagne publicitaire controversée qui a suscité une vive critique de la part des utilisateurs du navigateur Firefox, Mozilla VPN est à la dérive. On fait le point sur ce réseau privé virtuel.

Mozilla VPN c’est quoi ?

Mozilla VPN©

Il est parfois difficile de s’y retrouver au milieu des offres de réseau privé virtuel liées à des navigateurs. En effet, on distingue deux types de VPN, les extensions de navigateurs telles que Mozilla Firefox Private Network et celles proposées par différents fournisseurs et une application VPN à part qui s’installe indépendamment et chiffre l’intégralité de votre trafic Internet peu importe ce que vous utilisez pour naviguez.

Le navigateur le plus connu proposant un VPN gratuit est Opera. S’apparentant d’avantage à un proxy, le VPN Opera ne couvre malheureusement pas tous les besoins des utilisateurs et sa politique en ce qui concerne les données demeure, à ce jour, encore assez floue. Dans le cas de Mozilla VPN, c’est bel et bien un produit à part entière.

Salué pour ses nombreux efforts en matière de vie privée, Firefox, le navigateur Open Source de la fondation Mozilla est déjà doté de nombreuses fonctionnalités visant à améliorer la confidentialité et la sécurité en ligne.

Dans la même veine et avec la même philosophie, Mozilla VPN est également Open Source, son code est consultable et disponible sur Github.

Dans quels pays Mozilla VPN est-il disponible ?

Le déploiement est plutôt lent depuis sa sortie. En effet, Mozilla VPN est disponible en Autriche, Belgique, Canada, Finlande, France, Allemagne, Irlande, Italie, Malaisie, Pays-Bas, Nouvelle-Zélande, Singapour, Espagne, Suède, Suisse, Royaume-Uni et États-Unis.

Que propose Mozilla VPN ?

Totalement indépendant du navigateur, Mozilla VPN propose des applications pour Windows 10 (64 bits uniquement), macOS (10.14 et plus), iOS (13.0 et plus), Android (version 8 et plus) et Linux (Ubuntu 18.04 et versions ultérieures). Les grands oubliés sont les smartTV/boitiers IPTV, les routeurs, pas d’APK disponible non plus.

Ce nouveau VPN s’appuie sur le réseau de serveurs de Mullvad, un VPN Open Source suédois. Le parc se compose de 500 serveurs répartis dans plus de 30 pays. Mozilla VPN est dans la norme et utilise le chiffrement de haut niveau AES-256.

Le VPN de la fondation a tout misé sur la vitesse et opère uniquement avec WireGuard®*. En effet, ce protocole Open Source se distingue avec sa toute petite base de code. Elle comprend environ 4 000 lignes. Cela présente l’avantage de le rendre moins exposé aux attaques, d’être plus rapidement audité et d’être très rapide. Bien que toujours en cours de développement, WireGuard® se destine à terme essentiellement aux utilisateurs de VPN mobiles. En effet, si l’appareil connecté change d’interface réseau, la connexion restera tant que le client continuera à envoyer des données authentifiées au serveur.

Wireguard® n’est malheureusement pas sans défaut et bien que certains fournisseurs de VPN tel que NordVPN avec NordLynx ont parfaitement réussi à l’intégrer, certains opérateurs comme ExpressVPN se sont montrés plus frileux et ont opté pour des conceptions maison.

La raison en est simple. Par défaut, WireGuard® enregistre les adresses IP connectées sur le serveur. Elles sont sauvegardées indéfiniment, ou jusqu’à ce que le serveur soit redémarré. La question de la conservation des logs est une des principales préoccupations. Précisons également qu’au départ, ce protocole n’a pas été conçu pour assurer une navigation anonyme, mais pour sécuriser rapidement un réseau.

La présence d’Open VPN aurait vraiment été bienvenue.

Fonctionnalités de Mozilla VPN

Il y en a malheureusement assez peu.

Mozilla VPN propose sur toutes ses applications un Kill Switch. C’est un système de sécurité qui coupe automatiquement la connexion internet au cas où la liaison VPN serait défaillante. Cela permet d’éviter les fuites de données et d’être informé si le VPN n’est plus actif.

D’après le retour de nombreux internautes via Google Play Store la connexion n’est pas toujours très stable. Il est difficile, à ce jour, de déterminer si les serveurs sont souvent saturés ou si c’est le Kill Switch qui est un peu zélé.

Le split tunneling est également disponible (mais uniquement sous Android), il permet de créer une liste blanche pour les sites et applications qui ne passent pas par le RPV.

Mozilla VPN ne propose rien en protection contre l’analyse des paquets de données en profondeur. En effet, il n’y a pas de mode camouflage. Cela signifie que votre VPN sera régulièrement détecté par de très nombreux sites y compris les plates-formes de streaming. En termes simples, n’espérez pas accéder systématiquement à la bibliothèque de Netflix US avec Mozilla VPN.

Sur le papier, le VPN de la fondation autorise jusqu’à 5 appareils en simultané. En réalité, c’est un peu plus compliqué que cela. En effet, chaque appareil devra être enregistré et visible sur votre compte. Pour en insérer un nouveau (au delà de 5), vous devrez en supprimer 1 et en créer un autre.

Ce procédé est extrêmement rare et particulièrement surprenant quand on sait que la plupart des VPN pour plusieurs appareils n’exigent pas d’enregistrement particulier. Le téléchargement et l’installation des applications sont illimités. L’application vous rappellera simplement à l’ordre si vous dépassez le nombre autorisé de connexion au VPN.

Mozilla VPN est-il un VPN sans log ?

Tout comme Opera VPN, la question de la politique de confidentialité chez Mozilla VPN est sujet à beaucoup d’interrogations. S’il est annoncé sur le site officiel que ce nouveau fournisseur de réseau privé virtuel sécurise les données de ses utilisateurs. Un certain nombre d’informations sont toutefois collectées à la création d’un compte Mozilla, votre adresse e-mail, langue, adresse IP, configuration matérielle et OS, mais pas seulement.

La liste des données collectées demeure assez floue. Vous pouvez en consulter une partie dans la politique de confidentialité du VPN Mozilla.

Comme déjà évoqué, le réseau de serveurs sur lequel repose Mozilla VPN s’appuie intégralement sur Mullvad. Bien que fiable et transparent, cette société constitue, a elle seule, un fournisseur tiers.

Certaines rumeurs indiqueraient un prochain audit de sécurité indépendant pour Mozilla VPN.

Quel est le prix de Mozilla VPN ?

Au vue des services proposés et du peu d’applications disponibles, il est cher. Le prix d’un VPN haut de gamme est clairement plus interressant.

Capture d’écran des prix de Mozilla VPN

Son offre s’articule autour de 3 options de durées.

• Il faut compter 9,99 € pour 1 mois sans engagement.
• L’abonnement prépayé de 6 mois est à 41,94 € soit 6,99 € le mois.
• Pour une durée d’1 an, l’abonnement est facturé 59,88 € soit 4,99€ le mois.

Les tarifs pratiqués, par rapports aux options proposées, sont assez élévés. A titre de comparaison, l’abonnement d’une durée de 6 mois chez CyberGhost est à 32,34 € soit 5,39 € le mois. Pour ce montant, vous avez accès à un parc de plus de 7200 serveurs, des installations et des téléchargements illimités de toutes leurs applications (SmartTV et routeurs compris), 7 connexions simultanées sans avoir a enregistrer vos appareils, un large choix de protocole, les extensions VPN pour navigateurs, etc.

Il existe beaucoup mieux pour moins cher !

Les tarifs pratiqués, par rapports aux options proposées, sont assez élévés. A titre de comparaison, l’abonnement d’une durée de 2 ans + 3 mois offerts chez CyberGhost est à 56,97 € soit 2,11 € le mois. Pour ce montant, vous avez accès à un parc de plus de 9000 serveurs, des installations et des téléchargements illimités de toutes leurs applications (SmartTV et routeurs compris), 7 connexions simultanées sans avoir a enregistrer vos appareils, un large choix de protocole, les extensions VPN pour navigateurs, etc. En plus d’être bien meilleur, CyberGhost est un VPN pas cher en comparaison de ce que propose Mozilla VPN. De plus, vous avez 45 jours d’essai gratuit.

Mozilla VPN : Avis

La déception est à la hauteur de la longue attente et des annonces. En effet, loin de proposer un produit complet et abouti, Mozilla VPN a encore beaucoup de choses à améliorer. Au regard des exigences actuelles du marché, Mozilla VPN est à la ramasse.

Au regard de ce que propose le meilleur VPN en place depuis plusieurs années, le réseau privé virtuel de Mozilla fait vraiment pale figure au niveau des performances et surtout du prix. Avec leur expérience, on aurait pu imaginer bien plus de fonctionnalités et d’innovations.

* WireGuard est une marque déposée de Jason A. Donenfeld.

On l’avait dans le collimateur, ça n’a pas loupé ! L’un des services VPN gratuits les plus populaires sur le Google Play Store, SuperVPN, est accusé d’avoir divulgué en ligne plus de 360 millions de données utilisateur.

La fuite a exposé un total de 360 308 817 enregistrements, d’une taille de 133 GB. Ces enregistrements contenaient des informations sensibles, y compris les adresses e-mail des utilisateurs, les adresses IP originales, la géolocalisation et les enregistrements des serveurs utilisés. De plus, les enregistrements contenaient également ce qui semblait être des numéros d’ID d’utilisateur d’application uniques et des numéros UUID (un identifiant universellement unique est une chaîne alphanumérique de 36 caractères qui peut être utilisée pour identifier d’autres informations).

Parmi les autres informations contenues dans les enregistrements figuraient le modèle de téléphone ou d’appareil, le système d’exploitation, le type de connexion Internet, ainsi que les liens des sites visités par les utilisateurs et la version de l’application VPN. Des demandes de remboursement d’utilisateurs qui avaient soit acheté le produit, soit été facturés, ont également été exposées.

Non seulement cette fuite entache la réputation des VPN sans log dans son ensemble mais cela soulève des préoccupations majeures pour la sécurité en ligne, en particulier pour ceux qui dépendent des réseaux privés virtuels pour la confidentialité de leurs données ou pour contourner la censure. Cet incident devrait servir d’alarme pour les utilisateurs sur la nécessité de choisir un service VPN digne de confiance.

Le chercheur en cybersécurité Jeremiah Fowler a découvert une base de données publiquement exposée associée à l’application SuperVPN, contenant 133 GB de données, y compris des informations personnelles d’utilisateurs telles que la localisation IP, les serveurs utilisés, les numéros d’ID d’utilisateur d’application uniques ainsi que des détails sur les activités en ligne des utilisateurs, le modèle de l’appareil, le système d’exploitation et les demandes de remboursement.

SuperVPN semble être lié à des développeurs distincts sur les deux différentes boutiques d’applications malgré le fait qu’il porte exactement le même nom et deux logos très similaires. Pour rappel, SuperVPN ne dispose pas vraiment de site officiel et sa politique de confidentialité est floue. Toutes les indications pointent vers la société Qingdao Leyou Hudong Network Technology Co. comme propriétaire de la base de données publique exposant les données des utilisateurs de SuperVPN.

Voilà à quoi semble se résumer SuperVPN quand on cherche un peu en dehors des stores.

Ni cette entreprise ni SuperSoft Tech, le développeur crédité sur Google Play, n’ont répondu à aucune demande de commentaires ou fourni d’information sur leur propriété et leur emplacement sur leurs sites web, ce qui soulève des « préoccupations quant à la transparence et à la sécurité de ces services VPN gratuits », selon Fowler. De plus, SuperVPN ne communique pas, voir jamais même pour promouvoir son service.

Pourtant, ce n’est pas la première fois que SuperVPN soulève des alarmes parmi les experts en cybersécurité. Déjà en 2020, il avait été expressément demandé aux utilisateurs de supprimer ce VPN gratuit Android, car il mettait en danger des millions d’utilisateurs. En effet, le journaliste spécialisé en sécurité Zak Doffman a signalé à Forbes un problème concernant SuperVPN : « Le problème était une faille de sécurité qu’un développeur chinois n’avait cessé de négliger – une faille qui exposait les utilisateurs à des attaques critiques de type homme du mileu. Ce risque a depuis été atténué. Mais pour ceux qui ont installé l’application – SuperVPN – sur leurs téléphones, vous devriez la supprimer immédiatement. » – Citation de l’article.

Déjà en 2016, SuperVPN a également été identifié comme dangereux, lorsqu’un chercheur australien a détecté que l’application contenait des malwares.

Plus troublant encore, les mêmes adresses e-mail de support client de Super VPN étaient également liées à Storm VPN, Luna VPN, Radar VPN, Rocket VPN et Ghost VPN (à ne pas confondre avec CyberGhost VPN). De plus, des références à ces noms de fournisseurs de VPN ont été trouvées dans la base de données. À ce stade, il n’est pas possible de déterminer si ces VPN appartiennent à la même entreprise, mais on peut supposer qu’ils sont d’une certaine manière reliés. Rappelons également que les conditions d’utilisation de cette application VPN sont particlièrement abusives puisque qu’elles permettent au VPN d’accéder aux fichiers personnels, au repertoire d’images et autres informations de l’appareil.

SuperVPN sur Google Play Store

En conclusion, si vous cherchez un VPN gratuit Iphone ou Android, il est important d’adopter une approche vigilante et éclairée. Recherchez toujours une politique claire de non-collecte de données pour vous assurer que le fournisseur ne peut pas recueillir et vendre vos informations personnelles à des tiers. Lisez les conditions d’utilisation !

Assurez-vous également que le service n’est pas lié à des pays connus pour leurs activités de surveillance ou de censure, pour préserver au mieux votre anonymat et votre liberté en ligne.

Optez pour des services offrant des fonctionnalités de sécurité de base, comme la protection contre les fuites DNS et le chiffrement AES 256-bit, afin de garantir l’intégrité et la confidentialité de vos données en transit. De plus, prêtez attention au modèle économique du fournisseur : un service gratuit peut souvent signifier que vous payez en réalité avec vos données.

Enfin, ne négligez pas l’importance d’un site officiel clair et bien conçu, avec une politique de confidentialité facilement accessible et compréhensible. Cela ne fait pas tout, c’est vrai, mais c’est un gage de sérieux de la part du fournisseur de VPN dans le cas de SuperVPN, il n’y a rien à disposition. Comprenez ceci, s’il vous faut retourner Internet pour connaître la société qui développe le VPN que vous avez choisi, c’est qu’il y a un problème.

Restez vigilants, restez informés, et faites preuve de discernement dans le choix de votre fournisseur de services de VPN. Votre vie privée en dépend.