Résumé de la situation

Ayant installé Mullvad sur plusieurs de mes ordis, j’ai constaté qu’il bloquait d’une part l’accès au Web sans le VPN (= si je voulais utiliser mon navigateur, il fallait que le VPN ne soit pas désactivé) et qu’il bloquait en outre l’accès à mon réseau domestique (donc plus moyen d’utiliser mes disques durs en réseau). Autrement dit, le VPN contrôlait entièrement mon activité réseau interne et externe. Cela s’était déjà produit, mais de façon bien moins tranchée, avec AirVPN : il était simplement difficile d’utiliser conjointement une connexion normale et une connexion sécurisée (et je n’avais pas renouvelé l’abonnement pour cette raison). Avec Mullvad, après constat d’impuissance de la part de leur hotline, je n’ai pas eu d’autre solution que de supprimer leur client VPN sur mon poste principal, qui est sous W7Pro x64. La relation de cause à effet ne fait pas de doute : dès la désinstallation complète (avec RevoUninstallerPro), j’ai retrouvé instantanément mes connexions. Mais comme je trouvais leur client Linux GUI particulièrement pratique, j’ai gardé Mullvad sur mes appareils Ubuntu et Mint… où je constate le souci, sauf que je continue à avoir accès au réseau domestique. Donc, jusqu’à la fin de mon abonnement (limité à 3 mois, car il ne faut jamais s’engager sur longue durée avant test prolongé), je n’accéderai au Web qu’avec le VPN sur ces appareils.
Et pourquoi pas ? Simplement, je ne peux pas accepter cela sur mon poste principal, car il y a bien sûr de nombreux sites où je dois m’identifier avec ma véritable IP : c’est amusant de se connecter sur le site d’Amazon.fr, où, malgré mon refus de la géolocalisation (et tous les paramétrages que j’ai effectués pour l’interdire), il continue à m’indiquer mon adresse de livraison si je navigue avec mon navigateur habituel, et de constater que, grâce au VPN, il me situe aux Pays-Bas ou en Norvège, mais passé le moment de ricanement, il faut quand même que je m’identifie réellement si je veux passer commande ! Et c’est évidement encore plus nécessaire si je veux payer avec Paypal, aller sur mon compte bancaire, payer mes impôts, etc.

Et puis de toutes façons, c’est plus qu’agaçant de ne plus avoir le contrôle sur sa vie en ligne.

Je précise que je n’ai pas eu du tout ces problèmes avec ExpressVPN, ni sur mes bécanes Windows, ni sur celles sous Linux. Et que si je n’ai pas gardé ExpressVPN, qui est une excellente solution surtout sous Windows (sous Linux, leur client GUI n’est pas parfait, et il vaut mieux être familier avec la ligne de commande), c’est parce que :

1. j’aime bien tester ;
2. leurs conditions de confidentialité ne sont pas parfaites (mais elles suffisent en fait).

J’ai pris un abonnement de 3 mois chez IbVPN, un prestataire roumain, qui présente plusieurs avantages du point de vue de mon article sur la confidentialité des VPN : en-dehors des “14 Yeux”, soumis à la législation européenne ou presque (moins scrupuleusement que les prestataires suisses, c’est sûr), on peut s’abonner sans lâcher d’informations identifiantes : j’ai fourni un mail anonyme (voir article Messageries confidentielles), et j’ai payé avec Néosurf. J’ai enfin téléchargé leur application sous Mullvad + TOR.

Suis-je ainsi anonyme ? mais non ! pour l’être, il faudrait faire des efforts qui dépassent mes préoccupations, comme installer leur appli sous Tails dans un endroit avec hotspot public. Donc en fait, en lançant leur VPN depuis chez moi, ils ont immédiatement mon IP réelle, et peu importe en conséquence que j’ai brouillé mon fingerprint (pour éviter d’être unique). A priori, si l’on en croit ce qu’ils affirment sur leur site, il ne devrait pas être possible de lier mon identité (limitée à l’IP) et mon activité sous VPN. Mais j’ai comme un doute, et c’est bien ainsi, puisque comme tout le monde je m’inquiète de la montée en puissance de la cybercriminalité, du cyberterrorisme et de la cyberguerre.

Avec mes précédents VPN, j’installais le client VPN sur mon système hôte, pour en profiter également sur une machine virtuelle (je dirai VM, et non MV, puisque j’utilise l’acronyme VPN et non RPV !). En effet, d’une part je n’ai jamais souhaité installer le VPN sur ma box, ce qui est pourtant facile avec ma Freebox, et d’autre part, je n’ai jamais voulu non plus le limiter au navigateur, via les extensions que les bons fournisseurs de VPN proposent en général ; pour pouvoir ainsi protéger, sur mon (ou mes) poste, l’ensemble de mes connexions Internet (notamment la messagerie, mais aussi le FTP…). Et bien sûr, à partir du moment où le poste est sous VPN, la ou les VM en profitent aussi. C’est très utile, pour éviter notamment les risques d’infection ou de compromission liés aux sites louches ou aux téléchargements “gratuits”, avec un triple contrôle antiviral : celui du VPN, celui du poste principal, et celui de la VM (il n’est pas recommandé d’installer plus d’un AV sur son système, mais avec la VM, on a deux systèmes indépendants).

Malheureusement, peu de fournisseurs de VPN se préoccupent de split-tunelling, ce qui est quand même un gros souci.

Alors j’ai décidé d’installer mon nouveau client VPN sur VM, et non sur le système hôte, pour voir ce que ça donnait.

Installation du VPN sur sa machine virtuelle

Ma foi, rien de plus simple ! En tous cas, si la VM est en Windows (je n’ai pas eu l’occasion de tester avec une VM sous Linux).

J’étais un peu inquiet, parce qu’on ne trouve pas vraiment de tutos sur cette question. Voilà tout ce que j’ai trouvé :

• https://greycoder.com/using-a-vpn-inside-a-virtual-machine-for-extra-anonyminity/
• https://it.megocollector.com/tips-and-tricks/use-your-vpn-connection-in-a-linux-centos-virtualbox-instance/
• https://torguard.net/blog/how-to-setup-a-virtual-machine-vpn/
• https://chrtophe.developpez.com/tutoriels/gestion-reseau-machine-virtuelle/#L4-1-1 : L’article de Christophe (de Développez.net) est en fait beaucoup plus général, et sert à comprendre la problématique sans fournir de mode d’emploi.

Mais il n’y a pas vraiment besoin de mode d’emploi. Installer le client VPN n’est pas différent sur sa machine virtuelle que sur son OS principal. Ce n’est pas cela qui m’inquiétait, mais qu’est-ce qui allait se passer au niveau de la gestion du réseau sur mon poste.
Hé bien, exactement ce que j’espérais : une connexion VPN limitée à la VM.

Lors de l’installation du client VPN, une pop-up demande : “Voulez-vous installer Tap-Windows Provider V9 Cartes réseau?” (c’est la carte réseau virtuel qui encapsule le trafic réseau avant de le transmettre à la carte réseau du poste, et qui est liée à OpenVPN). Je clique sur “oui”, naturellement. Un autre avertissement apparaît, qui me dit qu’il faut alors installer Microsoft Visual C++ 2010 x64, ce que j’accepte aussi (ce message n’apparaît que s’il n’est pas déjà installé). On me demande enfin quel réseau je veux utiliser pour ma connexion VPN, je choisis “réseau public”, de façon à ne pas choisir mon réseau “domestique”, même si dans ma VM il n’est pas autorisé à communiquer avec mes autres ordis.

Et le processus se termine rapidement, avec l’apparition du client VPN sur le bureau, permettant de faire les réglages, de choisir la localisation souhaitée, et d’activer le VPN.

Avec IbVPN, le client s’affiche sur le bureau, mais avec d’autres offres VPN, il peut apparaître sous forme d’icône dans la barre des tâches.

Ce qui me satisfait dans cette procédure est ceci

Ma carte réseau, sur mon poste principal hôte en Windows 7 x64 :

La config est celle d’une absence de VPN.

Et sur ma machine virtuelle (Virtualbox) du même appareil, sous Windows 7 aussi, ma carte réseau est celle-ci :

Si je lance mon navigateur avec cette config, il est “non protégé” et l’IP est celle de mon poste hôte, ma véritable IP. Si je lance IbVPN, j’aurai sur le réseau l’IP correspondant à la localisation du serveur choisi.

Le VPN est maintenant lancé, et les connexions réseau passeront par lui. Je ne sais pas pourquoi on trouve ce Tap-Windows Adapter #2, dont je vais faire le ménage.

D’accord ! je n’utilise le VPN qu’en machine virtuelle. Mais ça me convient pour l’instant. C’est surtout quand j’utilise ma VM que la “prudence sur les réseaux” s’impose…

La quasi-totalité des messageries réclament pour s’inscrire une adresse mail valide, ou/et un numéro de téléphone, pour pouvoir vous envoyer vos codes personnels… et pouvoir vous identifier et vous tracer ! Parfois elles vous font remplir un formulaire pour établir votre profil, et ces informations sont recoupées avec d’autres captées à votre insu, dans la mesure où vous n’avez pas pris de précautions en surfant depuis chez vous et en communiquant avec une autre messagerie active, de telle sorte que tout investigateur sait précisément qui vous êtes et ce que vous faites. En outre, la plupart des messageries privées sont payantes, sans être forcément chères, mais cela oblige quand même à fournir vos identifiants bancaires !
Autrement dit, vous êtes tout nu.

Mais si vous voulez créer un compte mail réellement confidentiel, c’est forcément pour un usage restreint : car vous ne risquez pas de passer longtemps inaperçu si vous échangez des mails avec ce compte spécial ! Donc on n’est pas dans la perspective adoptée pour mon vieil article sur les messageries alternatives, qui visent un usage courant.

Et ce n’est pas du tout facile, comme l’explique remarquablement cet article du VPN Le VPN.

En voici quelques-unes, qui répondent plus ou moins à cette exigence.

Messageries confidentielles que j’ai testées

ProtonMail

Avec cette messagerie suisse très sécurisée (cryptage end-to-end), on peut ouvrir un compte gratuit sans fournir d’informations personnelles. Ce compte gratuit pour 1 utilisateur n’ouvre droit qu’à 1 alias, 500 Mo de stockage, 150 messages/jour. Ce n’est déjà pas si mal.
Veillez quand même lire cet article de Developpez.net (et les commentaires) si vous êtes très préoccupé par votre anonymat ! Alors j’ai été intéressé d’apprendre qu’on pouvait s’inscrire et accéder à la messagerie sous TOR, à cette adresse , mais pour avoir essayé ça n’apporte pas plus d’anonymat, puisqu’il faut fournir un numéro de téléphone (pour un SMS de contrôle), ou un email valide… ou faire un don avec sa carte bleue ! Mêmes limitations si l’on utilise un VPN. En fait, Protonmail veut absolument connaître votre identité, pour ses besoins de sécurité (lutte contre fraudes, attaques…), et pour répondre aux requêtes judiciaires (suisses, mais…). Alors il ne demande rien en laissant croire que vous êtes anonyme, quand vous vous connectez de chez vous avec votre IP et votre fingerprint… Et le compte payant ne propose pas mieux que les bitcoins en matière d’anonymat.

Tutanota

Domiciliée en Allemagne, cette puissante messagerie propose en gratuit, 1 Go de stockage, pour 1 utilisateur. Pas d’informations personnelles à fournir pour s’inscrire, captcha intelligente (pas celle de Google, quoi !), pas d’enregistrement du mot de passe. On peut y accéder par TOR (et sans doute VPN).  Parfait pour le compte gratuit, mais pour l’abonnement payant (1€/mois), il faut fournir CB ou paypal. Par ailleurs, on n’est pas totalement dans le “no logs” : des données d’identification sont conservées, y compris pour répondre aux requêtes judiciaires allemandes.
Question sécurité, chiffrement de haut niveau de bout en bout, qui n’utilise pas PGP et S/MIMe, qui commencent à poser problème selon eux. Le mot de passe, qui permet d’accéder au compte et qui sert au processus de chiffrement des données (emails et contacts, ainsi que objet, contenu et PJ) n’est pas transféré sur le serveur : pour éviter que l’oubli du mot de passe ne bloque définitement l’accès au compte, un code de récupération est généré au moment de l’inscription (que seul le client peut connaître, parait-il). Par contre les métadonnées que sont l’expéditeur, le destinataire et la date de l’email sont en clair, pour l’instant. La FAQ en français est très explicite sur les questions de confidentialité et de sécurité. Les mails que l’on supprime ne sont plus récupérables. Le compte gratuit est supprimé automatiquement s’il n’est pas utilisé pendant 6 mois.

Mailfence

Messagerie belge engagée dans la défense de la liberté numérique. Propose un compte gratuit avec 500 Mo d’emails, 500 Mo de documents, 1000 événements/calendrier, et même un support email. Il faut fournir un email valide, mais la liste de mon article est là pour vous aider 😉 . Il est possible de s’inscrire sous VPN (et je suppose sous TOR).
Là aussi, on a du chiffrement de bout en bout avec OpenPGP, signature électronique, authentification à deux facteurs… Les serveurs sont en Belgique sous leur contrôle direct, ne répondant qu’à des requêtes judiciaires belges strictes. Les comptes bénéficient d’une protection forte, explicitée dans leur modèle de menace. Ils proposent de nombreux services mais Il faut éviter leur client mail (IMAP/POP, SMTP, agenda et la connexion avec smartphone, et se limiter évidemment à leur offre webmail pour bénéficier du chiffrement de bout en bout ! Mais ça ne concerne de toutes façons que les comptes payants.

Mailbox

C’est une société allemande. Mailbox appartenait au départ à Dropbox, qui l’a fermé en fév. 2016. La page d’accueil est en anglais ou allemand, mais le français est disponible sur le reste du site.
Pas d’ email valide à fournir. Pas d’offre gratuite, mais à 1€/mois, qu’on peut payer en liquide, par la poste jusqu’à Berlin. En espérant qu’elle ne se perde pas, il faudra quand même patienter une bonne semaine. Ici comme dans pas mal de messageries de ce genre, il faut montrer qu’on n’est pas un robot, avec l’horrible système de reCaptcha de Google.
On a une période d’essai gratuite de 30 jours, avec un compte limité à 10 mails en envoi par jour, un espace limité à 100 Mo pour les mails, création d’un seul alias : C’est quand même étriqué. Sans passage à un compte payant, le compte est supprimé automatiquement au bout des 30 jours.

MSGsafe.io

La messagerie est fournie par Trustcor Systems, qui est une autorité de certification, immatriculée au Panama (avec serveur à Curaçao). On peut s’inscrire sous TOR ou VPN, et créer un compte gratuit, sans fournir d’email valide ni autres informations personnelles. On bénéficie d’1 Go de stockage, de 10 identités, et on peut envoyer 25 emails par jour. L’abonnement n’est pas limité dans le temps.
C’est une messagerie chiffrée de bout en bout, avec protection des métadonnées des messages, et l’on peut chiffrer le contenu avec GPG, et autres moyens de certification Webtrust. On peut se créer chez eux un domaine Web. Parmi divers services, on peut créer de multiples comptes.
C’est la messagerie la plus confidentielle de la liste, je crois bien.

Disroot.org

Cette association militante pour la liberté d’internet est située aux Pays-Bas. On peut s’inscrire sous TOR et VPN, mais ce n’est pas simple, à cause de leur formulaire old school. Ils ont remplacé le recaptcha de Google par une petite dissertation sur la nourriture, en évitant pour nous français les accents et caractères spéciaux. Il faut fournir un email valide, moi j’ai fourni celui d’une messagerie sans identifiants. Mauvaise blague : à la fin de l’inscription, et celle-ci validée en ayant fourni le code repêché sur sa messagerie chiffrée, j’ai dû recommencer à zéro. C’était peut-être un test ?! 😉 On n’est pas inscrit tout de suite, il faut attendre leur décision quelques jours. Et moi, j’ai été recalé : ma dissert’ ne leur a pas plu (militants, je vous dis !).
On peut bénéficier d’un compte gratuit, soit webmail soit client IMAP, mais j’ai expliqué pour Mailfence qu’il faut éviter cette solution qui ne permet pas la confidentialité.  On peut synchroniser avec Nextcloud, et une panoplie d’apps libres/open source est proposée. Mais là encore, cela compromet l’anonymat.

Posteo

Encore une société allemande, qui s’est fait remarquer en 2014 en refusant de coopérer avec la police. Aucune information confidentielle n’est demandée, ni même un email valide. Mais pas de compte gratuit : c’est 1€/mois, ce qui pose le problème de l’anonymat. Leur solution ? On peut désormais payer en liquide, là aussi avec une adresse postale à Berlin, mais c’est long à finaliser (12 jours pour moi). Sinon on paye en CB ou paypal, mais leurs CGU expliiquent que le lien entre banque et compte est supprimé à la fin de l’inscription. La seule trace reste donc le paiement bancaire, sans pouvoir le lier au compte Email (dixit). Il n’y a aucune conservation de données.
Son email principal utilise le domaine Posteo.de, on peut ensuite créer des alias avec Posteo.eu, Posteo.net, Posteo.ch etc… l’IP est anonymisée dans le header des emails. Le login se fait avec le username du mail, choisir donc un pseudo, puis créer un ou des alias avec lesquels communiquer (pour que personne ne connaisse votre login d’accès au site). FAQ en français, très détaillée et claire. C’est, avec Tutanota, ma solution préférée.

Mailden

Messagerie française sécurisée, assez chère (30 €/an). J’ai bien aimé la sobriété des informations utiles du site, qui expliquent comment et par qui le service a été créé, sur quelles bases il fonctionne, la FAQ , même si celle-ci est parfois prétentieuse (c’est la messagerie la plus sécurisée naturellement !). L’initiative est soutenue par Framasoft.
Pas de compte gratuit, paiement non anonyme (CB, Paypal, Bitcoin), serveur en France (OVH) et juridiction française (tribunal de Paris). La confidentialité repose donc sur le fait que l’accès au compte n’est possible que par le détenteur du compte, par contre un certain nombre d’infos personnelles et de métadonnées sont conservées, pour un “usage technique” (SIC).

Autres messageries anonymisantes

Confidesk

Messagerie suisse, mais enregistrée au Royaume-Uni (Kronolab Limited). Site entièrement en anglais. Il faut fournir une email valide ; mais pas que : je n’ai pas réussi à m’inscrire, malgré fourniture d’un email (de la liste ci-dessus), depuis TOR.

mail.fr

Puissante messagerie, issue de la société allemande mail.de. Elle offre une messagerie gratuite limitée, et une messagerie payante peu chère que l’on peut payer par passafecard, donc anonymement. Mais pas moyen de préserver pour autant son anonymat (sauf à essayer depuis une hotspot ?) : TOR et VPN ne marchent pas, et il faut fournir une adresse valide.

Soverin

Société sous juridiction néerlandaise, qui a une belle formule concernant ce que devrait être un bon email : “Plutôt une enveloppe scellée qu’une carte postale”. Compte à partir de 3,25 €/mois, avec domaine personnel, page web personnelle, messages illimités, 25 Go de stockage. Il faut fournir un numéro de téléphone, et le mode de paiement le plus anonyme est le bitcoin (donc on est parfaitement repérable). Le site nous montre son (bon) warrant canary, mais j’aurais préféré des indications sur son usage des logs et autres journaux face aux autorités.

Un peu à part :

Mailpile

C’est un programme open source à installer sur son ordi, et qui interagit avec le site. Intéressant mais pas pour l’usage prévu ici.

OnionMail

est accessible par TOR et surtout Tails, et il vaut mieux être déjà à l’aise avec les oignons !

En plus, Je n’ai pas testé :

• startmail (cf. startpage) trop cher,
• infomaniak, qui est surtout un hébergeur,
• Runbox, une messagerie norvégienne et chère,
• Kolab Now, suisse et payant, peu porté sur l’anonymat,
• RiseUp et Autistici, qui sont plutôt des communautés activistes, forcément très surveillés,
• Vivaldi La messagerie dépend du navigateur et de sa communauté.
• Je ne parle pas non plus des messageries offertes par les VPN.

Voilà. J’ai écarté un certain nombre de messageries qui ne me revenaient pas (compromissions, scandales…), ou qui ne correspondaient pas à l’usage pour lequel cette liste est établie (usage professionnel, pays à risque,..).

N’hésitez pas à me transmettre vos expériences personnelles, qui m’aideront à compléter ou corriger mon article.

Qu’est-ce qu’un VPN ?

C’est une solution que j’utilise depuis des années avec satisfaction. Du moins, depuis que j’ai trouvé de bons VPN, car si la solution VPN est globalement plus fiable que celle des proxies, il y a bien sûr de tout, même le pire.
VPN veut dire Virtual Private Network, et on ferait mieux de parler de RPV – Réseau Privé Virtuel – comme les québécois.
Je ne vais pas faire un cours sur les RPV/VPN, on en trouve quantité sur la toile, du plus élémentaire au plus expert. Pour donner une présentation simple et correcte, car il y a beaucoup de malentendus sur le sujet, voir ce qu’en dit l’EFF (Electronic Frontier Foundation) en français. Il vaut mieux lire attentivement cette page, car les sites commerciaux de VPN se conduisent en marchands (de tapis) et n’hésitent pas à vous enfumer.

Qu’apporte un VPN par rapport à un proxy ?

Le VPN cache votre véritable identité numérique sur le Web. Un proxy permet de surfer avec une autre IP, en cachant la vôtre, mais le VPN va plus loin, en fournissant un éventail d’IP en fonction des serveurs dont il dispose. Les plus puissants fournisssent ainsi plus d’une centaine de serveurs répartis à travers le monde, que l’on peut choisir au hasard, ou en fonction de la qualité de la connexion, ou en fonction de besoins particuliers (certains serveurs étant réservés au P2P, ou choix en fonction de l’accès à des services réservés à un pays, etc.). Assez rares sont ceux qui offrent du “multi-hop”, autrement dit une chaîne de sauts d’IP (un peu comme TOR).

Le VPN protège votre navigation et la transmission de vos données en faisant passer celles-ci par le réseau privé, au lieu de transiter par le réseau public général ; les données qui passent dans ce tunel sont donc “encapsulées”, et éventuellement chiffrées, et les bons VPN proposent les deux en même temps. Outre le tunelling, le chiffrement (cryptage est un anglicisme) des données est très puissant chez les meilleurs prestataires. Il peut commencer à la sortie du serveur VPN , ou mieux à son entrée (rendant ainsi vos données opaques au service VPN), ou mieux encore depuis votre ordinateur. On voit que l’enjeu de sécurité et de confidentialité est important, et il faut bien examiner les prestations qu’offrent réellement le service VPN auquel vous souscrivez.

Le VPN offre une protection contre les multiples agressions : meilleur camouflage de son identité (IP, DNS, empreinte numérique), sécurisation des connexions sur les hotspots Wifi, protection contre les botnets malveillants et contre les menaces diverses, avec filtre antivirus et antimalwares, blocage des attaques MITM, rempart anti-spam, blocage des publicités et surtout du tracking publicitaire… La couverture du bouclier numérique dépend évidemment de la qualité du service VPN.

Le VPN protège toutes les communications de votre machine avec le réseau internet, et pas seulement la navigation sur le Web, notamment bien sûr les emails et tout ce qui s’y rattache (pièces jointes, calendrier, contacts…). Et on peut ainsi se connecter à distance sur son propre réseau domestique de façon sécurisée. Avec les bons VPN, on peut même installer le VPN sur son routeur ou sa box, ce qui protège alors l’ensemble du réseau domestique.

Le VPN permet d’assurer la neutralité du Web, en contournant la censure, politique mais aussi économique, en évitant les restrictions géographiques (accès à des chaînes TV étrangères, accès à services étrangers inaccessibles ou à des ressources localisées (jeux vidéo, bibliothèques et musiques), en permettant le débridage des mesures imposées par un Etat ou un FAI.

Formidable ! Certes, mais il faut se souvenir qu’un VPN ne protège pas a priori vos données : jusqu’à leur serveur, elles transitent en clair, en passant normalement par les DNS de votre FAI et en étant lisibles par le service VPN. En outre, tous les VPN ne chiffrent pas les données, mais simplement les protègent (tunelling) de ceux qui sont hors du réseau privé. Par ailleurs, les VPN n’offrent pas les mêmes garanties de fonctionnement : ils ne sont pas tous aussi rapides, la plupart ne fournissent pas un anonymat sans faille (fuites d’IP, de DNS, de WebRTC, d’extensions Chrome), et le plus souvent se montrent très flous en matière de rétension des informations personnelles et de coopération avec les autorités : Il y a des pays où on interdit les VPN pour les particuliers… et dans les autres on les surveille !…  les services VPN se montrant à cet égard plus ou moins coopératifs avec les grandes oreilles.
Vous voyez ici à quel point l’avertissement courant qu’il faut se limiter aux prestataires auxquels on peut faire pleine confiance est justifié, et à quel point cette confiance est difficile à donner du fait de l’opacité, du manque de transparence, et de la rouerie commerciale.

Comment choisir un bon VPN ?

Fuir les VPN gratuits.

Plus encore qu’avec les proxys, il faut éviter les VPN gratuits, sauf usage ponctuel, par ex. pour se connecter à une borne WI-Fi publique, visiter un site douteux, ne pas se faire repérer sur un site particulier… ; mais il faut être sans illusions sur leur confidentialité/sécurité. On peut craindre, outre les débits limités et aléatoires, les fonctionnalités restreintes, les publicités invasives, la revente de données personnelles, et pourquoi pas l’injection de malwares… Voir par ex. ce qu’en dit  Rue de l’info.
Cependant, quelques-uns présentent un réel intérêt : le VPN intégré à Opera, qui existe sur ordinateur, iOs et Android ; j’ai remarqué aussi ZenServ, qui parle aussi français. Sinon, les offres payantes proposent parfois une version gratuite – limitée ou d’essai – qui peut servir pour un besoin ponctuel ou tester la version payante. Par ex. Windscribe propose un plan gratuit, plafonné à 10 Go par mois, bien plus que la plupart des concurrents ; on est limité à 8 serveurs sur 2 continents, ce qui est déjà pas mal, mais avec les fonctionnalités de base. J’ai trouvé aussi intéressante l’offre “green” de SecurityKiss, avec suffisamment d’information et d’explications en français, qui n’exige pas d’ouverture de compte et ne demande aucune identification, mais qui n’offre gratuitement que le proxy (surf avec une autre IP, quoique… voir leur FAQ/manuel/”que signifie la colonne Customer only”). Des sites recensent ce type d’offres, comme celui-ci.
Mais gardez à l’esprit que “bon VPN” et “VPN gratuit” sont contradictoires, puisqu’un bon VPN a pour but de protéger la vie privée, alors que c’est au prix de sa vie privée qu’on paye la gratuité.

Et se méfier des VPN payants !

Ecarter l’offre gratuite, donc. Pour autant, les VPN payants sont loin d’offrir toujours de réelles garanties d’anonymat et de sécurité. L’offre se développe rapidement, car le besoin de posséder un bouclier numérique s’accroît rapidement. Mais clairement, oubliez l’idée qu’un VPN offre une navigation anonyme ! (et si vous voulez vraiment qu’on vous mette les points sur les i, lisez ce qu’en dit en français Golden Frog, qui propose un VPN bien connu (mais que je recommande pas pour autant, car il est loin d’être aussi clair dans ses propres pratiques : ). Les meilleurs procurent une réelle sécurité contre les risques d’internet, et ils permettent aussi une bonne invisibilité par rapport au pistage commercial, tout en procurant diverses commodités pour regarder Netflix ou faire du P2P par exemple. Mais vous ne serez pas à l’abri des forces de l’ordre, et c’est tant mieux, n’est-ce pas ?!

S’il est bon en effet de pouvoir combattre la criminalité, le terrorisme, et l’espionnage, ce n’est pas pour autant que nous ne devons pas nous protéger au maximum, y compris pour préserver notre liberté dans un monde qui la menace de plus en plus, y compris dans les pays “démocratiques”. J’ai donc repris les critères des organismes qui défendent nos libertés, et j’ai cherché pour moi – et pour vous par la même occasion – lesquels on pouvait retenir comme offrant les meilleures garanties.
Mais j’y ajoute des critères qui me paraissent négligés par ces sites, comme par exemple la langue française et l’anonymat dans l’inscription. Ce ne sont pas pour moi des critères absolus ; malgré tout, si l’on n’est pas informaticien expert en réseau, il vaut mieux disposer d’un tuto d’installation en français, d’accéder sans risque de contre-sens aux fonctionnalités proposées, de pouvoir communiquer sans trop de mal avec la hot-line (perso, je serais incapable de tchatter avec un support qui parle anglais en l’ayant appris en Malaisie, et vous ?). Quant à l’anonymat, systématiquement vanté par toutes les offres de VPN, il se limite en général au surf sur internet, car pour vous inscrire vous devez presqu’inévitablement fournir votre identité : soit par un formulaire d’inscription, soit parce qu’il faut fournir un email valide, et qu’il faut payer avec votre carte bancaire ; et comme on s’inscrit de chez soi, le prestataire dispose en outre de votre IP et de nombreuses infos d’identification qui vous rendent “unique” (voir AmIUnique , ou encore panoptickick ). Vous pouvez consulter aussi le site Me and my shadow (tracer mon ombre, qui offre un outil pour voir toutes les traces qu’on laisse sur internet.
Alors dans les listes de “bons” VPNs, j’ai cherché aussi ces deux points : jusqu’où va leur utilisation du français ? et quels moyens de paiement anonyme proposent-ils ?
Les résultats sont fort décevants. Et on ne peut pas être trop exigent là-dessus, sauf raison majeure. Si vous ne comprenez rien à l’anglais, c’est mal barré, car il existe bien quelques VPN français, mais ils ne sont pas classés parmi les meilleurs, et question confidentialité être domicilié en France n’est pas non plus idéal (les 9 yeux). Et pour l’anonymat d’inscription, il faut vraiment se contorsionner pour y arriver… ou pas !

Un autre obstacle concerne la valeur des classements de VPN. Le nombre de sites qui proposent de vous guider dans le choix du “meilleur VPN de l’année” doit vous mettre la puce à l’oreille : ces sites gagnent leur vie en servant de rabatteurs ! Ne vous fiez pas à ces comparatifs, qui sont intéressés à vous faire faire le bon choix (pour eux) ! Cela ne veut pas dire qu’il ne faut pas les consulter, mais soyez plus attentifs aux critiques qu’aux éloges, et ne n’accordez pas foi à leur classement. Ce sont les avis des utilisateurs qui sont les plus éclairants… mais pas ceux que ces sites d’aide au choix et ceux des VPN eux-même mettent en avant, évidemment ! Vous pouvez vous en rendre compte en cherchant par votre moteur de recherche “VPN français” : les sites proposés ne le sont pas, correspondent exactement à ceux que vous trouveriez en recherchant “meilleur VPN”, ou “VPN 2019” (ou n’importe quoi d’autre d’ailleurs).

Personnellement, je me suis appuyé sur le comparatif de Privacy Tools, l’enquête de TorrentFreak, dont les critères inspirent la plupart des autres enquêtes, et j’aime bien ce que dit aussi Le Crabe, et plus encore l’article approfondi qu’a écrit Jean-François Mayer il y a 3 ans . Les sites anglophones The best VPN et That One Privacy Site m’ont impressionné par leur ampleur et leur non-complaisance envers les firmes analysées. Leur grille permet quand même de se faire une base de réflexion sérieuse, en écartant notamment les offres qui pèchent sur des critères cruciaux.
Par exemple, on ne peut pas retenir des VPN classés comme “ennemis d’internet” par Reporters sans frontière, ou dénoncées par Privacy international , et ces critères sont pris en compte dans les tableaux de That One privacy Site, ainsi que de nombreux autres qui nous intéressent a priori. J’ai aussi écarté en général les VPNs les plus en vue, d’abord parce qu’il est évident que leur popularité tient à leur agressivité commerciale (si vous consultez les comparatifs français, vous n’échapperez pas à leurs pop-up), et aux sites qui les soutiennent moyennant finance. Et ensuite parce qu’ils sont pratiquement tous installés aux USA, même ceux qui affirment relever d’une juridiction échappant aux “14 Yeux”.

Je ne suis qu’un simple utilisateur de VPN, et je ne peux évidement en essayer qu’un petit nombre. Ce que je propose ici, c’est d’expliquer comment j’ai fait mes choix et quelle expérience j’en retire. Cela peut vous aider à y voir plus clair dans une offre très commerciale envahissante et peu fiable, dans la mesure où l’internaute intéressé n’a pas les moyens de vérifier les assertions qui lui sont fournies pour le convaincre. Tous vont forcément vous vanter leurs mérites et cacher leurs défauts, et le plus souvent vous tromper délibérément : Quel VPN va annoncer qu’il est un honey pot, qu’il vous dénoncera sans hésiter aux autorités, qu’il travaille pour un Etat étranger, qu’il conserve indéfiniment vos données personnelles, et qu’il n’assumera aucune responsabilité en cas de souci ? Et pourtant, l’un ou l’autre de ces défauts concerne la grande majorité des offres !Il vous suffit d’écrire dans votre moteur de recherche “VPN SCAM” (un scam, c’est une arnaque, une escroquerie), et vous n’aurez que l’embarras du choix des liens qui en parlent ; voici ce que rapporte par ex. Le Figaro. Le recensement des 118 VPN de The Best VPN m’a servi de référence.

Les risques s’aggravent si on s’intéresse aux VPN pour mobiles. Une étude indique que 90% des applis disponibles dans le store d’Android ont des failles, demandent des permissions abusives, voire contiennent des malwares. Sans parler évidemment des offres alléchantes de Facebook. Beaucoup de ces applis sont chinoises.
Cependant, comme l’indique bien GNT, un bon VPN pour mobile peut être très précieux, pour remplacer les antivirus douteux sur smartphones (c’est un pléonasme), et pour accéder à des services et boutiques étrangères et profiter de meilleures prestations et prix.
Donc, oui, mais..

VPN répondant à mes critères

1- Fournir une offre en français

La plupart des VPN, qui n’hésitent jamais à vous fournir votre IP et parfois même le nom de votre commune pour vous montrer à quel point vous êtes exposé, ne proposent pourtant qu’une interface en anglais. Un certain nombre s’affichent en français… sur la première page ! Rares sont les offres qui permettent de parcourir le site dans notre langue, des tutoriels d’installation et une FAQ en français, voire leur client VPN dans notre langue.

On trouve :

ActiVPN , se déclare d’emblée le meilleur VPN, et offre des fonctionnalités intéressantes comme une box VPN permettant un cloud hébergé chez soi, compatible Freebox et NAS Synology. L’interface s’est simplifiée mais reste surtout déclarative mais peu informative, le service client est plutôt réactif et parle français. Mais beaucoup de pages sont en anglais, notamment celles sur la confidentialitét et le paiement : la méthode la plus anonyme qu’ils offrent est le bitcoin, dont on sait que les transactions sont entièrement traçables et surveillées. On lui reproche en général sa lenteur et des connexions aux serveurs étrangers parfois difficiles. Les tarifs sont très bons. Vous en saurez plus ici.

CCryptoVPN, est un prestataire français. Leurs outils sont ouverts sur Github, dans une optique libriste et open source. L’équipe se limite apparemment à 2 personnes et est gérée en association Loi 1901. Et pourtant j’ai été impressionné par leur rapidité de réponse à mes questions même en week-end !
La FAQ explicite la démarche, les fonctionnalités, les possibilités d’utilisation, et indique sans ambiguité les limites de l’anonymat offert, auquel je souscris complètement. On peut tester sans fournir d’email. Mais ensuite il faut s’inscrire et payer, ce qui implique d’être identifié ; par contre comptes et activités se font sur des serveurs séparés et ne peuvent être recoupées, ce que l’on peut considérer comme suffisant.

Freedom-IP est une entreprise domiciliée à Meudon (92). Créée en 2010 par des bénévoles, proposant un VPN gratuit au départ, elle semble avoir beaucoup changé. En 2019, l’offre est unique, limité en fonction de la durée achetée, et elle est maintenant franchement basique, alors que le VPN était très apprécié des joueurs pour sa rapidité. La Politique de respect de la vie privée explicite les données collectées, mais pas leur traitement ; elle est d’ailleurs épinglée par TheBestVPN. Il faut installer soi-même OpenVPN, mais un tuto indique la marche à suivre. Il y a un forum en français. Ne pas compter être anonyme ici.

LE VPN se proclame le n°1 des VPN français, mais le site est hébergé à Hong-Kong. C’est une offre haut de gamme, même si les débits ne sont pas jugés comme les meilleurs. L’appli n’est pas terrible surtout sous Linux. Fonctionnalités peu courantes (smartDNS et HybridVPN), mais pas de Kill Switch. Aucun log, mais accepte les requêtes d’une autorité. Les avis des utilisateurs sont loin d’être tous élogieux (mais ce sont des avis collectés par un site rabatteur). Support en français donné comme efficace, et de fait, mes échanges de mails montrent un réel suivi des clients.

VPNVision se déclare aussi comme le meilleur VPN Français… en étant élu par les expatriés, qui constituent leur coeur de cible. Il faut dire que l’entreprise a été créée par 2 étudiants expatriés. La société applique la législation française, et les “termes et conditions” indiquent bien qu’on n’est pas dans le “no-logs” ici ni dans l’anonymisation.
En fait il s’est développé en offrant l’accès aux chaînes télévisées françaises, et aux services vidéo français en ligne pour les expat. Support rapide et en français, notamment avec une assistance à l’installation. L’offre est adaptée à la vie d’expat, avec des abonnements très flexibles.

Voyons maintenant les VPN étrangers french friendly.

ExpressVPN, domicilié aux Iles Vierges Britanniques mais installé aux USA à Seattle, classé depuis des années comme l’un des meilleurs VPN au monde, est celui qui, sans être d’origine française, est allé le plus loin dans la francisation du site. La plupart des pages sont disponibles en français, tous les tutos aussi. Il n’y a que le support qui est en anglais. Pour avoir souscrit à une offre d’un mois afin de tester, j’ai eu l’occasion de communiquer avec la hotline par mail (j’ai pas osé le tchat !) ; si on leur écrit en français, ils traduisent avec Google Trad, et répondent en anglais, qu’il ne reste plus qu’à traduire à son tour : ça le fait, même si parfois ça manque de clarté et probablement d’exactitude. Mais leur assistance est particulièrement réactive et aimable en 24/24 et 7/7. Leur appli VPN est très simple à installer et à faire fonctionner sous Windows ; par contre sous Linux il faut être à l’aise avec la ligne de commande ! Si c’est le cas, ça marche aussi bien que sous Windows. On peut sans problème combiner leur VPN avec TOR. Plusieurs fonctionnalités pour éviter les fuites DNS et WebRTC, le split-tunelling, et les mesures en cas de déconnexion (kill switch) renforcent la sécurité. Mais quelle confidentialité ? c’est sur ces questions auxquelles on ne m’a pas fourni de réponse convaincante que je n’ai pas prolongé mon expérience chez eux.

Cyberghost, domicilié en Roumanie. propose une offre bon marché (il y a eu une offre gratuite, mais…) surtout pour sa qualité. Toutes les pages ne sont pas disponibles en français, par ex. la FAQ, les guides d’installation, sont en anglais, mais leur service client peut dialoguer dans notre langue, et rapidement, ce qui est vraiment appréciable. L’installation sous Windows est ultra-simple, mais sous Linux c’est plus compliqué. On peut la passer en français dans les réglages personnalisables. Les options streaming et torrent sont bien pensées, celles pour la sécurité sont là un peu pour la frime (qui va décocher le blocage des pub, des sites malveillants, du tracking quand on achète un VPN ?!) Une offre intéressante donc, sauf que question confidentialité, on est dans le même cas qu’avec ExpressVPN.

On remarque que l’offre qui répond à ce 1er critère n’est guère enthousiasmante, surtout en regard du 2ème critère, celui de la confidentialité ; sauf CcryptoVPN, mais qui n’est pas à conseiller aux débutants dans ce domaine. C’est d’ailleurs aussi pour cela que je n’ai pas présenté ci-dessus le VPN de la fédération FDN, dont j’ai été adhérent, parce qu’il n’est pas facile à utiliser, ni très stable.

2- Proposer un mode de paiement anonyme

ExpressVPN,  tout comme Cyberghost – et l’on peut ajouter ici la liste entière des “10 meilleurs VPN de l’année” de The Best VPN -, laissent entendre que l’on est complètement anonyme quand on utilise leur produit. Tous les bons VPN prétendent qu’ils protègent parfaitement votre activité sur leur réseau privé, et qu’ils ne collectent ni adresses IP, ni historique de navigation, ni données de trafic, ni requêtes DNS qui pourraient être utilisés pour vous identifier, qu’ils ne conservent aucun journal et sont “no-logs”… Et si toute cette list ne peut pas prétendre être hors des juridictions des 5, des 9 ou des 14 yeux, ils affirment ne pas permettre de croiser identifiants et activité.
Dont acte, et ces conditions sont essentielles, quand on veut se doter d’un VPN. Les tableaux de ThatOneprivacysite ou de Privacy Tools, permettent de faire un choix satisfaisant.

Cependant, si on veut passer inaperçu sur le Net, cela ne suffit pas, et les offres commerciales sont en général fallacieuses sur ce point. D’ailleurs, ce sont les sites qui expliquent au visiteur qu’ils conservent les données personnelles et coopèrent avec les autorités qui devraient inspirer le plus confiance à l’utilisateur, car eux au moins sont honnêtes !!!
En réalité, tous connaissent votre IP et un certain nombre d’autres éléments d’identification, qui vous rendent “unique” et donc parfaitement identifiable, sauf mesures spéciales prises par vous en amont de votre inscription. Si je mets l’accent sur le mode de paiement, c’est que c’est justement l’un des modes d’identification indiscutable qui est utilisé. Or, il n’y a que très peu de prestataires qui acceptent des modalités de paiement anonymes. La plupart proposent le paiement en bitcoins, en soulignant à quel point ils respectent ainsi le désir d’anonymat, mais en fait, les transactions en bitcoins sont complètement traçables et hautement surveillées. Je ne doute pas qu’il existe des solutions d’utilisation anonyme de bitcoins (et apprentés), mais à part les cybercriminels qui en dispose ? Certains sites énumèrent une liste impressionnantes de moyens de paiement en ligne… dont aucune n’offre l’anonymat, bien sûr. En fait, le citoyen ordinaire que je suis ne connait que deux modes de paiement anonymes en 2019 en France : le paiement en liquide (offre cash), et PaySafeCard ou Neosurf (qui passe souvent par Paymentwall). Ajoutons quand même les cartes cadeau, pour l’anecdote.

Mes investigations, qui ne sont sûrement pas exhaustives, m’ont permis de repérer un certain nombre d’offres :

PureVPN : c’est un prestataire bien connu, souvent classé dans les meilleurs, et pourtant pas cher pour ses caractéristiques. Et qui autorise le paiement par Paysafecard. Formidable… sauf qu’il est connu pour avoir collaboré avec le FBI et qu’il est classé en premier dans la liste des 26 qui stockent vous informations personnelles ! Je ne l’ai pas pratiqué.
EarthVPN encore mois cher ((40 $/an), propose un test de vitesse pour montrer qu’il assure. Oui mais les avis des utilisateurs ne sont vraiment pas encourageants ! Lui aussi propose Paysafecard. TrustPilot le déconseille et fournit des avis d’utilisateurs très négatifs. Je ne l’ai pas essayé non plus.
PerfectPrivacy : classé dans les meilleurs, on peut l’acquérir sans fournir aucune information personnelle  à l’inscription, et on peut payer en liquide et avec NéoSurf (paymentwall).. C’est le plus cher des VPN, et s’il a de très bonnes appréciations en matière de sécurité et de confidentialité, on lui trouve pas mal d’inconvénients aussi. Certes, il est lent et n’est plus bon pour Netflix, mais surtout (par rapport à mes critère), la langue française lui est inconnue, et il dépend de la juridiction suisse. Mais compte tenu des mesures d’anonymisation qu’il prend, ça reste un bon choix.
Mullvad (Suède) : classé dans les meilleurs aussi, non sans bonnes raisons notamment en matière de confidentialité. On peut payer en cash, sans fournir d’informations personnelles. J’ai eu quelques soucis avec leur application pour l’accès aux disques de mon réseau domestique (NAS) , qui ont fait que je l’ai désinstallé définitivement sous Windows (7 x64). Par contre, je peux témoigner qu’il est le meilleur que je connaisse sous Linux (Mint et Ubuntu), même si là aussi, on peut avoir des soucis d’accès au réseau domestique et web. Problème de split-tunnelling ? Leur hotline est charmante (en anglais), mais n’a pas su résoudre mon problème.
IVPN (Gibraltar) ;fait partie de la liste des bons VPN, bonne sécurité et bon service client (en anglais). Peu de serveurs et assez lent, il ne permet pas netflix ni d’autres services localisés. On leur a reproché un temps de revendre des données personnelles à des services tiers. Pire, ils conserve les mots de passe des comptes, les adresses et les identifiants bancaires. Cependant on peut payer en espèces, et par ailleurs la politique de non conservation des données et journaux semble stricte. Je ne l’ai pas essayé, mais vous povez lire l’article de Pierre Lannoy pour vous faire votre opinion.
CryptoStorm.is, une solution “pour les complètement paranos”,  recommandé par SebSauvage, avec une démarche résolument hacktiviste. Serveur en Allemagne, On peut l’utiliser comme service TOR et I2P. La sécurité et la confidentialité sont poussées à l’extrême.  52$7an avec CB, Paypal ou Bitcoin (mais loin de la base de données des utilisateurs). Sinon, proposent d’utiliser Cryptofree, moins puissant, mais aussi logtemps qu’on veut. Et que perso je ne recommande pas, ayant eu des soucis notamment pour le désinstaller. Tout en anglais, et réservé quand même à des utilisateurs engagés et expérimentés, qu’on peut inviter à examiner leur blog.

Je n’ai pas essayé les offres suivantes :

Anonymizer : USA, paiement en cash possible, mais collecte donnnées (fait partie des 26 de TheBestVPN)
AzireVPN : Suède, on peut payer en liquide. Problèmes de sécurité.
BlackVPN : juridiction chinoise, propose Paymentwall (et Néosurf ??). des soucis de sécurité.
BoleyVPN : aux Seichelles ou en Malaisie ?!  Paiement en liquide indiqué mais… (fait partie des 26 de TBV)
Ipredator : Chypre, paiements cash et carte cadeaux Amazon, mais fait partie des 26 de TBV
LiquidVPN : USA, paiement… en liquide semble possible !
PrivateVPN : suède, utilisation partielle du français, mais paiement au mieux en bitcoins.
SlickVPN : USA, paiement en cash et sur plateforme indépendante du site.
Torguard : USA, propose Paysafecard, propose aussi une boîte emailing, mais avis négatifs.

Démarche pour installer un VPN presqu’anonyme

1- Changer ses DNS, pour ne pas garder ceux installés par le FAI, et en évitant ceux de Google et autres services spécialisés dans le big data.
2- Changer son adresse MAC
En principe, si on se cale sur le modèle de menace le plus élevé, il faudrait utiliser un appareil neuf ou recyclé, n’ayant jamais servi, sans OS installé préalablement, et le lancer avec Tails depuis un hotspot mais pas chez soi. Bon, si vous n’en êtes pas là, je propose seulement de changer son adresse MAC et d’utiliser TOR.
Pour changer son adresse MAC, sous Linux, utiliser l’appli macchanger (dans l’écran de la fenêtre d’installation, clique sur “oui”, pour que l’adresse MAC change automatiquement à chaque session internet). Sous Windows, plusieurs applis comme Technitium Mac Address Changer (V.6). On peut randomiser, ou modifier à la main.
Cela donnera ainsi moins d’infos sur son matériel. Si vous utilisez plusieurs appareils sur votre réseau domestique, et s’ils n’ont pas tous le même OS et les mêmes réglages, cela permet de brouiller davantage l’identification. J’ai remarqué en effet que les tests en ligne donnent alors des résultats qui contiennent des erreurs.
3- Installer TOR browser, sans toucher aux paramétrages par défaut et en conservant la langue anglaise.
Sur certaines distributions Linux, TOR browser est installé par défaut, mais sur toutes il est facile de le télécharger par les dépôts.Sous Windows, aller ici. Pour les débutants, je conseille plutôt cette alternative.
Vérifier que votre IP a changé. Et contrôlez toutes les autres caractéristiques en cliquant sur “Relay search”. Vous pouvez aussi lancer DNS Leaks test, pour vérifier que votre identité numérique n’est plus du tout la même. IPLeaks est intéressant aussi.
4- Sous TOR, créez un compte mail nouveau sur une messagerie sécurisée et confidentielle.
La difficulté est de trouver une messagerie qui ne demande aucune information personnelle, cad sans réclamer une adresse mail valide pour vous envoyer les identifiants du nouveau compte, et gratuite pour ne pas avoir à payer avec les moyens habituels : CB ou Paypal, qui permettent de vous identifier sans hésitation. Il n’est pas trop difficile de trouver une messagerie étrangère qui offre une période d’esssai gratuite (voir le lien donné en 5.)
5- Payez en liquide ou en carte prépayée
Une fois que vous aurez créé ce premier compte, vous aurez peut-être envie de le pérenniser Mais pour payer, il faut qu’elle accepte les cartes prépayées type Paysafecard ou Neosurf, que vous pouvez approvisionner en liquide en achetant des tickets dans de nombreux bureaux de tabac ou autres stations services partout en France. Je fournis une liste de ces messageries confidentielles dans un article complémentaire.
Vous devez calculer quelle somme va vous coûter votre messagerie et combien va vous coûter votre abonnement VPN, pour acquérir les tickets Paysafecard ou Neosurf, puis que vous cherchiez sur Internet où se trouve le commerçant qui vous vendra ces tickets. Rien de difficile, mais ça prend du temps évidemment.
C’est le moment aussi de vous inventer votre fausse identité : nom et prénom, âge et sexe, localisation, etc., qui serviront à la fois pour la messagerie et pour le VPN, afin d’assurer un peu de cohérence dans votre profil. Evitez d’avoir une IP à Singapour et une messagerie en Allemagne pour offrir des jetons Paysafecard achetés en France, si vous voyez ce que je veux dire. D’ailleurs, le plus souvent, le paiement doit être effectué via une IP située dans le pays où le ticket a été acheté, et les proxies/VPN sont souvent bloqués.
6-Achetez votre abonnement VPN de façon anonyme
Une fois les moyens de paiement anonymes en votre possession, vous lancez TOR, vous vérifiez votre anonymat, vous vous connectez sur le site du prestataire VPN que vous avez choisi, et vous payez votre abonnement avec Paysafecard ou Neosurf. Bien sûr, vous donnez votre adresse mail confidentielle gratuite, qui n’a encore jamais servie. Et dont le premier message sera celui du VPN, pour vous donner vos identifiants. Vous pouvez maintenant “laisser tomber” cette messagerie provisoire, qui a rempli son rôle, et ne permet pas de remonter à vous, mais il vaut mieux la garder (quitte à payer un abonnement) pour continuer à communiquer avec le services VPN et seulement avec lui, par ex. pour prolonger votre abonnement, discuter avec la hotline, etc.. Mais ne s’en servir que pour cela, car si vous communiquiez avec d’autres, vous deviendriez assez vite repérable.

En procédant de cette façon, vous avez mis de votre côté presque toutes les chances de passer à peu près inaperçu !
Est-ce que j’ai fait tout ça, moi ? Oui, pour vérifier que le processus en 6 points fonctionne du début à la fin. Et pour le plaisir de me mettre un moment dans la peau de Lisbeth Salander !… Mais franchement, j’ai adopté des solutions de “discrétion” sur le Web plus simples pour ma vie de tous les jours : mon “modèle de menace” ici en France aujourd’hui encore ne justifie pas un effort et des contraintes aussi lourdes ! A vous de lister vos exigences et vos contraintes, et de choisir en conséquence.