A l’origine, les VPN étaient destinés à construire des réseaux privés et cloisonnés, tout en empruntant anonymement les réseaux publics.
Le cloisonnement de ces premiers VPN par rapport aux autres réseaux, leur permettaient de limiter les risques en terme de sécurité (intrusion, inspection etc.) au sein du VPN , dès lors que les terminaux connectés étaient identifiés et sécurisés (ex: réseau d’entreprise, cercle associatif etc.).

Les VPN ont progressivement été réutilisés pour une finalité différente : l’accès à Internet via un proxy.
En simplifiant, la démarche consiste à masquer la nature des données échangées depuis un terminal de départ (client VPN) jusqu’à un terminal d’arrivé (serveur VPN). Au delà de ce terminal « relai », les données transitent de manière non cryptées. Dans cette configuration, le VPN n’est plus cloisonné, mais bien ouvert sur le reste des réseaux.
Pour proposer une métaphore, le serveur VPN fait office de coursier discret et de service postal anonyme et automatisée (qui décode et expédie sur Internet/encode et retransmet à son client) pour le compte d’un expéditeur « client ». Sauf à intercepter ce coursier pour lui faire ouvrir les plis confidentiels qu’il transporte, ou à s’en prendre à son service postal, les tiers ne peuvent pas connaître la nature des informations échangées entre le client (l’expéditeur) et le serveur VPN (le service postale).

Ce constat technique ne suppose aucun parti pris moral, mais impose certaines prises de conscience pour les utilisateurs :

- Utiliser un VPN pour anonymiser ses transit de données jusqu’à un proxy n’apporte aucun bénéfice de sécurité, simplement une forme de furtivité qualitative et limitée. Pour expliquer : la furtivité est qualitative et non quantitative parce que le recours à un VPN crypté brouille la nature des données, mais pas la quantité de données qui transite sur le réseau. La furtivité d’un VPN est également limitée dans le sens où -en configuration proxy- les données ne sont cryptées que jusqu’au terminal proxy, au delà elles transiteront « en clair » afin d’être interprétées convenablement par les autres terminaux d’Internet. (Tel n’est pas le cas dans les VPN cryptés et cloisonnés comme Freenet)

- Pour les particuliers, l’emploi d’un VPN crypté peut même être vu comme une régression en terme de sécurité.
Rappelons que nous nous trouvons à une époque où la « Box » règne sur les abonnements Internet en France. La principale barrière de sécurité de l’abonné se trouve précisément dans cette « Box » qui est configurée chez tous les opérateurs grand public, pour « filtrer » les connexions entrantes de manière à protéger les terminaux en aval.
Reste que les protocoles de VPN ont été conçus pour fonctionner en tunneling. Sans se perdre en détails, cette particularité technique empêche les pare-feux des « box » de trier les données qui arrivent par la connexion VPN de l’utilisateur. Les terminaux situés en en aval de la Box rendue aveugle, devront eux-même s’occuper du travail de filtrage. Sans pare-feux intermédiaire ou équivalent, l’utilisation d’un VPN peut rapidement devenir le pire ennemi d’un internaute non avertis.

Les techniques « Man in the middle » que vous évoquez sont d’une redoutable efficacité. Elles profitent systématiquement d’une erreur ou d’un manque de vigilance d’opérateurs humains pour détourner des données sensibles. L’ingéniosité des techniques imaginées par les Middle-men rappelle l’époque du Phreaking et forcerait presque l’admiration si elles n’étaient pas aussi nuisibles dans leurs résultats.
Signalons que le potentiel de nuisance des typosquatting a brusquement été revu à la hausse en raison de la recrudescence ce genre de techniques. Notre expérience confirme qu’il ne s’agit hélas pas que de rumeurs.

Depuis peu avec les affaires d’usurpation de certificats SSL tel que google l’a connu, il est aussi possible d’intercepter certains mot passe même envoyés à travers un protocole crypté, avec des techniques tel que « man in the middle »….

Lorsqu’on utilise une solution comme celle-ci il faut donc soit faire confiance aveuglement au fournisseur du service, soit être prudent tant que l’on est connecté au VPN et se garder de se connecter à des sites nécessitant une authentification par mot de passe…