En 2018, les 100 applications VPN gratuites les plus téléchargées sur Android totalisaient 260 millions d’installations. En 2025, ce chiffre atteint 2,5 milliards. Simon Migliano, responsable recherche chez Top10VPN, a passé plusieurs mois à tester chacune de ces applications sur des appareils dédiés. Ses conclusions, publiées en 2025, sont sans appel : près de 90 % d’entre elles présentaient au moins une fuite de données. Plus d’une sur dix souffrait de failles de chiffrement permettant une exposition totale de l’activité en ligne.
Le problème n’est pas technique. Il est structurel.
Maintenir un réseau de serveurs VPN coûte cher : bande passante, infrastructure, ingénieurs. Quand un service ne facture rien à l’utilisateur, le financement vient d’ailleurs. Et cet « ailleurs », dans la grande majorité des cas, c’est la revente de données de navigation à des courtiers publicitaires. L’étude de Migliano montre que 46 % des applications testées demandaient l’autorisation d’analyser la liste des apps installées sur le téléphone, et 20 % réclamaient l’accès à la géolocalisation. Pour des outils censés protéger la vie privée, c’est un aveu. Autant dire que choisir un VPN mérite un minimum de recherche sérieuse, comme le comparatif VPN publié par le Journal du Geek, plutôt qu’un téléchargement impulsif sur le Play Store.
360 millions d’enregistrements dans la nature
L’affaire SuperVPN reste l’exemple le plus spectaculaire. En 2022, le chercheur en cybersécurité Jeremiah Fowler a découvert une base de données non sécurisée contenant 360 millions d’enregistrements : adresses IP réelles des utilisateurs, e-mails, identifiants d’appareils, détails des serveurs utilisés. L’application revendiquait plus de 100 millions de téléchargements sur le Play Store. Elle promettait une politique « no-log ». Le fichier exposé pesait 133 Go.
Ce n’était pas un cas isolé. La même année, des chercheurs de vpnMentor avaient identifié sept VPN gratuits (UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, Rabbit VPN) qui partageaient la même architecture serveur et le même développeur, tout en se présentant comme des services indépendants. Leurs bases Elasticsearch non protégées avaient exposé les données de 20 millions d’utilisateurs. Sept noms différents, un seul opérateur, zéro sécurité.
Ces incidents ne relèvent pas de la négligence ordinaire. Quand une entreprise ne génère aucun revenu d’abonnement, elle n’a aucune incitation financière à investir dans la sécurité de ses serveurs. Le produit, c’est l’utilisateur.
Le chiffrement, quand il existe
Un VPN sans chiffrement fiable est un tuyau transparent. L’étude Top10VPN révèle que 36 % des applications testées utilisaient un chiffrement sous-optimal, et seulement 20 % recouraient aux algorithmes de hachage les plus solides. Certaines ne chiffraient tout simplement pas le trafic. L’utilisateur pensait naviguer dans un tunnel sécurisé. En réalité, ses requêtes circulaient en clair.
Les fuites DNS aggravent le tableau. Le principe d’un VPN est de faire transiter les requêtes DNS par ses propres serveurs, empêchant le fournisseur d’accès de savoir quels sites l’utilisateur consulte. Or la majorité des VPN gratuits laissent ces requêtes repartir vers les serveurs du FAI. Concrètement, Orange, SFR ou Free voit exactement où va l’utilisateur, VPN activé ou non. L’outil est installé, l’icône tourne, la protection n’existe pas.
Plus de la moitié des applications testées montraient des signes d’instabilité du tunnel VPN. Pas des déconnexions visibles pour l’utilisateur, mais des micro-coupures pendant lesquelles le trafic repasse par la connexion classique. Sans kill switch (la fonction qui coupe la connexion internet si le VPN tombe), chaque micro-coupure est une fenêtre ouverte.
Quand le VPN installe lui-même le malware
Entre 2022 et 2024, plusieurs rapports de cybersécurité ont identifié des applications VPN gratuites contenant des variantes du trojan Joker, un malware connu pour abonner discrètement les victimes à des services payants par SMS. D’autres embarquaient des spywares capables de siphonner la liste de contacts et les messages. Ces applications étaient disponibles sur le Play Store et l’App Store, parfois pendant des mois avant d’être retirées.
Zimperium zLabs, laboratoire spécialisé en sécurité mobile, a analysé près de 800 applications VPN gratuites et conclu que la quasi-totalité d’entre elles exposaient les données de leurs utilisateurs d’une manière ou d’une autre. Le problème dépasse les éditeurs individuels : c’est l’architecture même de l’économie du gratuit qui produit ces résultats.
12 % des Français en 2025, et la tendance monte
Selon l’enquête annuelle de NordVPN publiée en août 2025, la part des Français utilisant un VPN gratuit est passée de 10 % en 2024 à 12 % en 2025, pendant que l’usage des VPN payants reculait légèrement (de 12 % à 11 %). L’adoption globale des VPN en France a d’ailleurs baissé de 30 % à 27 %. Le marché ne se contracte pas, il bascule vers le gratuit. Et c’est précisément là que les risques augmentent.
La CNIL a reçu près de 16 000 plaintes liées à des vols de données en 2023, soit 35 % de plus que l’année précédente. Tous ces cas ne concernent pas les VPN gratuits, évidemment. Mais la corrélation entre la croissance de ces services et l’explosion des fuites de données personnelles n’a rien d’accidentel. Un service qui promet l’anonymat tout en enregistrant chaque requête DNS n’est pas un outil de protection. C’est un collecteur de données avec un bon logo.
La vraie question n’est pas de savoir s’il faut utiliser un VPN. En 2026, entre la généralisation du télétravail, les restrictions géographiques sur le streaming et la surveillance publicitaire permanente, la réponse est acquise pour beaucoup d’internautes. La question est de savoir combien vaut réellement la gratuité. Deux ou trois euros par mois pour un service audité, avec des serveurs RAM-only et un kill switch fonctionnel, c’est le prix d’un café. Le coût réel d’un VPN gratuit, lui, ne figure sur aucune facture.
