Différences entre VPN et Tor
et sont tous deux des mécanismes qui changent la visibilité du chemin de communication.
Cependant, leurs objectifs et leurs modèles de confiance diffèrent. Un VPN passe par le serveur d'un fournisseur de VPN. Tor utilise plusieurs nœuds relais et rend plus difficile le lien direct entre l'origine et la destination.
On peut être tenté de demander : « lequel est le plus fort, VPN ou Tor ? »
Mais pour l'anonymat, cette question est insuffisante. Ce qu'il faut regarder, c'est à qui l'on ne veut pas montrer quoi, quel point de confiance on accepte, et quelles erreurs d'utilisation restent possibles.
Cet article organise les différences entre VPN et Tor du point de vue de l'anonymat. La comparaison d'ensemble incluant les proxys est traitée dans « Différences entre VPN, Tor et proxy ».
Différences de structure de base
Un VPN connecte l'appareil de l'utilisateur à un serveur VPN, puis communique vers l'extérieur par l'intermédiaire de ce serveur VPN.
Tor fait passer la communication par plusieurs nœuds relais et rend plus difficile le lien direct entre l'origine et la destination.
| Élément | VPN | Tor |
|---|---|---|
| Structure de base | Passe par un serveur VPN | Passe par plusieurs nœuds Tor |
| IP visible depuis la destination | Serveur VPN | Nœud de sortie Tor |
| Modèle de confiance | Faire confiance au fournisseur de VPN | Conception qui rend plus difficile pour un seul relais de voir à la fois l'origine et la destination |
| Usages principaux | Protection de l'IP domestique, Wi-Fi public | Anonymat plus fort, contournement de la censure, recherche |
| Point d'attention | Politique de journaux du fournisseur | Corrélation par connexion ou contenu publié |
La structure d'un VPN est relativement facile à comprendre, et il est souvent plus maniable en vitesse et en compatibilité.
Tor est conçu avec une priorité donnée à l'anonymat, mais la vitesse, les sites utilisables et les précautions d'usage deviennent plus contraignants.
Différences de point de confiance
Avec un VPN, le fournisseur de VPN devient le relais central.
La destination finale visible depuis le FAI change, mais le fournisseur de VPN se trouve dans une position liée à l'origine de connexion de l'utilisateur et aux communications externes. C'est pourquoi il faut vérifier la politique de journaux, les audits, les rapports de transparence et l'entité qui exploite le service.
Avec Tor, le chemin se répartit entre plusieurs nœuds.
Le nœud d'entrée connaît l'origine de connexion de l'utilisateur, mais ne connaît pas directement la destination finale. Le nœud de sortie connaît la destination, mais ne connaît pas directement l'IP réelle de l'utilisateur. Cette répartition est une conception importante de Tor.
| Acteur | Dans le cas d'un VPN | Dans le cas de Tor |
|---|---|---|
| FAI | Voit la connexion au serveur VPN | Voit la connexion au réseau Tor |
| Relais | Le fournisseur de VPN est central | Les rôles sont répartis entre plusieurs nœuds |
| Destination | Voit l'IP du serveur VPN | Voit l'IP du nœud de sortie Tor |
| Exploitant du service | Traite les cookies et les connexions | Traite les cookies et les connexions |
| Utilisateur | Choisit le fournisseur de VPN | Respecte la pratique de Tor Browser |
Aucun des deux n'est un mécanisme où « plus personne ne voit rien ».
Les acteurs qui voient les informations changent.
Lequel convient le mieux selon l'usage
VPN et Tor se choisissent selon l'usage.
| Objectif | Choix souvent adapté | Raison |
|---|---|---|
| Protéger la communication sur un Wi-Fi public | VPN | Plus facile à appliquer aux communications de tout l'appareil |
| Ne pas montrer son IP domestique à la destination | VPN ou Tor | Les deux peuvent changer l'IP de destination visible |
| Besoin d'un anonymat plus fort | Tor | Rend plus difficile le lien direct entre origine et destination |
| Utilisation Web quotidienne confortable | VPN | Plus maniable en vitesse et en compatibilité |
| Contournement de la censure ou recherche | Tor ou VPN | Dépend de l'environnement et de l'adversaire |
Dans une situation où Tor est adapté, s'appuyer seulement sur un VPN augmente fortement la confiance accordée au fournisseur de VPN.
Dans une situation où un VPN suffit, utiliser Tor peut aussi faire échouer la pratique à cause de la difficulté d'usage.
Risques communs qui restent
Que vous utilisiez VPN ou Tor, certains risques restent.
| Risque restant | Description |
|---|---|
| État de connexion | Entrer dans un compte sous identité réelle relie l'action |
| Le navigateur est traité comme le même | |
| Contenu publié | Le lieu de travail, la région, la famille ou le style deviennent des indices |
| Fichier | Les métadonnées et les informations d'arrière-plan restent |
| Temps | L'heure de publication et le timing de communication se corrèlent |
| Appareil | Malware, notifications ou partage d'écran peuvent révéler des informations |
Même si le chemin de communication change, la corrélation reste si le comportement de l'utilisateur est le même.
En matière d'anonymat, il faut penser non seulement VPN ou Tor, mais aussi séparation des comptes, navigateur, contenu publié et vérification des fichiers.
Informations officielles à consulter avant de choisir
Si vous utilisez Tor, vérifiez les informations officielles du Tor Project. Vous pouvez y consulter les explications sur Tor Browser et le réseau Tor, les téléchargements et les informations de soutien.
URL : https://www.torproject.org/
Si vous choisissez un VPN, comparez des services comme Proton VPN ou Mullvad VPN, dont les informations officielles permettent de vérifier la politique de journaux, les audits, la transparence et les informations sur les applications.
Proton VPN est le VPN de Proton, qui exploite depuis longtemps des services axés sur la vie privée, dont Proton Mail. Comme les rapports de transparence, les audits et les applications open source sont faciles à vérifier, il est utile comme exemple pour apprendre ce que signifie faire confiance à un fournisseur de VPN. URL : https://protonvpn.com/
Mullvad VPN adopte une conception fondée sur des comptes numérotés, sans demander d'adresse e-mail ni de mot de passe. Comme sa conception réduit les informations d'inscription, et que sa politique de journaux et ses méthodes de paiement peuvent être vérifiées, il est utile comme point de comparaison pour choisir un VPN en gardant l'anonymat à l'esprit. URL : https://mullvad.net/
Ne choisissez pas seulement d'après le nom : regardez plutôt que les publicités la politique de journaux, les audits, la transparence, le paiement et l'entité qui exploite le service.
Les combiner ne rend pas forcément sûr
Certaines personnes veulent combiner VPN et Tor.
Cependant, les combiner ne rend pas automatiquement sûr. Selon la configuration, qui voit quoi change. Si vous les combinez sans comprendre la structure, il devient difficile de savoir d'où vient la fuite lorsqu'un problème survient.
| Façon de penser | Point d'attention |
|---|---|
| Utiliser Tor par-dessus un VPN | Le FAI voit l'usage du VPN, et le fournisseur de VPN voit l'usage de Tor |
| Utiliser un VPN par-dessus Tor | La configuration est complexe, et il faut comprendre la visibilité pour le fournisseur de VPN et la destination |
| Les deux ensemble seraient le plus fort | Connexions, cookies et contenu publié restent |
| Vitesse et stabilité | Plus le chemin augmente, plus l'usage peut devenir difficile |
| En cas de problème | L'isolement de la cause devient difficile |
Pour une activité à haut risque, il vaut mieux ne pas décider soi-même d'une combinaison improvisée.
Construisez d'abord un modèle de menace et décidez quel acteur ne doit pas voir quelle information. Ensuite, demandez-vous si une configuration simple peut être utilisée de façon fiable.
En cas d'hésitation
Si vous hésitez entre VPN et Tor, décidez d'abord de l'adversaire.
Si vous voulez seulement éviter de montrer votre IP domestique à la destination, un VPN peut suffire dans certains cas. Si vous voulez séparer plus fortement l'origine et la destination, envisagez Tor. Si l'adversaire a de fortes capacités, comme un lieu de travail, une école, une autorité étatique ou un contexte d'alerte interne, ne décidez pas seulement d'après le nom de l'outil.
| Axe de décision | Ce qu'il faut regarder |
|---|---|
| Adversaire | FAI, destination, lieu de travail ou autorité étatique |
| Information à protéger | IP, contenu publié, documents ou personnes concernées |
| Inconvénients acceptables | Ralentissement, blocage, charge d'utilisation |
| Capacité à l'utiliser correctement | Peut-on séparer connexions sous identité réelle et cookies ? |
| Besoin de consultation | Existe-t-il un risque juridique ou physique ? |
Résumé
VPN et Tor changent tous deux la visibilité du chemin de communication.
Un VPN passe par un serveur VPN et fait du fournisseur de VPN un point de confiance. Tor utilise plusieurs nœuds relais et rend plus difficile le lien direct entre origine et destination.
Le VPN est plus maniable et convient souvent au Wi-Fi public ou aux usages où l'on veut rendre l'IP domestique moins visible.
Tor convient à un anonymat plus fort, au contournement de la censure ou à la recherche, mais il est sensible aux erreurs d'utilisation.
Quel que soit le choix, les corrélations par état de connexion, cookies, contenu publié, style d'écriture, fichiers et temps restent.
En matière d'anonymat, on ne choisit pas selon « lequel est le plus fort », mais selon qui ne doit pas voir quoi.
Outils liés
WhatIsMyIP
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
BrowserLeaks WebRTC
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
BrowserLeaks Fingerprint
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
EFF Cover Your Tracks
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
Tor Project
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
Proton VPN
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://protonvpn.com/
Mullvad VPN
Ressource externe liée à cet article. Ouvrez-la seulement si elle correspond à votre situation et à votre modèle de menace.
Pourquoi il est listé ici: Elle peut aider sur le sujet de l’article, mais elle se situe hors d’Anonymity Sense et doit être vérifiée avant usage.
URL : https://mullvad.net/