On peut faire beaucoup de choses avec un VPN. On peut s’amuser à gruger Netflix pour visionner le catalogue américain de la plateforme de vidéo à la demande par abonnement (SVOD), plutôt que l’offre française, en contournant certaines restrictions géographiques. Mais on peut aussi croire à tort qu’on est anonyme sur le net et penser que tout est permis.
Un internaute âgé de 19 ans vient de l’apprendre à ses dépens. L’intéressé a été condamné le 5 janvier 2022 à quatre mois de prison ferme — qu’il purgera chez lui avec un bracelet électronique — rapporte France Bleu. Il a été reconnu coupable de menace de mort pour avoir menacé de tuer des députés, sans citer de parlementaires en particulier.
L’affaire est allée très vite : le jeune homme avait été interpellé dès le 3 janvier par la police, signalait en début de semaine BFM TV. Il avait publié son commentaire sur un forum de discussion et celui-ci avait été signalé à Pharos, une plateforme qui sert à signaler aux autorités un contenu illicite (incitation à la haine, pédopornographie, apologie du terrorisme, injures, diffamation, etc.).
Pharos est pilotée par l’OCLCTIC, l’office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, qui dépend de la SDLC, la sous-direction de lutte contre la cybercriminalité, elle-même une branche de la police judiciaire. Les agents de l’OCLCTIC prennent en compte les signalements et vérifient s’ils sont bien illégaux.
S’il y a effectivement matière à intervenir, ce qui était manifestement le cas ici, les agents alertent les services compétents, comme la police ou la gendarmerie. « Une enquête est alors ouverte sous l’autorité du Procureur de la République », précise le ministère de l’Intérieur. Et peut déboucher sur l’identification de l’internaute en faute, pour ensuite le traduire devant les tribunaux.
👉 Découvrez notre comparateur des meilleurs VPN
Un VPN n’est pas un totem d’immunité pour les crimes et les délits
Particularité de ce dossier, en apparence assez banal : l’internaute utilisait donc un VPN (réseau privé virtuel) en pensant être totalement incognito ou, du moins, assez incognito pour décourager quiconque de chercher à l’identifier. Plus exactement, selon BFM TV, ce sont « des » VPN qui étaient utilisés, mais le nom de ces services ne sont pas renseignés.
Schématiquement, un VPN sert à faire passer sa connexion Internet par une ou plusieurs étapes intermédiaires avant d’arriver sur le site voulu. Il s’agit de faire croire au site visité que l’on vient de tel ou tel endroit géographique, en lui montrant son dernier point de passage, au lieu de son véritable emplacement. De fait, on cache sa localisation exacte.
Mais si cette méthode permet de brouiller les pistes pour les sites qu’on visite, on est de fait forcément identifié par le VPN à un moment ou à un autre, puisqu’il faut bien se connecter au service avec son abonnement Internet. Dans ces conditions, le VPN peut se trouver à recueillir certaines informations techniques de connexion, qui peuvent ensuite faire l’objet d’une réquisition.
Dans la mesure où les VPN mis en cause ne sont pas nommés, on ne sait pas quels services cet internaute utilisait pour cacher son adresse IP — il s’agit d’un code qui est comme une sorte de plaque d’immatriculation sur le réseau : chaque machine qui se connecte au net reçoit un code. On ne connait donc pas, pour l’instant, la politique de conservation de données de chaque VPN.
L’affaire soulève la question des promesses commerciales des VPN qui jurent de ne rien conserver de leurs clients. Dans les faits, il peut y avoir un décalage par rapport à certaines obligations légales. C’est ce que le cas ProtonMail a illustré, lorsqu’il a fallu fournir des adresses IP à la police, alors que le service a fondé sa notoriété sur la confidentialité. Depuis, ProtonMail a ajusté son discours.
En l’espèce, ProtonMail n’avait pas l’intention de risquer de se mettre hors la loi ou d’enfreindre ses obligations, pour répondre aux espoirs des internautes qui croyaient que le service serait pour toujours une boîte noire impénétrable. Si une identification via l’un des VPN utilisés par l’internaute de 19 ans a effectivement eu lieu, on suppose que le service a eu la même réflexion.
Autre circonstance qui a pu jouer dans l’identification de l’internaute : s’il s’est déjà connecté précédemment à son compte, sur le forum de discussion, aussi bien avec son adresse IP normale, fournie par son fournisseur d’accès à Internet, que celle qui a été fournie par le VPN, c’est une autre trace qui a pu servir lors du travail d’enquête.
Toujours est-il que l’internaute s’en tire avec une peine modérée. Outre le fait qu’il va pouvoir purger ses quatre mois chez lui, il évite également une sanction qui aurait pu être bien plus sévère. Le Code pénal, par son article 433-3, prévoit par exemple des sanctions pouvant atteindre plusieurs années de prison et des dizaines de milliers d’euros d’amende.
(mise à jour avec une précision sur la manière dont une identification d’internaute peut s’opérer)
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
