Qu'est-ce qu'un threat model
Un threat model est une analyse structurée des menaces auxquelles un système ou un utilisateur est exposé. Il répond à quatre questions : quelles sont les données ou actions à protéger ? Contre qui ? Quelles sont les conséquences d'une compromission ? Quelle est la probabilité de chaque menace ? Sans cette analyse, il est impossible de savoir si un outil de protection est adapté, insuffisant, ou surdimensionné.
Pour un VPN, le threat model détermine directement quelle architecture est nécessaire. Un utilisateur dont la menace principale est son FAI a des besoins très différents d'un journaliste dont la menace est un acteur étatique avec des capacités d'analyse de trafic. Un VPN commercial standard est adapté au premier — il est insuffisant pour le second.
Niveau 1 — Le FAI et la surveillance réseau passive
Le niveau de menace le plus courant pour l'utilisateur standard. Le fournisseur d'accès internet voit l'ensemble du trafic non chiffré, les requêtes DNS en clair, et peut loguer les métadonnées de connexion. En France, la loi impose aux FAI la conservation des données de connexion pendant un an (article L34-1 du CPCE). Ces données incluent l'adresse IP source, les volumes de trafic, et les horodatages — mais pas le contenu des communications HTTPS.
Contre ce niveau de menace, un VPN standard — commercial ou auto-hébergé — est efficace. Il masque les requêtes DNS au FAI, chiffre le contenu des connexions non-HTTPS, et masque les métadonnées de destination (le FAI voit que vous êtes connecté au serveur VPN, pas les sites que vous visitez).
# Sans VPN FAI voit: src_ip=votre_ip dst_ip=93.184.216.34 (example.com) FAI voit: DNS query example.com → résolveur FAI FAI voit: volume trafic, durée, fréquence # Avec VPN FAI voit: src_ip=votre_ip dst_ip=serveur_vpn (chiffré) FAI ne voit pas: destination réelle, requêtes DNS, contenu FAI voit encore: volume trafic total, durée connexion VPN
Niveau 2 — L'opérateur réseau local et le Wi-Fi public
Sur un réseau que vous ne contrôlez pas — Wi-Fi d'hôtel, réseau d'entreprise, point d'accès public — l'opérateur du réseau a les mêmes capacités de surveillance qu'un FAI, plus la possibilité d'une attaque man-in-the-middle sur les connexions non chiffrées. Un VPN actif chiffre le trafic avant qu'il quitte votre machine, rendant l'interception au niveau du réseau local inefficace.
Contre ce niveau de menace, un VPN avec kill switch est la protection appropriée. Le kill switch garantit que votre trafic ne transite jamais en clair si le VPN se déconnecte. Sans kill switch, une déconnexion momentanée expose votre trafic sur le réseau local.
Niveau 3 — Les services tiers et le tracking publicitaire
Un VPN protège votre adresse IP réelle vis-à-vis des sites que vous visitez — ils voient l'IP du serveur VPN, pas la vôtre. Mais cette protection est limitée pour le tracking publicitaire, qui utilise des mécanismes plus sophistiqués : cookies first-party persistants, fingerprinting navigateur (User-Agent, résolution, polices, canvas), pixels de tracking dans les emails. Un VPN ne protège contre aucun de ces vecteurs.
Contre ce niveau de menace, les outils complémentaires sont plus efficaces : bloqueurs de contenu (uBlock Origin), isolation des cookies (Firefox Total Cookie Protection), DNS-over-HTTPS. Le VPN est un complément utile pour masquer l'IP, pas une solution autonome contre le tracking.
Niveau 4 — L'acteur étatique avec analyse de trafic
Le niveau de menace le plus sophistiqué. Un acteur étatique avec accès aux infrastructures réseau peut réaliser une analyse de corrélation temporelle : en observant simultanément les connexions entrant dans le serveur VPN et les connexions sortant, il peut corréler les volumes et les timings pour identifier quel client VPN accède à quelle destination — sans jamais déchiffrer le contenu.
Contre ce niveau de menace, un VPN seul est insuffisant. Les outils adaptés sont le réseau Tor (qui utilise plusieurs relais avec des latences différentes pour rendre la corrélation difficile) et des protocoles de communication anonymes comme Cwtch ou Briar. Ces outils ont des coûts en performance significatifs et ne sont pas adaptés à un usage général. Pour la grande majorité des utilisateurs, ce niveau de menace est hors de portée des attaquants réalistes.
Schéma — Niveaux de menace et outils adaptés
Définir son propre threat model
La démarche pratique consiste à lister les acteurs qui pourraient vouloir accéder à vos données ou surveiller vos communications, d'évaluer leur capacité technique et leur motivation, puis de choisir les outils proportionnels à ce risque évalué. Un développeur qui veut sécuriser sa connexion sur les réseaux publics et éviter le tracking de son FAI opère au niveau 1-2 — un VPN commercial audité est la bonne solution. Un activiste dans un pays à régime autoritaire opère potentiellement au niveau 4 — Tor et des protocoles spécialisés sont nécessaires.
Les critères de sélection d'un service VPN et la question de la politique no-logs s'appliquent principalement aux niveaux 1 à 3. Pour le niveau 4, les VPN commerciaux ne sont pas l'outil adapté — leur architecture centralisée les rend vulnérables aux demandes judiciaires, même avec une politique no-logs rigoureuse.