Retour au blog
Vie privée des consommateurs·13 min de lecture

VPN gratuit vs VPN payant en 2026 — le vrai coût du gratuit

Faire fonctionner un service VPN coûte de l'argent — serveurs, bande passante, personnel chargé des abus, frais juridiques. Si un fournisseur ne vous facture rien, quelque chose d'autre finance tout ça. Parfois, c'est acceptable (un petit niveau gratuit subventionné par des abonnés payants). Parfois, c'est le vrai modèle économique — et ce modèle consiste à vendre quelque chose que le fournisseur extrait de vous. Voici comment faire la différence, avec des exemples historiques nommément cités.

Par Casper's Cloak Security Team

En résumé : il existe trois catégories honnêtes de VPN « gratuit ». (1) Niveau gratuit limité d'un fournisseur payant (Proton, Windscribe, TunnelBear) — subventionné par les abonnés payants, délibérément plafonné pour inciter les gros utilisateurs à passer à la formule supérieure, modèle économique transparent. (2) VPN gratuit à des fins spécifiques (entreprise, université, intégré à un autre produit) — financé par une entité qui souhaite vous avoir sur son réseau, modèle économique lié à ce que propose le produit parent. (3) VPN gratuit comme instrument de monétisation — le fournisseur de VPN EST l'entreprise, et c'est vous qu'il monétise. Cette troisième catégorie est celle où se concentrent les préjudices documentés : modèles de botnet utilisant les appareils comme nœuds de sortie, revente à des courtiers en données, injection de publicités, installation de logiciels malveillants. Les deux premières peuvent convenir. La troisième est à l'origine de la plupart des titres du type « utiliser un VPN est-il dangereux ? ». Ce guide vous aide à les distinguer.

Précision préalable : Casper's Cloak est un service VPN payant. Nous avons un intérêt commercial dans ce sujet. C'est précisément pourquoi cet article se concentre sur des incidents historiques vérifiables et documentés — des faits que vous pouvez vérifier auprès des sources d'origine — plutôt que sur des mises en garde vagues du type « le gratuit, c'est mauvais ». L'objectif n'est pas de vous dissuader d'utiliser un VPN gratuit, mais de vous aider à en choisir un dont vous comprenez réellement le modèle économique.

Ce que le « gratuit » coûte réellement au fournisseur

Des chiffres concrets, puisque c'est là que repose le reste de l'analyse. Un modeste fournisseur de VPN gérant 1 000 serveurs dans 30 pays paie :

  • Hébergement des serveurs : 40 à 150 $/serveur/mois selon la région (Europe occidentale, États-Unis Est : bon marché ; Asie-Pacifique, Amérique latine, Afrique : cher) → 40 000 à 150 000 $/mois minimum.
  • Bande passante : poste de coût dominant. Un nœud de sortie VPN génère plus de trafic que presque n'importe quelle autre charge de travail — un utilisateur typique consomme 50 à 200 Go/mois, et les fournisseurs fonctionnent à plus de 80 % d'utilisation. Les factures de bande passante dépassent largement celles des serveurs à grande échelle.
  • Gestion des abus : quelqu'un travaille à temps plein pour répondre aux notifications DMCA, aux plaintes des hébergeurs, aux questions des processeurs de paiement et aux demandes occasionnelles des forces de l'ordre. C'est incontournable et devient coûteux à grande échelle.
  • Ingénierie : maintenance de la pile de protocoles (WireGuard, OpenVPN), applications clientes pour iOS/macOS/Windows/Linux/Android, audits, réponse aux incidents de sécurité.

Pour un fournisseur exploitant plus de 1 000 serveurs, employant une vraie équipe opérationnelle, faisant auditer ses systèmes chaque année et facturant 0 € — l'argent doit venir de quelque part. La question honnête est : d'où ? Les trois modèles ci-dessous couvrent à peu près tout ce que nous avons documenté sur le terrain.

Modèle 1 — Niveau gratuit limité d'un fournisseur payant (généralement acceptable)

La version la plus propre. Le fournisseur vend un produit payant à la majorité de ses utilisateurs et propose un niveau gratuit délibérément plafonné comme entonnoir marketing. Les plafonds prennent généralement l'une de ces trois formes :

  • Plafond de bande passante (Windscribe : 10 Go/mois gratuits ; TunnelBear : 2 Go/mois gratuits). Les gros utilisateurs atteignent la limite et passent à la formule supérieure, ou cessent d'utiliser le service. Les utilisateurs gratuits coûtent moins au fournisseur que leur valeur en tant que prospects.
  • Plafond de localisation des serveurs (Proton Free : 3 pays ; ProtonVPN Plus : 110+). Le niveau gratuit suffit pour « je veux chiffrer mon trafic dans un café » ; le niveau payant est requis pour les cas d'usage de streaming depuis d'autres pays.
  • Plafond de fonctionnalités (pas de streaming, pas de torrenting, moins de connexions simultanées). Même logique que les plafonds de serveurs.

Comment vérifier que le fournisseur appartient à cette catégorie : (a) il dispose d'un niveau payant visible et transparent avec de vrais clients (regardez le nombre d'avis sur les app stores, pas seulement la note) ; (b) sa politique de confidentialité indique clairement qu'il ne journalise pas ni ne vend les données de trafic, et il a idéalement publié un audit externe le confirmant ; (c) c'est une vraie entreprise avec des dirigeants identifiés et une juridiction connue ; (d) il tire l'essentiel de ses revenus des abonnements payants, ce qu'il indique généralement dans ses supports marketing.

Modèle 2 — VPN gratuit à des fins spécifiques (selon l'objectif)

Gratuit parce que quelqu'un d'autre veut que vous l'utilisiez. Trois sous-cas :

VPN intégrés aux navigateurs (Opera VPN, Brave Firewall + VPN, Cloudflare WARP). La société mère a un modèle économique différent — vendre des publicités, vendre des services aux entreprises, vendre du DNS — et le VPN existe pour différencier le navigateur sur le plan des fonctionnalités. Ces solutions sont généralement honnêtes quant à leur périmètre : Opera VPN est un proxy chiffré gratuit, pas un vrai VPN (il protège uniquement le trafic du navigateur), et le dit clairement. Cloudflare WARP est financé par l'activité CDN entreprise de Cloudflare et constitue de loin le service réseau gratuit le plus audité au monde.

L'iCloud Private Relay d'Apple entre dans cette catégorie — il est fourni avec iCloud+, donc pas strictement « gratuit » au sens propre, mais gratuit à la marge si vous payez déjà pour le stockage iCloud. Il est également limité à Safari, utilise un double saut, et n'est explicitement pas un VPN à usage général. Nous avons couvert sa portée en détail dans Ce que couvre vraiment iCloud Private Relay — et ce qu'il ne couvre pas.

Les VPN d'entreprise ou universitaires. Gratuits pour vous parce que l'institution paie. Honnêtes à ce sujet. Utilisez-les pour leur usage prévu (accéder aux ressources de l'institution), ne les utilisez pas pour votre vie privée personnelle (l'institution peut voir tout votre trafic, c'est conçu ainsi).

Comment vérifier : lisez la politique de confidentialité, examinez le modèle économique principal de la société mère. Si l'activité principale est la publicité dans les navigateurs (Opera) ou le CDN entreprise (Cloudflare), les incitations du VPN s'alignent sur le fait de ne pas le faire dérailler — un scandale VPN endommagerait l'activité plus rentable.

Modèle 3 — VPN gratuit comme instrument de monétisation (là où se concentrent les préjudices documentés)

C'est la catégorie dont parle en réalité tout article sur « les risques d'utiliser un VPN ». Le fournisseur de VPN n'a aucune autre activité ; le VPN EST l'activité ; l'utilisateur EST le revenu. Trois mécanismes historiques documentés :

3a. Appareil comme nœud de sortie (le modèle Hola / Luminati)

Hola, commercialisé comme un VPN gratuit pour contourner les restrictions géographiques dans le navigateur, a gagné des millions d'utilisateurs au début des années 2010. Le modèle économique — divulgué dans les conditions d'utilisation, mais de la façon dont « divulgué dans les conditions d'utilisation » signifie généralement quelque chose — était que votre appareil servait de nœud de sortie pour Luminati (désormais Bright Data), le réseau proxy commercial d'Hola. Les clients entreprises payants routaient leur trafic via les IPs résidentiels des utilisateurs gratuits d'Hola.

Les conséquences, bien documentées : en 2015, des chercheurs en sécurité ont montré que les utilisateurs d'Hola avaient été utilisés comme nœuds de sortie pour un botnet DDoS sur 8chan — ce qui signifie que les IPs des utilisateurs d'Hola généraient du trafic d'attaque à leur insu. Le réseau Luminati a depuis changé de nom, ajouté des processus de consentement, et continue d'opérer ; le modèle reste sensiblement le même.

Comment le repérer : le fournisseur parle vaguement d'architecture « pair-à-pair » ou de réseau « communautaire ». Ses conditions d'utilisation décrivent un « droit d'utiliser la bande passante des appareils inactifs ». Il vend un produit proxy commercial payant en parallèle du produit consommateur gratuit, et ce sont le même réseau.

3b. Revente à des courtiers en données (le modèle Onavo / Facebook)

Onavo Protect était une application VPN gratuite — Facebook a racheté la société mère en 2013 et l'a exploitée sous le nom « Onavo Protect » sur iOS et Android. La politique de confidentialité indiquait que Facebook utilisait la visibilité sur le trafic réseau pour savoir quelles applications les utilisateurs utilisaient, à quelle fréquence et pendant combien de temps. Ces informations ont alimenté la stratégie produit de Facebook : Onavo a notamment alerté Facebook sur la croissance de WhatsApp avant l'acquisition, et sur la croissance de TikTok avant Reels.

Apple a finalement retiré Onavo de l'App Store en 2018 en citant des violations de collecte de données, et Facebook a fermé le service en 2019 après que le scandale Cambridge Analytica a rendu l'image intenable. Le mécanisme — VPN gratuit comme entonnoir de renseignement concurrentiel pour une société mère — refait surface périodiquement ; les noms changent mais la structure se répète.

Comment le repérer : l'activité principale de la société mère est la publicité, les réseaux sociaux ou l'analyse concurrentielle. La politique de confidentialité contient des formulations relatives aux « données d'utilisation agrégées anonymisées » ou à « l'amélioration de nos services » avec un périmètre large. Le VPN gratuit n'a pas de niveau payant évident — il n'y a aucune raison qu'il existe comme produit autonome.

3c. Injection de publicités et logiciels malveillants groupés (la longue traîne)

Le plus rudimentaire et le plus répandu : l'application VPN gratuite injecte des publicités dans les pages web, redirige le trafic via des liens d'affiliation, ou est livrée avec des adwares/spywares. Les études sur les applications VPN Android gratuites révèlent régulièrement qu'un pourcentage significatif intègre des SDK de suivi, demande des autorisations inutiles, ou dans les cas extrêmes contient des logiciels malveillants à proprement parler. Le CSIRO a publié en 2017 une étude fréquemment citée révélant que 38 % des 283 applications VPN Android gratuites analysées contenaient une forme de logiciel malveillant ; les travaux de suivi des années suivantes montrent une amélioration de la situation, mais pas une transformation.

Comment le repérer : l'application affiche des publicités agressives dans sa propre interface, demande des autorisations bien au-delà des besoins d'un VPN (contacts, SMS, localisation permanente), dispose de très peu d'avis dans les app stores, et le nom du développeur est inconnu. Les applications génériques « Meilleur VPN Gratuit » sur le Play Store qui se ressemblent légèrement les unes aux autres sont généralement le même SDK rebaptisé.

La liste de vérification des signaux d'alarme dans les politiques de confidentialité

Avant d'installer n'importe quel VPN — gratuit ou payant — lisez la politique de confidentialité et recherchez ces points de vigilance spécifiques :

  • Formulations vagues sur les « données d'utilisation agrégées » avec des usages autorisés larges (« pour améliorer nos services, pour nos partenaires, à des fins marketing »). Les fournisseurs payants honnêtes précisent généralement ce qu'ils journalisent : informations de compte, informations de paiement, parfois l'utilisation de bande passante au niveau agrégé, rien d'autre.
  • Absence d'audit tiers, ou référence vague à un audit sans lien. Les fournisseurs payants honnêtes fournissent un lien vers le rapport d'audit complet (Proton, Mullvad, ExpressVPN, NordVPN publient tous les leurs).
  • Juridiction hostile à la vie privée des utilisateurs — États-Unis (soumis aux NSL et ordonnances de confidentialité), Royaume-Uni (Investigatory Powers Act), ou juridictions appartenant aux Fourteen Eyes d'échange de renseignements. Pas automatiquement rédhibitoire, mais à prendre en compte.
  • Propriété anonyme. Si vous ne parvenez pas à identifier en quelques minutes de recherche quelle entreprise possède le produit et où elle est basée, c'est un signal d'alarme.
  • Formulations sur une architecture « P2P / pair-à-pair / réseau communautaire » — voir le modèle Hola ci-dessus.
  • Autorisations demandées par l'application bien au-delà des besoins d'un VPN. Un VPN a besoin de l'autorisation de service VPN et, sur Android, du service de premier plan. Il n'a pas besoin des contacts, des SMS, du calendrier ou de la localisation précise.

Quand le gratuit est vraiment la bonne réponse

Trois cas d'usage honnêtes où un VPN gratuit (spécifiquement le modèle 1 ou le modèle 2) est véritablement le bon outil :

  • Chiffrement occasionnel dans un café. Vous voulez chiffrer votre trafic pour éviter toute interception sur un WiFi hostile, votre volume mensuel est inférieur à quelques Go, et vous ne faites rien qui nécessite de la vitesse. ProtonVPN Free, Windscribe Free, TunnelBear Free, et Cloudflare WARP s'acquittent tous parfaitement de cette tâche.
  • Essayer avant d'acheter. Utilisez le niveau gratuit d'un fournisseur payant pour évaluer la qualité de l'application, la vitesse et la liste des pays avant de vous engager sur un abonnement annuel. Les niveaux gratuits existent précisément pour ça.
  • Vous êtes déjà dans l'offre groupée de quelqu'un. Si vous payez pour iCloud+ et que votre trafic est principalement Safari, iCloud Private Relay est gratuit à la marge. Si vous utilisez Brave, Brave Firewall + VPN est inclus. Si votre employeur fournit un VPN d'entreprise, utilisez-le pour le travail et associez-le à autre chose pour votre usage personnel.

Ce qu'un VPN payant vous apporte réellement (version honnête)

En mettant de côté les arguments marketing, voici ce que les revenus d'abonnement permettent à un fournisseur d'offrir, ce qu'un fournisseur financé par la publicité ou la revente de données ne peut structurellement pas faire :

  • Des incitations alignées avec votre vie privée, et non contre elle. L'abonnement EST le revenu ; vendre vos données de trafic détruirait la marque et la clientèle. L'argument économique en faveur d'un comportement honnête est le plus solide qui soit.
  • La capacité à gérer les abus sans vous pénaliser. Les fournisseurs payants peuvent se permettre un personnel dédié à la gestion des abus ; les fournisseurs gratuits sous-dimensionnent ce poste et soit laissent les abus nuire à leur réputation, soit suppriment des fonctionnalités (le P2P/torrenting disparaît souvent des niveaux gratuits pour des raisons de coût, pas de politique).
  • Des audits tiers. Les audits de sécurité externes coûtent cher ; les fournisseurs gratuits les commanditent rarement. Les grands fournisseurs payants publient des rapports d'audit selon un calendrier régulier.
  • Vitesse et densité des serveurs. La bande passante est le coût dominant. Les fournisseurs payants peuvent sur-provisionner ; les fournisseurs gratuits la rationnent. Cela se traduit par des vitesses plus lentes aux heures de pointe, moins de pays disponibles, un pool d'IPs réduit.
  • Un vrai support client. Les utilisateurs du niveau gratuit ont accès à un forum communautaire ; les clients payants obtiennent une réponse par e-mail en quelques heures.
  • Un modèle économique clair. Lorsque vous pouvez identifier précisément comment l'entreprise gagne sa vie, vous pouvez prévoir comment elle se comportera sous pression (acquisition, difficultés financières, pression réglementaire).

Pourquoi les VPN ne sont pas non plus toute la réponse (la position honnête du fournisseur payant)

Même un VPN payant parfait — correctement audité, sans journaux, bien conçu — ne résout qu'un sous-ensemble spécifique de problèmes de vie privée. La partie chiffrement du trafic : oui. Le « votre FAI ne peut pas voir les sites que vous visitez » : oui. Le « le réseau du café ne peut pas lire vos sessions » : oui. Mais :

  • Les sites et applications auxquels vous vous connectez vous voient toujours — et sur les téléphones, les SDK de suivi intégrés aux applications communiquent avec leurs serveurs quel que soit le chemin réseau. iOS App Tracking Transparency bloque l'IDFA mais pas le fingerprinting ; voir Ce qu'iOS App Tracking Transparency n'empêche pas.
  • Les publicités, traceurs et domaines malveillants sont toujours chargés au niveau DNS. Un VPN chiffre votre trafic vers la destination ; il ne filtre pas les destinations atteintes. C'est pourquoi le filtrage au niveau DNS est l'accompagnement naturel — voir Comment fonctionne vraiment le filtrage au niveau DNS.
  • Les attaques par analyse de trafic au niveau des métadonnées — patterns d'octets par seconde, timing, avec qui vous vous connectez et quand — fonctionnent à travers des tunnels chiffrés. La plupart des utilisateurs s'en moquent ; certains non.

Casper's Cloak combine le tunneling VPN avec le blocage des publicités/traceurs au niveau DNS (nous utilisons une instance Pi-hole par utilisateur comme résolveur) et une détection des menaces par IA — précisément parce que la proposition VPN seul laisse la surface d'attaque au niveau DNS exposée. Pour être honnête : un VPN payant est nécessaire pour un ensemble significatif de problèmes de vie privée, et insuffisant à lui seul pour d'autres.

Conclusion

Les VPN gratuits ne sont pas une catégorie, ce sont trois catégories différentes avec des structures d'incitation très différentes. Niveau gratuit limité d'un fournisseur payant : généralement acceptable, délibérément contraint, les utilisateurs payants vous subventionnent. VPN gratuit à des fins spécifiques : dépend de qui paie et pourquoi, mais généralement transparent à ce sujet. VPN gratuit comme instrument de monétisation : c'est là que se concentrent les préjudices documentés — réseaux utilisant les pairs comme nœuds de sortie, revente à des courtiers en données, injection de publicités, logiciels malveillants groupés. La façon de distinguer la troisième catégorie des deux premières est la liste de vérification ci-dessus et, plus fiablement, de vous poser la question : d'où vient l'argent ? Si vous pouvez le nommer, vous êtes probablement en sécurité. Si vous ne pouvez pas, vous êtes probablement le produit.

Et quel que soit votre choix : gratuit, payant, ou aucun, associez-le au minimum à un filtrage au niveau DNS et ne vous attendez pas à ce qu'un seul de ces outils soit la réponse complète. La solution honnête est VPN + filtrage DNS + paramètres OS sensés — c'est l'architecture que propose Casper's Cloak ; c'est aussi l'architecture que vous pouvez assembler vous-même à partir de composants gratuits si vous le souhaitez.


À lire aussi : Les attaques sur les WiFi publics en 2026 couvre le modèle de menace que les VPN sont censés adresser ; Comment fonctionne vraiment le filtrage au niveau DNS couvre la couche que les VPN laissent ouverte ; Ce que couvre vraiment iCloud Private Relay couvre la fonctionnalité de confidentialité d'Apple qui n'est pas tout à fait un VPN. La comparaison Casper's Cloak vs VPN traditionnels approfondit les différences techniques.

Vérifié par Casper's Cloak Security Team · Dernière mise à jour

Essayez Casper's Cloak

Chiffrement de niveau VPN + filtrage DNS Pi-hole + détection des menaces par IA en une seule application. Modèle économique transparent, aucun journal d'activité par conception, protection complète de l'appareil — découvrez nos tarifs ou notre fonctionnalité de protection contre les menaces.