Des élus américains veulent interdire les VPN, au risque de révéler leur incompréhension technique

 (eff.org)
2 points par GN⁺ 2025-11-15 | 1 commentaires | Partager sur WhatsApp
  • Aux Wisconsin et Michigan, des projets de loi sur la vérification de l’âge pour l’accès aux contenus pour adultes incluent des dispositions de blocage des VPN
  • Le texte du Wisconsin (A.B.105/S.B.130) élargit la définition des « contenus nuisibles aux mineurs » et impose aux sites concernés de bloquer les utilisateurs se connectant via un VPN
  • Or, un site web ne peut pas identifier la localisation réelle d’un utilisateur de VPN, ce qui en fait une exigence techniquement impossible
  • Les VPN sont utilisés à de nombreuses fins, notamment pour la sécurité des entreprises, le télétravail, la recherche universitaire, les activités liées aux droits humains et la protection de la vie privée ; leur blocage risque donc d’avoir des effets étendus
  • De tels projets de loi menacent la vie privée numérique et la liberté d’expression, tout en risquant de dégrader la sécurité d’Internet sans bénéfice concret

Au Wisconsin et au Michigan, des projets de loi pour interdire les VPN

  • Des élus du Wisconsin cherchent, via les textes A.B.105/S.B.130, à rendre obligatoires la vérification de l’âge et le blocage des VPN pour accéder aux contenus pour adultes
    • Le projet de loi imposerait à tout site proposant des contenus à caractère sexuel d’intégrer un système de vérification par pièce d’identité officielle ainsi qu’une fonction de blocage des utilisateurs de VPN
    • Il élargit fortement la définition des « contenus nuisibles aux mineurs », au point d’y inclure potentiellement des contenus sur l’anatomie humaine, l’éducation sexuelle ou la reproduction
  • Le texte du Wisconsin a déjà été adopté par la chambre basse de l’État et est actuellement examiné par le Sénat
  • Un projet similaire a aussi été proposé dans le Michigan, sans toutefois franchir les étapes du processus législatif
    • Ce texte exigeait des fournisseurs d’accès à Internet (FAI) qu’ils surveillent et bloquent les connexions VPN
  • Au Royaume-Uni aussi, certains responsables ont qualifié les VPN de « faille à fermer » (loophole)

Impossibilité technique et effets pervers

  • Un VPN masque la localisation réelle de l’utilisateur et fait transiter son trafic par un autre serveur
    • Un site web ne voit généralement que l’adresse IP du serveur VPN, sans pouvoir distinguer la position réelle de la personne connectée
  • Exiger de « bloquer les utilisateurs de VPN situés au Wisconsin » est donc techniquement impossible
  • Si la loi entrait en vigueur, les sites web devraient choisir entre cesser leur service dans le Wisconsin ou bloquer tous les utilisateurs de VPN dans le monde
    • Une loi d’un seul État pourrait ainsi avoir des effets sur l’accès à Internet à l’échelle mondiale

Les domaines où les VPN sont indispensables

  • Sécurité des entreprises : les salariés en télétravail ou en déplacement utilisent des VPN pour accéder en sécurité au réseau interne
    • Cela sert à protéger les données des clients et des employés, sécuriser les communications internes et se défendre contre les cyberattaques
  • Établissements d’enseignement : les universités exigent souvent l’usage d’un VPN pour accéder aux bases de données de recherche, supports de cours et ressources de bibliothèque
    • Exemple : le WiscVPN du campus de l’Université du Wisconsin à Madison permet l’accès aux ressources universitaires depuis des réseaux externes
  • Protection des personnes vulnérables :
    • Les victimes de violences domestiques utilisent des VPN pour éviter d’exposer leur localisation
    • Les journalistes et défenseurs des droits humains s’en servent pour protéger leurs sources et leurs activités de la surveillance
    • Les utilisateurs LGBTQ+ y ont recours pour accéder à des informations de santé et à des communautés de soutien dans des environnements hostiles
  • Les utilisateurs ordinaires utilisent aussi des VPN pour éviter le pistage publicitaire, la surveillance des FAI et la collecte de données géolocalisées

Atteinte à la vie privée et risque de fuite de données

  • Si les VPN sont bloqués, les utilisateurs devront soumettre directement aux sites web, pour accéder au contenu, des pièces d’identité officielles, données biométriques ou informations de carte bancaire
  • Ces données risquent fortement d’être stockées sans chiffrement adéquat, avec un risque élevé de piratage et de fuite
    • Des cas de compromission de systèmes de vérification d’âge se sont déjà produits
  • Au final, l’identité réelle des personnes et leur historique de consultation pourraient être exposés, ce qui constituerait une grave atteinte à la vie privée
  • Le projet de loi est ainsi présenté comme une politique de renforcement de la surveillance au nom de la « sécurité »

Une définition excessivement élargie des « contenus nuisibles aux mineurs »

  • Dans le droit existant, les contenus pouvant être interdits aux mineurs sont limités aux cas où ils ont peu de valeur sociale et excitent la curiosité sexuelle
  • Le projet de loi du Wisconsin élargit cette définition au point que de simples descriptions sexuelles ou explications du corps humain pourraient être considérées comme nuisibles
    • Cela pourrait englober la littérature, l’art, la musique, le cinéma, ainsi que des contenus scientifiques ou médicaux
  • Le texte s’appliquerait aussi aux sites dont plus d’un tiers du contenu relève de cette catégorie
    • Avec ce critère, des réseaux sociaux, sites d’éducation sexuelle ou ressources de santé LGBTQ+ pourraient être visés
  • Une définition aussi large donnerait au gouvernement le pouvoir de juger arbitrairement de ce qu’il est acceptable d’exprimer
    • Historiquement, ce type de censure a souvent pénalisé les communautés minoritaires

Une efficacité douteuse et des contournements faciles

  • Même si la loi était adoptée, les utilisateurs pourraient facilement la contourner via des VPN non commerciaux, des open proxies ou des serveurs privés
    • Il resterait aussi possible de faire du tunneling de trafic via des services cloud comme AWS ou DigitalOcean
  • En pratique, l’impact du blocage se concentrerait donc surtout sur les utilisateurs légitimes, les entreprises, les étudiants, les journalistes et les victimes
  • Les dispositions anti-VPN sont ainsi jugées inefficaces et susceptibles de rendre Internet moins sûr
  • Plus fondamentalement, le problème ne viendrait pas des VPN, mais de l’inefficacité structurelle des lois de vérification d’âge et de leur atteinte à la vie privée

Une menace contre la vie privée et les libertés

  • Face à l’extension des obligations de vérification d’âge, les utilisateurs ont davantage recours aux VPN
  • Mais certains responsables politiques y voient un « outil d’évitement de la surveillance » et s’orientent vers l’interdiction même des technologies de protection de la vie privée
  • L’interdiction des VPN est considérée comme une attaque contre la vie privée numérique et la liberté d’expression
  • Comme alternatives à ces politiques présentées au nom de la protection des mineurs, sont avancés le renforcement de l’éducation, le soutien aux parents et le traitement des véritables facteurs de risque en ligne
  • Des lois anti-VPN élaborées sans compréhension technique sont perçues comme une grave menace pour la liberté et la sécurité sur Internet

À lire aussi

1 commentaires

 
GN⁺ 2025-11-15
Avis Hacker News
  • Cela rappelle la politique de censure russe
    Ils ont bloqué les principaux fournisseurs de VPN, les bridges Tor et même des sites hébergés à l’étranger, ainsi que des protocoles comme IPsec et WireGuard
    L’usage d’un VPN a été désigné comme circonstance aggravante pour le crime de « recherche d’informations extrémistes », ce qui a effrayé beaucoup de monde
    Si, au final, la majorité des gens ne se retrouvent à utiliser que des services locaux surveillés et censurés, il devient alors facile de mettre en place des listes blanches ou de couper l’accès au réseau international
    • À moins d’aller jusqu’à un niveau de contrôle à la russe, ce genre de politique ne fonctionne pas
      Les États-Unis ont encore un État de droit, donc pour faire réellement appliquer une interdiction des VPN, il faudrait que plusieurs institutions s’effondrent
  • J’ai déjà vécu la censure d’Internet à Zanzibar
    Des VPN comme Proton étaient bloqués, et utiliser un VPN sans autorisation exposait à une amende de 2 000 dollars ou 12 mois de prison
    Pour obtenir l’autorisation d’utiliser un VPN, il fallait soumettre un formulaire avec des détails comme l’adresse IP, mais l’examen était lent et opaque
    Le contexte de cette proposition de loi est différent, mais le fait que les législateurs ne comprennent pas la nature même d’un VPN est similaire
    Ironiquement, Zanzibar veut attirer des nomades numériques tout en empêchant un Internet libre
  • Une fonction de filtrage IP que les parents peuvent verrouiller par mot de passe dans les paramètres de l’appareil serait bien plus efficace et plus simple à mettre en œuvre
    Cela devrait être une option par défaut, mais étrangement, on n’en parle même pas
    Les lois de censure d’Internet au nom de la protection des enfants sont, par principe, une mauvaise approche
    Ce sont les parents qui doivent assumer l’éducation de leurs enfants, pas l’État à leur place
    Ces lois finissent par ouvrir la porte à une société de surveillance
    • Quelles que soient les intentions, ce type de loi permet une surveillance de masse sous le prétexte de la « protection »
    • La « protection des enfants » n’est qu’un prétexte ; l’objectif réel est le contrôle de l’information
    • Dès le départ, l’objectif était la surveillance
      Le problème, c’est que les auteurs de ce genre de politiques ne se voient même pas comme des autoritaires
      Cupidité et ignorance, combinées à l’absence d’éthique, finissent par mener au fascisme
    • Il est normal que les parents aient le contrôle, mais beaucoup n’y consacrent pas réellement de temps
      Aucune loi ne pourra changer cette réalité
    • Le blocage IP n’est pas réaliste
      Si on bloque les plages d’IP de Cloudflare, CloudFront, Amazon ou Google, il ne reste plus grand-chose
      Il existe de meilleures méthodes que le blocage IP
  • Cela rappelle les tentatives des années 1990 pour interdire le chiffrement fort
    Le gouvernement affirmait que les trafiquants de drogue et les criminels visant les enfants utilisaient le chiffrement, et voulait donc limiter HTTPS à un chiffrement faible
    Au fond, on retrouve aujourd’hui la même logique de propagande
    • Le cas du Clipper Chip est emblématique
    • En fin de compte, ils n’avaient apparemment pas imaginé que les criminels seraient assez audacieux pour communiquer par e-mail en clair
  • Si le Wisconsin découvre comment bloquer parfaitement les VPN, il pourra peut-être aussi l’enseigner à Netflix ou Akamai
    En pratique, le géoblocage fonctionne dans une certaine mesure, mais bloquer les VPN est presque impossible
    Un ami dit que, lorsque NordVPN est bloqué, il lui suffit de changer d’IP quelques fois pour se reconnecter à chaque fois
    • Il n’est pas nécessaire de les bloquer parfaitement
      Comme pour le meurtre, qu’on ne peut pas empêcher totalement mais qui reste illégal, une loi interdisant les VPN peut fonctionner de la même manière
    • Cela donne l’impression de voir des gens essayer de transformer Internet en fonction de leur imaginaire
      Comme s’ils essayaient de retenir Internet avec du ruban adhésif
    • C’est différent si l’acteur en question peut contrôler le réseau comme un gouvernement
      La Chine est récemment devenue assez efficace pour bloquer les VPN
      Mais c’est sans doute possible dès lors qu’il n’existe pas de contraintes comme une constitution
    • Bloquer les VPN, c’est un jeu du chat et de la souris
      AWS WAF a aussi ajouté en 2020 une fonction de blocage des IP de VPN
      Lien vers la mise à jour AWS WAF
    • En réalité, beaucoup de sites bloquent déjà les VPN
      Il suffit de s’abonner à NordVPN et de vérifier directement les IP, donc ce n’est pas si difficile
  • On assiste à l’effondrement lent des « démocraties » occidentales et à la montée du Sud global
    Les dirigeants occidentaux semblent en état de panique, et Biden comme Trump paraissent affaiblis
    À l’échelle individuelle, il faut cultiver une force intérieure à travers la famille, les amis, l’apprentissage tout au long de la vie, la spiritualité, le travail productif et le soutien à la communauté
  • Utiliser un tunnel SSH est plus simple qu’un VPN
    Au final, il faudrait réguler des bibliothèques comme libssl ou libcrypto, ce qui n’a aucun sens
    On finira peut-être en prison pour « usage non autorisé d’une paire de clés privées »
    • Cela n’est possible que si tu es pauvre ou classé comme ennemi politique
      Je me demande bien où est passé le « petit gouvernement »
    • Le tunneling n’est pas une fonction de chiffrement ; c’est le chiffrement qui rend la détection plus difficile
      On peut aussi faire du tunneling via HTTP, Telnet, DNS, SMS, etc.
    • Pour un adulte, il s’agit simplement d’accéder à du contenu légal par un autre moyen
      L’objectif de ce genre de loi est d’empêcher que des enfants tombent par hasard sur des contenus nocifs
      Si quelqu’un est capable de s’abonner lui-même à un VPN ou d’exploiter un serveur SSH, il a déjà l’âge de faire preuve d’un jugement autonome
  • La vérification d’âge demande beaucoup trop de données personnelles
    Nom, adresse, signature, visage : rien de tout cela n’est nécessaire
    Il suffit simplement de prouver qu’on a « plus de 21 ans »
    S’il existait une méthode de vérification respectueuse de la vie privée, ce type de loi susciterait sans doute moins de rejet
    • Il est fort possible que l’objectif réel ne soit pas la vérification d’âge, mais bien la collecte de données et le contrôle
  • Quand on voit ce genre de politiques, on a l’impression que personne ne tient réellement les commandes
    Le pays tout entier semble simplement être emporté par le courant
  • Il est frappant de voir les « démocraties » occidentales copier avec cinq ans de retard les lois des États autoritaires
    • Cette tendance s’est déjà répétée dans la politique américaine
      Il y a eu des cas comme la loi Comstock, le CDA, l’imposition d’un chiffrement faible et le Clipper Chip
      L’autoritarisme peut apparaître n’importe où, quelle que soit la nationalité
    • Le Great Firewall chinois date de 2003, mais le Royaume-Uni n’a toujours pas de pare-feu de ce type
      Le décalage est donc encore plus grand
    • Ce n’est peut-être pas seulement un décalage, mais le signe qu’ils sont en train de devenir de plus en plus autoritaires
    • Ce n’est pas drôle, c’est vraiment terrifiant