L’emplacement annoncé du VPN ne correspond pas au pays réel de sortie du trafic

 (ipinfo.io)
11 points par GN⁺ 2025-12-14 | 2 commentaires | Partager sur WhatsApp
  • L’analyse de 20 grands VPN montre que pour 17 services, la sortie réelle du trafic ne correspondait pas au pays annoncé, et beaucoup utilisaient les mêmes datacenters aux États-Unis ou en Europe
  • La mesure de plus de 150 000 IP de sortie VPN a montré que 38 pays étaient “entièrement virtuels”, c’est-à-dire que le trafic n’en sortait réellement jamais
  • Mullvad, IVPN et Windscribe sont les seuls dont les emplacements annoncés et réels correspondaient dans tous les pays, alors que les autres présentaient d’importants écarts
  • Une « localisation virtuelle » désigne un VPN affiché comme étant dans un pays donné alors que le trafic sort en réalité depuis une autre région (par exemple Miami ou Londres)
  • L’écart entre le nombre de pays revendiqué par les VPN et leurs emplacements physiques réels pose un problème de transparence et de confiance ; pour y répondre, IPinfo utilise une approche de mesure réelle basée sur ProbeNet

Résultats d’une enquête à grande échelle sur les écarts de localisation des VPN

  • IPinfo a analysé 20 VPN populaires et a confirmé que 17 d’entre eux différaient du pays réel de sortie du trafic
    • Certains VPN affirment prendre en charge plus de 100 pays, mais partagent en réalité un petit nombre de datacenters aux États-Unis et en Europe
  • Au total, 150 000 IP de sortie ont été mesurées sur la base de 137 pays
    • 38 pays étaient uniquement virtuels : chez aucun VPN, le trafic ne sortait réellement depuis ces pays
    • Seuls 3 VPN permettaient de vérifier réellement tous les emplacements revendiqués
    • Environ 8 000 erreurs de géolocalisation IP ont été trouvées dans les jeux de données existants
  • Les mesures de ProbeNet montrent que la plupart des VPN disposent de moins de pays réels que ce qu’ils annoncent

Résultats de mesure réels par VPN

  • Comparaison entre le nombre de pays revendiqués par chaque VPN et le nombre de pays réellement mesurés
    • Mullvad, IVPN et Windscribe affichent 0 % d’écart, avec une correspondance parfaite
    • NordVPN, ExpressVPN, CyberGhost et d’autres avaient plus de la moitié de leurs emplacements virtuels ou impossibles à mesurer
  • Plus un VPN revendiquait de pays, plus le taux d’écart était élevé, ce qui rend les promesses de « plus de 100 pays » difficiles à croire

Signification des localisations virtuelles

  • Même si un VPN affiche « Bahamas » ou « Somalie », le trafic réel peut sortir depuis Miami aux États-Unis ou Londres au Royaume-Uni
    • Les informations d’enregistrement IP, elles aussi fondées sur des déclarations, peuvent indiquer « Country X », alors que les mesures réseau réelles pointent vers un autre pays
  • Le ProbeNet d’IPinfo vérifie l’emplacement sur la base du RTT réel (temps d’aller-retour) via plus de 1 200 points de mesure dans le monde
  • Dans l’ensemble des données, 97 pays étaient virtuels ou impossibles à mesurer, dont 38 n’existaient que comme localisations entièrement virtuelles

Études de cas : Bahamas et Somalie

  • Bahamas : chez NordVPN, ExpressVPN, PIA, FastVPN et IPVanish, le trafic a tous été mesuré comme sortant depuis les États-Unis
    • Un RTT de 0,15 à 0,42 ms depuis Miami suggère des serveurs réellement situés aux États-Unis
  • Somalie : NordVPN et ProtonVPN affichent « Mogadishu », mais le trafic réel a été mesuré à Nice en France et à Londres au Royaume-Uni
    • Un RTT de 0,33 à 0,37 ms confirme des serveurs situés en Europe

Erreurs dans les jeux de données IP existants

  • Les fournisseurs de données IP existants utilisent des informations auto-déclarées et reprennent donc telles quelles les localisations erronées des VPN
  • Résultat de la comparaison entre les mesures ProbeNet et les jeux de données existants pour 736 IP de sortie VPN :
    • 83 % avaient une erreur de plus de 1 000 km, 28 % de plus de 5 000 km, et 12 % de plus de 8 000 km
    • L’erreur médiane était d’environ 3 100 km
  • ProbeNet affiche un RTT moyen de 0,27 ms, et 90 % des mesures étaient inférieures ou égales à 1 ms, ce qui confirme la proximité avec l’emplacement physique réel

Problème de confiance et raisons techniques

  • Raisons techniques de l’usage des localisations virtuelles
    • Éviter les risques réglementaires ou de surveillance, différences de qualité d’infrastructure, réduction des coûts et amélioration des performances
  • Mais le problème de confiance apparaît dans les cas suivants
    • Manque de divulgation explicite : absence de mention comme « Bahamas virtuel (hébergé aux États-Unis) »
    • Problème d’échelle : des dizaines de pays n’existent que sous forme de localisations virtuelles
    • Dépendance aux données : médias, ONG et systèmes de sécurité risquent de faire confiance à des informations de localisation erronées

Ce qu’il faut en retenir pour les utilisateurs

  • Les mentions « plus de 100 pays » doivent être considérées comme des chiffres marketing
    • Pour 17 VPN, 97 pays n’existent pas réellement
  • Il faut vérifier la manière dont le VPN présente ses emplacements : s’agit-il de serveurs virtuels, et l’emplacement réel d’hébergement est-il indiqué ?
  • Lorsqu’on utilise des données IP, il faut vérifier leur provenance : au-delà d’un simple taux de précision, il faut voir s’il s’agit de données fondées sur des mesures réelles
  • Plus qu’un problème propre à l’usage des VPN, cela souligne l’importance de la transparence et de données fondées sur des preuves

L’approche de mesure d’IPinfo fondée sur les données réelles

  • Les fournisseurs de données IP traditionnels dépendent des informations d’enregistrement RIR et de données auto-déclarées
  • IPinfo adopte une méthode de mesure réelle basée sur ProbeNet
    1. Exploitation de plus de 1 200 PoP (points de mesure)
    2. Mesure en temps réel basée sur le RTT pour déterminer l’emplacement des adresses IPv4 et IPv6
    3. Production d’une géolocalisation fondée sur des preuves, basée sur le comportement réel d’Internet
  • Cette approche vise à réduire les erreurs liées aux auto-déclarations et à garantir une précision centrée sur les données mesurées

Méthodologie de l’enquête

  • Collecte de plus de 6 millions de points de données à partir des sites web, fichiers de configuration, API, etc. de 20 fournisseurs VPN
  • Connexion directe à chaque emplacement VPN pour mesurer l’IP de sortie et le RTT
  • Comparaison entre le pays revendiqué par le VPN et le pays réel mesuré par ProbeNet
  • Seuls les emplacements clairement revendiqués ont été inclus dans l’analyse, tandis que les cas ambigus ou impossibles à mesurer ont été exclus
  • Au final, même avec des critères conservateurs, un taux d’écart élevé a été constaté ; avec des critères plus souples, ce taux pourrait être encore supérieur

À lire aussi

2 commentaires

 
princox 2025-12-15

Waouh, donc il y en a même qui trompent les gens avec ce genre de choses pour faire du business... ;;; Il y a vraiment beaucoup de problèmes.
 
GN⁺ 2025-12-14
Commentaires sur Hacker News

  • Je suis cofondateur de WonderProxy. Notre service n’est pas un VPN grand public, mais sert aux tests d’applications, donc il ne figurait pas dans la liste
    Nous opérons dans plus de 100 pays, et c’est vraiment un casse-tête. Au début, il arrivait souvent que des fournisseurs prétendant être au Mexique ou en Amérique du Sud soient en réalité au Texas
    À un moment, j’ai envisagé d’apporter moi-même des serveurs au Pérou, mais j’ai abandonné en découvrant qu’il faudrait payer l’impôt sur le revenu péruvien sur les revenus gagnés sur place
    Un client s’était plaint qu’un concurrent proposait des serveurs au Moyen-Orient, et après vérification, ils étaient en fait à moins de 1 ms de l’Allemagne

  • Je connais plusieurs personnes qui travaillent chez Mullvad, et elles prennent vraiment la sécurité et la vie privée très au sérieux. Donc ce résultat ne me surprend pas

    • Même derrière le GFW chinois, Mullvad, Windscribe et IVPN fonctionnaient, alors que des VPN plus connus ne marchaient pas. Il y a donc aussi de vrais VPN parmi les VPN
    • J’étais certain avant même de lire l’article que Mullvad réussirait le test
    • Plus j’utilise Mullvad, plus je l’apprécie. Les autres VPN empirent avec le temps, alors que celui-ci suit la trajectoire inverse. J’aime particulièrement le fait qu’on puisse préserver son anonymat avec le paiement via portefeuille de cryptomonnaie
    • Windscribe et iVPN ont aussi été bien notés, mais ce billet parle surtout du marketing mensonger des VPN. Les VPN n’améliorent pas énormément la sécurité, mais ils sont utiles pour contourner la censure ou lever des restrictions géographiques. Je pense que des réseaux spécialisés comme Psiphon, Lantern ou Tor sont plus puissants

  • Je suis citoyen d’un pays tout en résidant dans un autre, donc j’utilise souvent un VPN. Même accéder à des sites gouvernementaux est impossible sans VPN
    Le site de l’institut national de statistique renvoie une 404 depuis une IP étrangère, mais fonctionne normalement dès que j’active le VPN. Les diffusions électorales exigeaient aussi un VPN
    Pour la déclaration d’impôts, le VPN est bloqué et je dois le couper, mais les IP de résidents à l’étranger sont autorisées
    S’il existait un VPN avec des IP résidentielles, je serais prêt à payer 30 euros par mois. Mais la plupart sont difficiles à juger fiables

    • Si vous laissez chez un ami ou un membre de la famille une AppleTV avec Tailscale installé, vous pouvez l’utiliser comme exit node pour vous connecter. C’est ce que je fais
    • Je suis dans la même situation, donc j’ai créé TunnelBuddy (https://tunnnelbuddy.net) moi-même. C’est basé sur WebRTC : il suffit qu’un ami partage un mot de passe une seule fois, et on peut utiliser Internet comme si on se connectait depuis chez lui
    • Si vous avez un ami dans ce pays, brancher un Raspberry Pi derrière le modem est aussi une solution
    • Les IP résidentielles ne sont pas facturées au forfait mensuel mais au Go, donc c’est cher. En général, c’est plus de 2 dollars par Go
    • Une autre solution consiste simplement à utiliser une carte SIM en roaming de votre pays d’origine pour accéder aux sites gouvernementaux

  • Je trouve intéressant qu’on puisse estimer la vraie localisation d’un serveur grâce à la latence. Mais un VPN ne pourrait-il pas tromper le test en ajoutant artificiellement 100 à 300 ms de délai ?
    Par exemple, 74.118.126.204 est présenté comme une IP somalienne, mais ipinfo.io l’identifie à Londres. Il suffit de comparer curl ipinfo.io/74.118.126.204/json et curl ipwhois.app/json/74.118.126.204

    • Je pense que le temps de ping dépend davantage du nombre de sauts et de la qualité de la connexion que de la vitesse de la lumière
    • De la même manière qu’on peut estimer un hachage de mot de passe à partir du temps de réponse d’un serveur, le bruit n’est que du bruit
    • IPinfo envoie des pings depuis plusieurs régions en parallèle et calcule la position par multilatération. Ils disent exploiter plus de 600 serveurs de sonde (source)
    • Même si on ajoute de la latence à tous les paquets, Londres restera finalement l’endroit avec la plus faible latence
    • En envoyant des pings depuis plusieurs pays, on peut déterminer la position réelle par triangulation

  • La plupart des fournisseurs de VPN indiquent en fait qu’il s’agit de “localisations virtuelles”. Il est donc difficile de dire que c’est entièrement mensonger
    La question de savoir comment définir l’indication de localisation géographique d’un VPN est intéressante. Faut-il afficher l’emplacement réel du serveur, ou le pays sélectionné par l’utilisateur ?
    Je trouve la seconde option utile, car elle indique où le client « veut être »
    (Pour référence, j’exploite un service concurrent, et nous affichons nous aussi la localisation signalée par le VPN tout en indiquant clairement qu’il s’agit d’un VPN)

  • En passant à ProtonMail, j’ai essayé ProtonVPN, mais avec le VPN activé, la moitié des sites web ne fonctionnent pas. Même Hacker News bloque les VPN
    Il devient de plus en plus facile pour les sites d’identifier les points de terminaison VPN, et je me demande comment les VPN pourront contrer cela à l’avenir

    • Apple a pu faire pression pour que les sites autorisent les connexions via Private Relay. Si les VPN se généralisent, les sites finiront eux aussi par devoir les accepter
    • Si le nombre d’utilisateurs de VPN et de Tor augmente, il devient plus difficile pour les sites de les bloquer. Un monde où tout le monde utilise Tor serait idéal. Si tout le monde se ressemble, la discrimination devient impossible
    • Reddit applique un shadow ban quand on active un VPN. Il n’y a même pas de notification, donc si personne ne réagit à vos commentaires, il faut vérifier votre profil dans une session privée
    • C’est pareil pour Tor. On gagne en anonymat, mais on devient aussi très visible
    • Si l’usage des VPN augmente, ce sont les sites qui finiront par y perdre, surtout avec les utilisateurs mobiles qui les laissent souvent activés en permanence
      Si un site bloque les VPN, les utilisateurs sont frustrés et partent.
      Le camouflage en user-agent mobile peut aider. Il faut aussi aligner les empreintes SSL et HTTP sur celles du mobile
      Mieux vaut éviter les VPN avec offre gratuite. Les VPN payants ont une meilleure réputation IP

  • Je ne comprends pas très bien ce que ce test a exactement mesuré. Il est aussi étrange que plusieurs grands VPN soient absents
    J’utilise AirVPN, parce qu’il correspond à mon usage et à mon budget
    Les raisons d’utiliser un VPN sont variées — vie privée, anonymat (déconseillé), contournement des restrictions géographiques, torrent, contournement de la censure (GFC), etc.
    La dernière est la plus difficile
    Lien de référence : VPN Services Overview

    • Le test vérifiait la position réelle du nœud de sortie du VPN. Beaucoup d’acteurs ne changent que les informations WHOIS de l’IP tout en plaçant le vrai serveur dans un autre pays

  • Pour échapper à un pare-feu national, la localisation du nœud de sortie est importante, mais c’est aussi toute l’industrie du GeoIP qui pose problème
    Ce serait bien que les FAI utilisent la RFC8805 pour aider les utilisateurs à contourner les blocages régionaux

    • Avec la généralisation du CGNAT, il faudra peut-être des informations de localisation au niveau des ports. Par exemple : ports 10000 à 20000 pour New York, 20000 à 30000 pour Boston, etc.
    • On dirait l’avis de quelqu’un qui n’a jamais eu à subir des sanctions OFAC. Mon activité s’arrêterait immédiatement en cas de violation.
      Les informations géographiques IP sont un outil essentiel pour éviter ce type de risque
    • Ce serait bien de pouvoir gérer cette information comme les enregistrements PTR du DNS

  • Je pense qu’il est excessif d’inférer une connaissance du réseau backbone uniquement à partir du RTT (temps d’aller-retour).
    Le trafic n’est pas toujours routé efficacement, et les chemins de transmission varient selon le volume de trafic. Je serais curieux d’avoir d’autres avis

    • Il n’est pas nécessaire de supposer un routage efficace. Si on obtient un RTT inférieur à 1 ms depuis Londres, le serveur ne peut physiquement pas être hors du Royaume-Uni
      Avec la limite imposée par la vitesse de la lumière, un RTT de 0,4 ms correspond à une distance maximale d’environ 120 km. Cela suffit à démontrer avec certitude que le serveur n’est pas dans le pays qu’il prétend être
    • Calculé à partir de la vitesse de la lumière, un RTT inférieur à 0,5 ms signifie que le pays mesuré est le bon. Dans la fibre optique, la vitesse est encore plus lente à cause de la réfraction, donc la marge d’erreur est encore plus faible
    • À propos du “j’ai peut-être raté un détail” — oui, il semble que vous ayez oublié la physique. Si vous obtenez un ping sub-milliseconde depuis Londres, ce n’est pas l’île Maurice