La loi britannique sur la sécurité en ligne (Online Safety Act) est entrée en vigueur le 25 juillet 2025. Elle vise entre autres à lutter contre l'exposition des enfants aux contenus préjudiciables en ligne. Cependant, les nouvelles règles suscitent de vives inquiétudes parmi les défenseurs des libertés numériques. Les Britanniques trouvent déjà des solutions pour contourner les systèmes de vérification de l'âge, notamment les VPN, dont certains ont signalé une hausse de 1 400 % des inscriptions à la suite de l'entrée en vigueur de la loi. Le gouvernement britannique examine la manière dont les VPN sont utilisés, ce qui fait planer la menace d'une interdiction.À la suite de l'entrée en vigueur de la loi britannique sur la sécurité en ligne, certains des plus grands sites pornographiques, dont Pornhub et YouPorn, ont annoncé qu'ils se conformeraient aux nouvelles directives. Et les plateformes de médias sociaux tels que BlueSky, Reddit, Discord, Grindr et X (ex-Twitter) mettent en place des systèmes de contrôle de l'âge au Royaume-Uni dans le but d'empêcher les enfants d'accéder à des « contenus préjudiciables ».
Mais face à cette intrusion perçue dans leur vie privée, les internautes britanniques se sont massivement tournés vers les VPN comme solution quelques heures à peine après l’entrée en vigueur du texte. Ainsi, Proton VPN a vu ses inscriptions grimper de plus de 1 400 % en quelques heures au Royaume-Uni, propulsant l'application au sommet de l’App Store britannique. Le concurrent NordVPN a enregistré une hausse de 1 000 % de ses ventes quotidiennes.
« En essayant d'empêcher les enfants de voir des contenus préjudiciables en ligne, le gouvernement a peut-être poussé des centaines de milliers de personnes à adopter des outils qui rendent l'interception légale presque impossible », explique Graeme Stewart, responsable du secteur public chez Check Point. Selon lui, le gouvernement externalise l'application de la loi à des tiers qui ne rendent pas de comptes, ce qui n'offre aucune garantie de sécurité.
Ce comportement traduit une réalité simple : les internautes britanniques refusent de téléverser leurs pièces d’identité sur des plateformes de divertissement ou de médias sociaux. L'idée d'une interdiction totale des VPN a ensuite été évoquée, mais dans quelle mesure cela serait-il possible ? Le secrétaire à la technologie Peter Kyle a déclaré à Sky News qu'il va examiner « très attentivement » la manière dont les services VPN sont utilisés.
La position du gouvernement britannique sur les VPN grand public
Il ne s'agit pas là de simples conjectures motivées par la peur. Sarah Champion, députée travailliste, s'est plainte, alors qu'elle était dans l'opposition, que les VPN pouvaient nuire à la sécurité en ligne. Elle aurait toutefois inclus un « service VPN payant » dans ses dépenses. De son côté, le secrétaire d'État à la technologie Peter Kyle a déclaré que « l'interdiction des VPN n'est pas à l'ordre du jour », mais a appelé à la prudence dans leur utilisation.
Le Royaume-Uni estime que les VPN sont des services légaux. Un porte-parole du gouvernement a toutefois ajouté : « nous n'avons aucune excuse à présenter pour demander des comptes aux plateformes, afin de nous assurer qu'elles empêchent les enfants de contourner les mesures de sécurité. Cela inclut le blocage des contenus qui font la promotion des VPN et autres solutions de contournement, lorsqu'ils s'adressent spécifiquement aux enfants ».
Le régulateur britannique des télécommunications, Ofcom, a fait écho à ces arguments. Dans une déclaration, un porte-parole a reconnu que « les VPN sont des services légaux qui peuvent être commercialisés et utilisés par les citoyens britanniques ». Cependant, il a souligné que « les parents au Royaume-Uni doivent être conscients que si leurs enfants utilisent un VPN, ils ne peuvent pas bénéficier des protections prévues par la loi sur la sécurité en ligne ».
Le régulateur a ajouté que les parents inquiets de l'utilisation des VPN par leurs enfants peuvent prendre certaines précautions supplémentaires, notamment en ajoutant des contrôles parentaux au niveau du routeur ou en configurant des alertes lorsque de telles applications sont téléchargées.
Le Royaume-Uni pourrait-il interdire les VPN s'il le souhaitait ?
Certains experts en sécurité pensent que le gouvernement va effectivement légiférer pour combler le vide juridique concernant les VPN. Cependant, toute exigence supplémentaire concernerait probablement les plateformes de contenu plutôt que les fournisseurs de VPN. D'après Ilia Kolochenko, expert en droit de la cybersécurité, le Royaume-Uni pourrait voter une loi afin d'exiger des fournisseurs de contenus pour adultes qu'ils bloquent le trafic VPN.
« Certes, certains VPN resteront indétectables, mais environ 90 % des services VPN gratuits et commerciaux les plus populaires peuvent être identifiés et seront probablement bloqués par les fournisseurs de contenu pour adultes, comblant ainsi la faille », explique Ilia Kolochenko. Selon lui, il existe de nombreux moyens techniques et opérationnels pour détecter l'utilisation des VPN, mais il est plus difficile de bloquer ces réseaux pour des sites spécifiques.
Ilia Kolochenko ajoute que le gouvernement pourrait acheter des abonnements VPN auprès de tous les fournisseurs connus afin de déterminer leurs plages de réseau, leurs adresses IP et leurs points de sortie, qui pourraient ensuite être bloqués directement. Toutefois, les fournisseurs mélangent et modifient leurs points de sortie pour éviter d'être détectés, ce qui rendrait cette tâche titanesque et nécessiterait beaucoup de temps et d'investissements.
Les appareils peuvent également être « identifiés » afin de déterminer s'ils sont connectés à un VPN. Toutefois, pour interdire efficacement les VPN, le gouvernement devrait procéder à une « inspection approfondie des paquets », permettant ainsi aux censeurs d'inspecter le trafic Internet, de le classer et de décider ce qu'il convient de bloquer. C'est ce qu'affirme Harry Halpin, PDG de Nym, un outil décentralisé de protection destiné à la vie privée.
« C'est ce que fait la Chine. Mais cela obligerait le Royaume-Uni, comme la Russie, à acheter des outils de censure des VPN à la Chine, afin de construire le « Grand Pare-feu de Grande-Bretagne », a déclaré Harry Halpin. Cependant, une telle chose nuirait fortement au statut démocratique du pays.
Les défis techniques liés à la mise en œuvre d'une telle mesure
Les experts avertissent depuis longtemps que les VPN constituent une faille flagrante dans la loi sur la sécurité en ligne. Suite à la mise en place de la clause de vérification de l'âge, des rumeurs ont circulé selon lesquelles le gouvernement pourrait prendre des mesures répressives contre les services VPN. Alors que les spéculations vont bon train sur le sujet, les experts affirment qu'une telle mesure placerait le Royaume-Uni sur la même voie que la Chine.
Le Royaume-Uni pourrait actionner divers leviers techniques, comme l'interdiction de la vente de VPN, mais comme le soulignent les experts, cela reviendrait à interdire aux gens de fumer chez eux. « Vous n'aimez peut-être pas ça, mais bonne chance pour faire respecter cette interdiction », a déclaré Graeme Stewart.
Envoyé par Graeme Stewart, responsable du secteur public chez Check Point
La logistique est pratiquement impossible. Vous pourriez, en théorie, interdire la vente de services VPN ou demander aux FAI de ne pas accepter le trafic VPN. Mais même dans ce cas, les gens trouveraient des solutions de contournement. Tout ce que vous obtiendriez, c'est de pousser l'utilisation des VPN dans la clandestinité, créant ainsi un marché noir pour les concentrateurs VPN.
La seule façon de le faire serait de mal le faire. Vous obligeriez en effet les FAI à bloquer le trafic chiffré légitime et, ce faisant, vous réglementeriez toute une industrie jusqu'à la faire disparaître. Pire encore, vous légiféreriez contre la cybersécurité et la vie privée.
Au-delà des inconvénients du blocage de contenu au niveau des FAI mentionnés par Graeme Stewart, il est également probable qu'une fois qu'un VPN sera interdit, il y en aura toujours un autre à bloquer, ce qui donnerait lieu à un jeu de cache-cache. Jake Moore, conseiller en cybersécurité chez ESET, estime que d'autres méthodes pourraient faire dériver le Royaume-Uni vers un terrain glissant, sans parler d'une catastrophe en matière de relations publiques.
Il a déclaré : « même si nous ne devrions pas envisager d'adopter une méthode utilisée par la Chine, les Chinois utilisent la technique d'analyse des modèles de trafic pour l'utilisation des VPN, mais cela nécessite une infrastructure coûteuse et des mises à jour constantes, ce qui rend cette solution irréalisable. Et certains VPN proposent des modes permettant de faire passer leur trafic pour du trafic HTTPS normal, rendant la détection encore plus difficile ».
Scott McGready, cofondateur de Damn Good Security, a déclaré que si les FAI britanniques commençaient à dénoncer l'utilisation des services VPN par leurs clients, cela créerait « une situation très préoccupante » et les conséquences imprévues pour les utilisateurs et les entreprises légitimes seraient énormes.
Impacts d'une interdiction potentielle des VPN aux Rouayme-Uni
Parmi les pays qui interdisent l'utilisation des VPN figurent la Russie, les Émirats arabes unis, l'Iran, l...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Que pensez-vous de cette multiplication de projets de loi qui menacent les libertés individuelles en Europe ? Vers un espace européen totalitaire ?