Blog

Utah SB 73 : vous êtes désormais responsable des VPN de vos utilisateurs

L’Utah est le premier État américain à tenir les opérateurs responsables lorsque des utilisateurs contournent la vérification d’âge via un VPN. Une simple liste d’IP bloquées ne suffit pas.

May 05, 2026 • 9 min read

Mike Kutlu Author

Couverture sombre cside avec des points sur la responsabilité liée au contournement par VPN

La loi Senate Bill 73 de l’Utah est entrée en vigueur en mai 2026, faisant de l’Utah le premier État américain à tenir les opérateurs de sites web responsables lorsque des utilisateurs emploient un VPN ou un proxy pour contourner les contrôles de vérification d’âge. La loi ne vise pas les fournisseurs de VPN. Elle vous vise, vous, l’opérateur, et n’accepte pas "ils ont utilisé un VPN" comme défense.

NordVPN a décrit la loi comme "un paradoxe de conformité insoluble". L’Electronic Frontier Foundation l’a qualifiée de "jeu de taupe technique que probablement aucune entreprise ne peut gagner". Les deux décrivent le même problème : la détection VPN traditionnelle n’est pas assez fiable pour satisfaire une norme de responsabilité par infraction.

C’est précisément pour cela que la détection VPN de cside a été conçue.

Ce que l’Utah SB 73 exige réellement

Réponse rapide : L’Utah SB 73 exige des opérateurs de sites contenant du contenu préjudiciable aux mineurs qu’ils traitent les utilisateurs physiquement situés dans l’Utah comme des utilisateurs de l’Utah, même s’ils routent leur trafic via un VPN, un proxy ou tout autre outil de masquage de localisation. Les opérateurs restent responsables de l’accès qui se produit via une connexion masquée. La loi interdit aussi aux opérateurs de publier des instructions expliquant comment utiliser un VPN pour contourner leurs propres contrôles d’âge.

La loi modifie les exigences existantes de vérification d’âge de l’Utah pour les sites comportant une "part substantielle de contenu préjudiciable aux mineurs". L’ajout central est une règle de localisation réputée : un utilisateur physiquement présent dans l’Utah est juridiquement un utilisateur de l’Utah, même si son appareil présente une adresse IP hors Utah.

Cette seule règle change entièrement le problème de conformité. Auparavant, la question était de savoir si vous aviez un contrôle d’âge. Désormais, la question est de savoir si ce contrôle fonctionne contre des utilisateurs qui tentent activement de le vaincre. Une liste statique de nœuds de sortie VPN connus ne répond de manière fiable à aucune de ces deux questions.

La loi interdit aussi aux opérateurs de partager des instructions qui aideraient les utilisateurs à contourner le contrôle d’âge. Publier un article d’aide qui mentionne les VPN dans le contexte du contrôle d’accès devient désormais un risque de responsabilité distinct.

Pourquoi une liste de blocage par IP ne peut pas résoudre ce problème

Réponse rapide : Les listes statiques de blocage VPN échouent parce que les fournisseurs VPN commerciaux font tourner leurs plages d’IP plus vite qu’une liste ne peut être mise à jour, les services de proxy résidentiel routent le trafic via de vraies IP de consommateurs qui n’apparaissent jamais dans les listes de blocage, et de nouveaux services VPN apparaissent chaque jour. Une approche par liste de blocage est réactive par définition. L’Utah SB 73 exige une détection qui fonctionne sur des services VPN inconnus, pas seulement sur ceux déjà catalogués.

L’industrie du VPN fonctionne à grande échelle. Les grands fournisseurs font tourner des millions d’adresses IP sur des milliers de nœuds de sortie. Les réseaux de proxy résidentiel sont encore plus difficiles : ils routent le trafic via des adresses IP attribuées à de véritables connexions haut débit domestiques, impossibles à distinguer d’utilisateurs légitimes par l’adresse IP seule.

Les listes de blocage statiques étaient à peine suffisantes lorsque l’usage du VPN était un comportement de niche. Elles ne le sont plus. Après l’entrée en vigueur du Florida HB3 en novembre 2025, l’usage des VPN a fortement augmenté dans la population exacte que la loi cherchait à contrôler, les utilisateurs recherchant des contournements. Les opérateurs de l’Utah doivent s’attendre au même schéma.

La critique technique de l’EFF comme de NordVPN est juste sur un point : vous ne pouvez pas gagner une guerre de listes de blocage. La réponse consiste à arrêter de traiter le problème au niveau des adresses IP.

La vague croissante des lois étatiques sur la vérification d’âge

Réponse rapide : L’Utah SB 73 est la troisième grande loi américaine de vérification d’âge à créer une responsabilité pour les opérateurs, après le Texas HB1181 (confirmé par la Cour suprême en juin 2025) et le Florida HB3 (dont l’application a commencé en novembre 2025). Plus de 25 États américains ont adopté ou font avancer des exigences de vérification d’âge. La tendance est constante : les législateurs passent de "construisez une barrière" à "la barrière doit réellement fonctionner".

Le Texas HB1181 exige que les sites commerciaux dont plus d’un tiers du contenu est du "matériel sexuel préjudiciable aux mineurs" vérifient que les utilisateurs ont 18 ans ou plus. La Cour suprême des États-Unis a confirmé la loi le 27 juin 2025 dans Free Speech Coalition, Inc. v. Paxton, confirmant que les obligations de vérification d’âge pour le contenu adulte sont constitutionnellement admissibles.

Le Florida HB3 interdit aux mineurs de moins de 14 ans de créer des comptes sur les plateformes couvertes, exige le consentement parental pour les 14 et 15 ans, et impose la vérification d’âge pour l’accès à du contenu préjudiciable. La Cour d’appel du onzième circuit a levé une injonction le 25 novembre 2025, permettant la poursuite de l’application complète.

L’Utah SB 73 va plus loin que ces deux précédentes lois. Le Texas et la Floride créent une responsabilité pour les sites qui ne vérifient pas l’âge. L’Utah crée une responsabilité pour les sites dont les contrôles d’âge sont contournés, y compris au moyen d’outils contrôlés par l’utilisateur. C’est une norme de conformité matériellement différente.

La direction est claire. Les législateurs ne se satisfont pas de barrières que les utilisateurs avertis peuvent contourner. Les opérateurs qui s’appuyaient sur une simple vérification IP ou une liste de blocage devront revoir leur approche.

À quoi ressemble la détection comportementale des VPN

Réponse rapide : La détection comportementale des VPN analyse la façon dont un utilisateur accède à un site au lieu de simplement comparer son adresse IP à une liste de VPN connus. Elle examine des signaux réseau, des schémas comportementaux et la cohérence de l’appareil entre les requêtes afin d’identifier l’usage de VPN et de proxy, même depuis des services pas encore catalogués. cside traite plus de 100 millions de requêtes par jour, ce qui construit la reconnaissance de motifs nécessaire pour faire fonctionner cette approche à grande échelle.

L’idée centrale est que le trafic VPN et proxy présente des signatures comportementales cohérentes qui persistent même lorsque les adresses IP changent. Un trafic routé via un VPN se comporte différemment d’un trafic utilisateur organique au niveau réseau : les caractéristiques du chemin de routage, les schémas de latence et la relation entre les attributs déclarés et réels de l’appareil fournissent tous un signal.

Le trafic de proxy résidentiel est plus difficile à détecter par l’IP seule, mais pas par le comportement. Une session de proxy résidentiel présente toujours les asymétries propres au trafic relayé : comportement temporel, cohérence de l’empreinte de l’appareil et caractéristiques de session qui diffèrent d’un utilisateur sur sa propre connexion domestique.

La détection VPN de cside identifie ce trafic à la fois sur les services VPN commerciaux et les proxys résidentiels, y compris les services qui ne figurent pas encore dans une liste publique de blocage. Lorsqu’une détection se déclenche, les opérateurs choisissent la réponse : bloquer purement et simplement la session, exiger une vérification supplémentaire comme un CAPTCHA ou une étape 2FA avant d’accorder l’accès, ou journaliser la détection à des fins d’audit de conformité sans interrompre l’utilisateur.

Cette dernière option compte pour la documentation de responsabilité. L’Utah SB 73, comme le Texas HB1181, crée un risque par infraction. Les opérateurs capables de démontrer un programme de détection et de réponse de bonne foi sont dans une position matériellement différente de ceux qui ne le peuvent pas.

Ce que les opérateurs doivent faire maintenant

Réponse rapide : Les opérateurs qui gèrent du contenu soumis à une limite d’âge dans n’importe quel État américain doivent auditer leur approche actuelle de détection VPN avec un test simple : fonctionne-t-elle contre les proxys résidentiels et les nouveaux services VPN, ou seulement contre des nœuds de sortie catalogués ? Si la réponse est la seconde, elle ne satisfera pas une loi d’État qui vous rend responsable des accès contournés. Remplacez ou complétez les listes statiques par une détection comportementale avant le prochain cycle d’application.

Commencez par auditer votre configuration actuelle :

Votre flux de vérification d’âge compare-t-il l’IP à une liste de blocage, ou analyse-t-il le comportement de session ?
Journalisez-vous les détections VPN dans un format qui crée une piste d’audit de conformité ?
Si un utilisateur contourne votre contrôle via un proxy résidentiel, votre système le détecte-t-il ?
Publiez-vous sur votre site du contenu qui explique des contournements d’accès via VPN ?

Si la réponse à la dernière question est oui, supprimez-le. L’Utah SB 73 interdit explicitement aux opérateurs de publier des conseils facilitant le contournement.

Pour les autres questions, la réponse honnête de la plupart des configurations basées sur des listes de blocage est que les proxys résidentiels et les nouveaux services VPN ne seront pas détectés. C’est l’écart que comble la détection comportementale.

Conclusion

L’Utah SB 73 fait passer la question de conformité de "avez-vous un contrôle d’âge ?" à "votre contrôle d’âge fonctionne-t-il réellement contre les utilisateurs qui tentent de le contourner ?". Une liste de blocage par IP répond à la première question. Elle ne répond pas à la seconde.

La détection comportementale des VPN est l’approche qui y répond. Si vous gérez du contenu soumis à une limite d’âge dans un État américain, le moment est venu d’auditer si votre détection actuelle satisfera une norme de responsabilité par infraction.

Découvrez comment fonctionne la détection VPN de cside ou réservez une démo pour la voir sur votre trafic.

Author Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

La loi SB 73 de l’Utah est une loi de 2026 qui modifie les exigences de vérification d’âge en ligne de l’État. Elle rend les opérateurs de sites web responsables lorsque des utilisateurs physiquement situés dans l’Utah accèdent à du contenu soumis à une limite d’âge via un VPN ou un proxy. L’adresse IP de l’utilisateur n’a pas d’importance ; la localisation physique dans l’Utah rend l’opérateur responsable, quelle que soit la façon dont l’utilisateur route son trafic.

Les fournisseurs de VPN et d’autres critiques utilisent cette formule parce que les outils VPN sont précisément conçus pour rendre les utilisateurs indétectables par adresse IP. Une liste statique de nœuds de sortie VPN connus ne peut pas suivre des fournisseurs qui font tourner des millions d’IP. La loi n’est pas paradoxale si l’on détecte les VPN par le comportement plutôt que par des catalogues d’IP, mais elle ne peut pas être résolue par une simple liste.

Le Texas et la Floride créent une responsabilité pour les opérateurs qui ne mettent pas en place de vérification d’âge. L’Utah ajoute une couche de responsabilité : si un utilisateur contourne votre contrôle d’âge avec un VPN, vous restez responsable. C’est la différence entre exiger une serrure sur une porte et exiger que cette serrure empêche réellement l’entrée.

Les options dépendent de votre posture de risque. Vous pouvez bloquer entièrement l’accès des sessions VPN détectées, exiger une vérification renforcée avant d’autoriser l’accès, ou journaliser la détection pour créer une piste d’audit de conformité sans interrompre l’utilisateur. cside prend en charge ces trois modes de réponse et permet aux opérateurs de les configurer par type de contenu ou par juridiction.

Oui. Le trafic de proxy résidentiel passe par de vraies adresses IP de consommateurs qui n’apparaissent jamais dans les listes de blocage VPN. L’approche comportementale de cside détecte les caractéristiques de session du trafic proxyfié indépendamment de l’adresse IP qui lui est attribuée, couvrant à la fois les nœuds de sortie VPN commerciaux et les services de proxy résidentiel.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Bannière sombre cside montrant une attaque de chaîne d'approvisionnement npm de type ver

L'effet boule de neige : comment Mini Shai-Hulud transforme npm en réseau de distribution de ver

Mini Shai-Hulud a transformé des paquets npm en boucle de vol d'identifiants. Voici comment la vague AntV s'est propagée.

Pourquoi les CAPTCHA ne sont plus une défense fiable contre les bots

Les CAPTCHA ne sont plus une défense principale fiable contre les bots. Voyez pourquoi ils échouent et comment augmenter le coût attaquant.

Banniere illustree du blog sur les sanctions contre Funnull, le blanchiment d'infrastructure et le risque de chaine d'approvisionnement dans le navigateur

Funnull sanctionnée : ce que Polyfill[.]io a révélé sur le blanchiment d'infrastructure

Les sanctions visant Funnull montrent que Polyfill relevait d'un risque plus large de blanchiment d'infrastructure.

Illustration du stack de sécurité avec inférence sur appareil

L'inférence sur appareil arrive dans votre stack de sécurité : pour le meilleur et pour le pire

L'IA locale peut protéger les données sensibles et renforcer l'endpoint, mais crée des risques de prompt injection, télémétrie et navigateur.

Couverture sombre cside avec des points sur les outils de détection des agents IA

4 outils pour détecter les agents IA sur votre site web (prévention de la fraude)

Comparaison de cside, HUMAN Security, DataDome et Cloudflare pour la détection des agents IA. Découvrez comment chaque outil gère la prévention de la fraude, les tarifs et l'implémentation.

Couverture sombre cside avec des points sur le blocage des bots de test de carte par IA

Bots de test de carte pilotés par des agents IA | Comment les arrêter

Les agents de test de cartes par IA utilisent de vrais navigateurs pour valider des identifiants volés à grande échelle. Apprenez à les détecter et à les bloquer avant le paiement.

Couverture sombre cside avec des points sur les usages et le blocage des navigateurs furtifs

Qu'est-ce que les navigateurs furtifs (ou « anti-détection ») et quand les bloquer

Les navigateurs furtifs contournent la détection des bots. Les navigateurs anti-détection falsifient les empreintes. Découvrez les signaux qui révèlent les deux, même lorsqu'ils ressemblent à des humains.

Badge SourceForge Spring 2026 Top Performer à côté d’un graphique de dashboard cside

cside nommé SourceForge Spring 2026 Top Performer pour la sécurité côté client

cside a été nommé SourceForge Spring 2026 Top Performer, signe de confiance des utilisateurs en sécurité côté client et PCI.

Couverture sombre cside avec des points sur la détection du trafic d’agents IA

Comment détecter les agents IA sur votre site web | Guide complet

Ce guide couvre la détection des agents IA à travers les signaux d'identité, réseau, navigateur et comportementaux. Découvrez les méthodes gratuites comme l'analyse des logs serveur et les outils spécialisés.

Globe de réseau bleu et icônes de sécurité navigateur sur une couverture sombre cside

cside copréside la sécurité antifraude du navigateur au W3C

Simon Wijckmans copréside désormais l'AFCG du W3C tandis que cside aide à définir des signaux privés contre la fraude IA.