IP Modulating et Direct Download

LiquidVPN est le seul VPN à proposer une IP Modulating, cette IP v 4 change constamment son dernier bloc toutes les 2, 3 secondes sans déconnexion du serveur. Ainsi vous avez constamment une nouvelle IP d’ un même serveur.

Capture-1

Attention cette IP modulating n’ a rien à voire avec la fonction changement d’ IP à la volée (ou programmée) que propose HideMyAss ou IPVanish dans leur software de connexion. La différence majeure est qu’ il y a déconnexion puis reconnexion ! Là l’ avancée technologique est réelle car vous êtes constamment connectés.

LiquidVPN vante ce procédé pour augmenter l’ anonymisation de votre connexion. En effet plusieurs centaines d’ utilisateurs entremêlent leurs IPs utilisées pour augmenter l’ incapacité de remonter à l’ IP F.A.I. Ceci est bien entendu théorique, n’ oublions pas que l’ anonymisation ne dépend en aucun cas seulement du VPN mais aussi d’ un ensemble d’ autres facteurs techniques ou comportementales.

On a trouvé une application concrète de l’ IP modulating. Avec les File Hosters (1FichierUptoboxUplea – …) pour faire du Direct Download c’est génial !!!

Tous les utilisateurs gratuits de ces Hébergeurs de fichiers savent que des limitations d’ usages et de connexions simultanées sont appliquées. Avec l’ IP modulating de LiquidVPN ces limitations sont contournées. Vous pouvez télécharger plusieurs fichiers en simultanées ! car à chaque lancement d’ un nouveau fichier vous avez une nouvelle IP ! donc vu comme un nouvel utilisateur. (Attention la vitesse reste à la charge de l’ hébergeur !)

On vous avait déjà présenté LiquidVPN dans un précédent article où l’ on soulignait déjà les innovations que proposent tous ces nouveaux VPN: LiquidVPN, Proxy.SH, AirVPN, IAPS, VPN.AC.

Notre intérêt pour ce VPN se confirme: 6$/ Mois pour 7 pays (Canada , Germany , Netherlands , Romania , Switzerland , UK , USA ) et 4 protocoles: OpenVPN, L2TP, STTP et PPTP sur le plan généraliste.

Mais deux options nous semblent vraiment intéressants: IP Modulating et le Smart Content Streaming: Quelque soit votre pays de connexion (excepté UK) vous pouvez débloquer les sites de vidéos US type Netflix et Hulu (Testé cela marche !)

LiquidVPN se démarque incontestablement sur la partie File Sharing, Torrent et P2P (HighID avec Emule sur les adresses dynamiques Roumaines).

Ce VPN a été très très stable, pas de déconnexion (Kill switch présent) grâce à l’ excellent Viscosity qui est utilisé par LiquidVPN.

Share

Les boîtes noires à l’ épreuve des VPN

La loi sur le renseignement suscite de nombreuse interrogations chez les Internautes et en particulier la fameuse disposition concernant les « boîtes noires ». Ces « boîtes noires » seront installées chez les opérateurs, les hébergeurs internet et seront en charge de surveiller le comportement des Internautes à partir d’ un algorithme pouvant déceler une suite de comportements sur internet, comme des mots-clés tapés, des sites consultés, des correspondances. Ensuite un profil est créé pour lutter contre une menace terroriste.

Le gouvernement pourra demander aux opérateurs de communication et aux fournisseurs d’accès internet de mettre en place un algorithme (un programme informatique capable de détecter une suite d’opérations définies) pouvant déceler « une menace terroriste » par une suite de comportements sur internet, comme des mots clés tapés et des sites consultés. En cas de menace détectée, l’anonymat de ces métadonnées pourra être levé.

Autant vous dire que je suis très curieux de voire cet algorithme (La  « boîte noire » n’ existant pas – Cette expression a été inventée par les opposants). L’ algorithme va devoir être très performant pour éviter des « faux positifs ». Existe t-il déjà ? Une période de test a t-elle été réalisée ?. On est très loin d’ un algorithme commercial basique qui cible la publicité suivant vos dernières recherches ! De plus j’ ai cru comprendre que ces profils seront créés à la volé et sans stockage de données. Il va falloir du matos !

En fait à côté du principe qui est bon, il faut prendre garde aux dérives éventuelles, aux ajouts futurs, au sentiment de surveillance de masse.

Avant de vous donner quelques pistes pour continuer à protéger votre vie privée on voulait savoir si ce type de Loi pouvait vous inciter à utiliser continuellement un VPN ?

La loi sur le renseignement va t-elle vous inciter un prendre un VPN ?

View Results

Loading ... Loading ...

Quels sont nos conseils ?

  • Prendre un VPN NO LOGS

Les « boîtes noires » sont très facilement contournables en utilisant un VPN qui va se substituer à votre F.A.I. Toutes vos recherches, vos visionnages de vidéos, votre Surf en général passeront par le VPN. Votre F.A.I verra que vous utiliser un VPN, c’es tout !

Néanmoins on vous conseille de prendre UN VPN No LOGS et qui offre ses propres serveurs DNS (les requêtes faîtes sur le Net doivent obligatoirement passer par des DNS autres que ceux de votre F.A.I sinon ce dernier pourra savoir ce que vous recherchez malgré une connexion à un VPN!)

  • IPVanish: VPN situé aux USA (contrairement à une idée reçu les USA n’ ont aucune loi sur la rétentions de donnée) et NO LOGS. De plus IPVanish gère une partie de son réseau (Australie – Belgique – Brésil – Danemark – France – Allemagne – Hongrie – Japon – Hollande – Pologne – Singapour –  Corée du Sud – Espagne – Suède – Suisse – Angleterre – USA)) et donc est garant de la réalité de ce No Logs. On vous avait déjà signalé la toute relativité du NO Logs si le Data center qui loue les serveurs aux VPN gardaient de leur côté les LOGS. Voire affaire: EarthVPN et NO LOGS. Propre DNS
  • NordVPN. Basé au Panama.  Juridiction que l’ on qualifiera de “Offshore”. Propre DNS
  • Mullvad. Basé en Suède. La fameuse directive (2006/24/EC) qui d’ ailleurs a été invalidée en Avril 2014 ne concerne pas les VPN en Suède. Propre DNS
  • Proxy.SH. Situé aux Seychelles. Propre DNS

Pensez aussi à télécharger les applis (iOS – Android) des VPN ci-dessus. Car une recherche à partir d’ un ordinateur ou d’ un Smartphone c’est toujours une IP qui est derrière et donc un F.A.I. Seuls IPVanish, Private Internet Acces et Proxy.SH en proposent une native. IPVanish propose une appli pour iOS8 (existe aussi sous Android) de très grande qualité en intégrant le protocole IKEv2. PIA ne propose que sous Android mais a le mérite d’ être un bon replica de son logiciel de connexion intégré (avec option de chiffrement). Proxy.SH propose sous les deux OS (iOS et Android) mais le fonction Connect On Demand sous iOS ne marchait pas sous notre OS6.

De toute façon tous les VPN peuvent se configurer sous ces OS. Il y aura au minimum une config manuelle à effectuer mais cela marchera !

Pour l’ instant l’ algorithme ne s’intéressera qu’aux seules données de connexion, c’est-à-dire aux métadonnées, et pas au contenu des communications. Donc pas de D.P.I. Pourtant on va continuer cet article en vous donnant pour nous les VPN qui offrent les meilleurs niveaux de chiffrement. On l’ oublie trop souvent mais la fonction première d’ un VPN est de contrer l’interception de données par des tiers (protection de vos données personnelles) ou bien de contrecarrer le D.P.I. Les VPN sont aussi une technique de sécurisation des données.

Dans cette liste on a recoupé les meilleurs chiffrements avec les VPN No Logs. C’est pourquoi de très bons VPN question chiffrement comme HideMyAss ou VPN.AC ou AirVPN n’ y figurent pas.

  • Private Internet Access. Premier VPN à avoir laisser le choix à l’ utilisateur de son niveau de chiffrement ! Niveau maximal: AES-256 / SHA256 / RSA-4096. Bon courage pour un D.P.I !!!
  • LiquidVPN. Comme tous bons VPN il y a la présence de l’ AES. Mais aussi de l’ algorithme de chiffrement Camellia (sur les serveurs Allemands). Présence aussi du HMAC: On sait que le mode opératoire CBC ne protège pas l’ intégrité du message (que la confidentialité). Pour ce besoin, on peut utiliser un code d’authentification (HMAC = keyed-hash message authentication code) qui protègera le message chiffré.
  • Proxy.SH. Très bon niveau de chiffrement: AES-256 / SHA256 / RSA-4096. Propose aussi la courbe elliptique secp384r1 à la place du RSA pour l’ Handshake. On reviendra un peu plus loin sur cette courbe qui est associée au patch XOR.
  • IPVanish. Bon chiffrement: AES-256 / SHA256 / RSA-2048
  • Mullvad. Récemment Mullvad est passé à l’ algorithme AES en place du Blowfish. Noter que seul HideMyAss continue à proposer le Blowfish sur l’ ensemble de ses serveurs OpenVPN

On continue notre article en faisant un bond dans le futur. Pour l’ instant en France l’ utilisation des VPN est simple. Seul des Pays comme la Chine ou l’ Iran essaye ouvertement de les contrecarrer. L’ utilisation d’ un VPN ne passe pas inaperçue pour un administrateur réseau. Dans un premier temps il fallait juste passer par le port 443 si une connexion OpenVPN était bloquée. Mais maintenant ces Pays sont capables de détecter une connexion OpenVPN d’ une connexion SSL en Port 443 (Notez que le protocole SSTP est quant à lui encore indétectable car il simule une connexion HTTPS – C’est pourquoi PureVPN qui propose ce protocole est souvent mentionné pour ces pays). On en est encore très loin en France mais voici 3 pistes pour cacher votre connexion OpenVPN et la rendre Stealth:

  • La toute dernière nouveauté est le patch XOR. Ce Patch doit être installé sur votre client de connexion et sur le serveur. XOR permet de brouiller, cacher votre connexion OpenVPN. On vous recommande VPN.AC qui est le seul VPN à l’ avoir intégré dans son logiciel de connexion. Proxy.SH le propose aussi mais il faut le configurer manuellement et ce n’est pas simple.
  • OpenVPN avec obfsproxy. obfsproxy (serveur proxy voilé) vient du projet TOR. Comme le Patch XOR, obfsproxy permet de cacher que vous utilisez une connexion OpenVPN. Très complexe à mettre en oeuvre. Proxy.SH est le seul VPN à le proposer mais son tuto n’ est pas clair. Je m’ y suis cassé les dents !
  • Tunnel SSL ou SSH. Il s’ agit d’ encapsuler votre OpenVPN à l’ intérieur d’ un tunnel SSL ou SSH. Ces connexions étant autorisées elles camoufleront l’ OpenVPN. De nombreux VPN le proposent mais seul AirVPN l’ a aussi bien mis en valeur dans Eddie, son logiciel de connexion. Vous y avez tous les types de tunnel, les différents Ports. Un bonheur !

Dans ces listes que l’ on vous a proposé (NO LOGS – Chiffrement – Stealth OpenVPN) vous avez sans doute remarqué que les mêmes VPN revenaient souvent. C’est assez logique au vu de notre parti pris de choisir en priorité des VPN NO LOGS (en étant conscient de la relativité du concept). Il existe beaucoup de VPN mais peu ont des Logs de 0 jours. HideMyAss, VPN.AC, AirVPN, PureVPN, Overplay, AceVPN, Astrill, CactusVPN, IbVPN, StrongVPN, HideIPVPN, SlickVPN, IAPS, … ne sont pas NO LOGS.

On a néanmoins fait une exception pour VPN.AC et AirVPN qui ont des fonctions essentielles pour rendre une connexion OpenVPN « Stealth« .

Après l’ utilisation du VPN comme solution il existe aussi TOR

  • Utiliser le réseau TOR

On vous a déjà proposé un tutorial sur TOR. Le plus simple pour rejoindre ce réseau est de télécharger le package TOR pour rejoindre le réseau TOR (DeepWeb) et de surfer avec une grande confidentialité sur le ClearWeb

Etant orienté VPN on va donc vous proposer une liste de fournisseur qui l’ ont intégré dans leur offre:

  • AirVPN propose le réseau TOR sous deux formes: AirVPN sur TOR et TOR sur AirVPN. Les deux processus sont très bien expliqués et ne nécessitent pas de configuration compliquée. Pour nous c’est AirVPN qui a le mieux intégré le projet TOR à son offre VPN
  • NordVPN. Seul TOR sur VPN est disponible. Très facilement joignable depuis le logiciel de connexion (Entrée se fait en Suède)
  • Perfect-Privacy. TOR sur VPN. A configurer à partir d’ un navigateur Firefox
  • Proxy.SH. VPN sur TOR. Config est manuelle, non intégrée au logiciel de connexion.


Share

Les VPN en pleine mutation

Ces derniers mois on a testé différents VPN dont on a synthétisé les éléments marquants! Notre dernier article couvrant un essai VPN (celui de Mullvad) date de fin Août 2014 et depuis on s’est attardé sur: LiquidVPN, VPN.AC, Proxy.SH, IronSocket, VikingVPN, Perfect-Privacy, EarthVPN, IVPNOverPlay (SmartDNS) et Unlocator (SmartDNS)

Il faut dire que l’ usage des VPN n’ a jamais été autant nécessaire:

  • Restrictions d’ usages ou de services suivant les pays ! les F.A.I ! les sites !. Les diverses restrictions sont une situation de fait de plus en plus courante. Et elles sont nombreuses:
    • Censure, Filtrage, Surveillance du Web dans de nombreux pays avec l’ exemple frappant de la Chine qui coupe l’ accès à de nombreux sites ou services suivant son desiderata. Le dernier exemple étant le service Gmail subitement coupée le 26 Décembre 2014 comme le montre ce graphique officielle de Google sur les données en temps réel du trafic vers Gmail – Heureusement la France en est encore loin !
    • La géo-restriction. Ceci n’ a rien à voire avec une forme de censure, c’est tout simplement une question de droits d’ auteur à l’ international. Ce sont tous les sites de vidéos en ligne (Replay, VOD) qui l’ appliquent. Mais de nombreux voyageurs ou expats veulent continuer à les visionner, garder un lien culturel avec le pays d’ origine. De même de nombreux Internautes veulent accéder à ces contenus même en étant étrangers aux pays auxquels ils sont destinés. Les cas les plus courants sont Hulu ou Netflix USA qui limitent (théoriquement) le catalogue US aux résidents américains. Le cas de Netflix est assez symptomatique: durant de nombreuses années le catalogue de la plate-forme n’ était pas disponible hors USA mais de nombreux utilisateurs de VPN utilisaient la fonction de changement d’ IP pour y accéder. Mais depuis quelque mois une implantation vers les pays Européens (+ Australie) a été engagée et depuis Netflix laisse planer un doute sur un éventuel blocage des VPN et autres SmartDNS.
  • Internet à deux vitesses: Limitation de bande passante suivant les sites visités. Ce procédé existe depuis longtemps. Il s’ agit de contenir l’accroissement de la demande en bande passante en ralentissant certains usages intensifs. Dans le viseur les sites de vidéo à la demande comme Netflix, Youtube, Hulu (Aux Etats-Unis, YouTube et Netflix accaparent déjà plus de la moitié de la bande passante en période de pointe) et pourquoi pas des plateformes de vidéos X qui génèrent aussi beaucoup de trafic. Conséquence: les plateformes qui refuseront de payer verront leurs vidéos se charger très lentement !!!
  • Surveillance, conservation des Logs. Le cas de la France est assez symptomatique d’ une surveillance accrue: Officiellement depuis Avril 2014 la directive Européenne sur la conservation des données est invalide suite à une décision de la Haute Cour de Justice. Mais les transpositions nationales de cette directive restent valides tant que ces pays n’ abrogent pas les lois qui en ont découlé. Hors entre les pays qui déclarent que cette directive est inconstitutionnelle (Autriche, Roumanie, Slovénie, Slovaquie, Tchéquie, Hongrie, Chypre, Bulgarie), l’ Allemagne qui ne l’ avait pas appliquée dans sa loi, les pays qui annoncent une modification de leur loi (Suède, Finlande, Norvège, Luxembourg) on se retrouve avec une liste des Pays de l’ UE n’ appliquant pas cette directive qui commence à être longue. La France (comme la Lituanie, le Danemark, l’ Italie, l’ Espagne, la Belgique, l’ Irlande, la Hollande (ne s’ appliquait pas aux VPNs), l’ Estonie, la Grèce, la Lettonie, la Pologne, Malte, Portugal et Croatie) fait partie de ceux qui ont choisi de ne pas l’ abroger. Heureusement qu’ elle n’ a pas pris exemple sur le Royaume-Uni ou la Suisse qui ont depuis Avril 2014 encore renforcé leurs législations sur la conservation des données de connexion (Logs). Par contre la France s’ est fait remarquée en cette fin d’ année 2014 avec le décret d’application du controversé article 20 de la loi de programmation militaire (LPM) adopté il y a un an et visant à renforcer la surveillance d’internet. La réalité et les buts de ces décrets sont très simples, la CNIL les a résumé ainsi dans sa délibérationLes finalités pour lesquelles peuvent être demandées les données ont été étendues et la liste des services pouvant requérir ces données a été corrélativement élargie ou encore: la commission relève que les données détenues par les opérateurs qui peuvent être demandées sont de plus en plus nombreuses, sont accessibles à un nombre de plus en plus important d’organismes, sur réquisitions judiciaires ou administratives ou en exécution d’un droit de communication, et ce pour des finalités très différentes. => En fait c’est comme une fuite en avant Juridique, on élargit, élargit les champs (pour des motifs fort légitimes de lutte contre terrorisme, Crimes organisées, …). Mais on autorise de plus en plus de services à y accéder, nous créons de plus en plus de fichiers au risque de ne plus savoir qui les gère, la durée de conservation se rallonge, avec comme danger final de croiser les fichiers… la CNIL a fort raison de s’ inquiéter sur les risques qui en résultent pour la vie privée et la protection des données à caractère personnel

Ainsi les VPN s’ adaptent au marché:

  • Mise en avant des restrictions géographiques (Netflix, …) – Pour nous Français ce sont surtout nos services de replay qui demandent une IP FR. Pas de difficulté pour en trouver une. L’ originalité vient de VPN.AC.
      • VPN.AC offre des IP Françaises venant du F.A.I Free. Assez original et performant car vous êtes sûrs de la géolocalisation FR de ces IPs. J’ ai cru naïvement pouvoir les utiliser pour me connecter aux newsgroups gratuits de Free en utilisant l’ adresse news.free.fr mais je n’ ai eu accès qu’ à la Hiérarchie Proxad !!!. Ces IP de Free sont aussi un bon moyen d’ accéder à tout un ensemble de service (Yahoo, Google, Banque, Paypal, Cloudflare) en ayant une IP qui ne sera pas reconnu comme une tentative d’ intrusion! Le cas de Cloudflare est assez révélateur. De nombreux sites l’ utilisent, il se place entre les internautes et le site web. Il agit comme un reverse-proxy: Toute requête HTTP destinée à votre site passe d’abord par les serveurs CloudFlare qui l’analysent et éventuellement la bloquent. Avec VPN.AC et son IP Fr je n’ ai aucun souci pour me connecter aux sites derrière CloudFlare.
        Petit rappel: vous avez trois sortes d’ Ips.

        • Celles provenant dans 95 % des cas d’ un Hosting Provider (Data Center) type Leaseweb
        • Plus rarement du VPN en lui même comme IPVanish qui gère lui même son réseau, dans ce cas le qualificatif de Tier-1 VPN Network lui est attribué.
        • Dans le dernier cas l’ IP provient d’ un F.A.I. Dans ce cas l’ IP est résidentielle (residential ip address) ce qui signifie que pour un administrateur réseau vous êtes vu comme un abonné de ce F.A.I. C’est l’ exemple de VPN.AC qui offre une IP résidentielle Française. L’ autre VPN qui développe de plus en plus ce concept est IAPS qui offre des IP Résidentielles dans plus de 25 pays dans le monde.
  • Développement impressionnant des SmartDNS. Le SmartDNS consiste à juste changer vos DNS pour contourner les restrictions géographiques. OverPlay est l’ inventeur de ce système, c’est rapide à installer, pas de modification réseau et pas de perte de vitesse dû aux chiffrements. Il existe depuis des services uniquement dédiés à cette technique comme Unlocator à $4.95/mois. Mais ce service a surtout été ajouté gratuitement au service VPN. C’est pourquoi on le retrouve chez OverPlay, PureVPN, Ironsocket, IbVPN, CactusVPN, AceVPN, Hideipvpn et LiquidVPN.
  • Des niveaux de chiffrement de plus en plus variés et performants

Private Internet Acces a été le premier VPN a laisser à l’ utilisateur la possibilité de choisir son niveau de chiffrement. A l’ usage vous pouvez modifier une ou plusieurs étapes nécessaires à la connexion du VPN:

Data Encryption = Algorithme de chiffrement.
Data Authentication = Fonction de hachage.
Handshake = Procédure d’établissement d’une communication.

Depuis d’ autres VPN offrent aussi cette possibilité:

  • Pour son OpenVPN, VPN.AC a décidé d’ utiliser la curve elliptic secp256k1 pour son Handshake (la même courbe utilisée par le Bitcoin). Au final son OpenVPN se décompose ainsi et laisse à l’ utilisateur plusieurs formules:

Data Encryption = 128-bit AES CBC ou 256-bit AES CBC
Data Authentication = SHA512 data authentication
Handshake Encryption = Pour l’ AES (128 et 256 bit) VPN.AC utilise le RSA-4096 ou la curve elliptic secp256k1

Dans le logiciel de connexion vous aurez un menu déroulant qui offre un OpenVPN ECC, OpenVPN 128-bit, OpenVPN 256-bit et OpenVPN XOR (VPN optimisé pour la Chine)

VPN.AC Client Software OpenVPN

  • LiquidVPN est un des seuls à offrir la choix de l’ algorithme pour le chiffrement de ses données. A côté de l’ AES (qui est le cipher le plus utilisé par tous les VPN), LiquidVPN propose le Camellia (Développé par des entreprises Japonaise c’ est un algorithme de chiffrement symétrique par blocs de 128 bits, conçu pour fonctionner avec des clés de 128, 192 et 256 bits. Il est globalement deux fois plus lent que AES mais offre des performances similaires à Blowfish) en 256-CBC

Ceci n’ a rien d’ extraordinaire car il existe beaucoup d’ autres Cipher comme le Serpent, le Twofish ou Threefish. C’est surtout l’ utilisation massive de l’ AES et dans une moindre mesure du Blowfish qui donne ce sentiment d’ un chiffrement AES universel

Data Encryption = 256-bit AES CBC ou Camellia-256-CBC (Seulement sur serveurs Allemands)

Data Authentication = SHA256 data authentication

Handshake Encryption = 4096-bit RSA handshake

Le cipher Camellia est donc sur les serveurs Allemands que l’ on retrouve aisément dans le logiciel de connexion intégré: Liquid Viscosity

 LiquidVPN Germany Camellia  Liquid Viscosity Details

Si vous êtes amenez à tester LiquidVPN vous apprécierez son logiciel Viscocity. Des VPN testés c’est celui qui nous a le plus marqué pour son rapport qualité/prix. Son logiciel a les bonnes options: Port Forwading, Kill Switch, LeakTest (DNS se font via LiquidDNS), et 3 Protocoles: OpenVPN, PPTP et L2TP (SSTP est aussi dispo sur 7 adresses). Si vous voulez un HighID sur Emule alors il faut utiliser les adresses Dynamic (en majorité sur les serveurs Roumains), pas d’ ouverture de port dans votre espace utilisateur car c’est un Port Forwading (par contre ouverture dans votre Box-Modem du Port mis dans Emule)

LiquidVPN Dynamic IP HighID

Une autre option que l’ on a trouvé très originale c’est la capacité d’ intégrer les fichiers .opvpn d’ un autre VPN. Par exemple on a mis les 4 serveurs de VikingVPN dans le logiciel Viscocity !

LiquidVPN ajout OpenVPN

  • IronSocket utilise depuis peu un nouveau réseau de serveurs (Network 2.0) qui propose 3 niveaux de chiffrement suivant l’ adresse de connexion utilisée.

Par exemple pour une connexion sur Amsterdam (S1 ou S2 ou S3 ou S4), l’ OpenVPN supporte trois niveaux (Strong – Light – None). N’ ayant pas de client de connexion « maison » il faut donc télécharger le fichier .ovpn

IronSocket - Configuration profile

Cette absence d’ un client « maison » est le point faible de ce VPN. A l’ heure où tous les VPN en ont UN, cela saute aux yeux. Un client Maison est le TRUC à développer: il doit intégrer l’ aspect technique des VPN: Protocoles, Serveurs, DNS, …. et les options qui s’en rapportent comme un Kill Switch (IP Guard), Test de Ping, Vitesse, …

C’est vraiment dommage car pour tout le reste IronSocket a bien fonctionné. IronSocket ne révolutionne pas le marché dans ce qu’ il propose (OpenVPN, PPTP, L2TP + HTTP/SOCKS5 Proxy + Smart DNS Proxy + 36 Pays) mais le prix est très bon: $49.95/AN.

  • Proxy.Sh offre la possibilité d’ essayer (avec un programme Beta) la curve25519 pour le Handshake Encryption. curve25519 a été développé par Dan Bernstein. Malheureusement cette possibilité est juste un effet d’ annonce. En fait après plusieurs échanges mails on m’ a indiqué que ce n’ était pas possible avant plusieurs semaines !

Pour le reste Proxy.SH est un VPN qui veut se donner des allures techniques et pro-Tor. A côté du très classique OpenVPN, PPTP et L2TP, du logiciel de connexion Safejumper vous avez de nombreuses options (et tutoriaux !!!)

Proxy.sh Safejumper

Certaines options ont un lien direct avec les VPN:

Catégorie Tunnel –>

** OpenVPN over SSL. Ajout d’ une couche SSL à votre connexion OpenVPN pour éviter qu’ elle soit reconnue. Cette configuration s’ obtient uniquement via le VPN CONFIG GENERATOR pour créer à votre guise votre fichier .ovpn

Catégorie Proxy –>

** Proxy HTTP et HHTPS

** CGI Proxy 

** SOCKS Proxy

Catégorie TOR –>

** Possibilité d’ utiliser Proxy.SH comme Exit Node. Comme vous le savez TOR est un réseau dont une des faiblesses réside dans les exit nodes. Ce dernier envoie les données en clair à la destination finale et a toutes les cartes en main pour lire les données de l’internaute. Les développeurs du réseau Tor le soulignent bien dans leur documentation:

Tor anonymise l’origine de votre trafic et chiffre tout à l’intérieur du réseau Tor, mais il ne peut pas chiffrer votre trafic entre le réseau Tor et sa destination finale.

C’est pourquoi Proxy.Sh propose de Configure your TOR client bundle to use Proxy.sh as exit node

** Proxy.sh as a bridge.  Point d’ entrée privée du réseau TOR. A utiliser si vous avez des difficultés pour vous connecter à TOR

** VPN over TOR. Le VPN se superpose à TOR. Idéal pour cacher l’ IP de base derrière TOR ! C’est l’ option la plus intéressante, seul AirVPN le propose aussi.

** OpenVPN + obfsproxy. obfsproxy est un proxy TOR pour rendre une connexion OpenVPN non visible. Malgré ma bonne volonté je n’ ai jamais réussit à le mettre en oeuvre ce stealth mode

D’autres sont dans l’ esprit VPN:

— Connexion NO LOGS sur Cryptocat. Cryptocat utilise le protocole de messagerie crypté OTR pour offrir des communications accessibles à tous. Sachez que la nouvelle version (Cryptcat 2.2) permet désormais de chiffrer vos conversations privées sur Facebook sous condition bien sûr que vos contacts utilisent également cette application.

— Connexion NO LOGS sur Jabber, Système de messagerie instantanée libre, standard et ouvert

DNSCrypt: Permet d’ajouter une couche supplémentaire de sécurité en chiffrant tout simplement le trafic DNS.

— Pastebin anonyme. Version clone et maison du célèbre Pastebin

Honnêtement je n’ ai pas testé toutes les options et autres outils conseillés. Il faut avouer que pour $5/mois (avec 6 pays – $10/mois avec 42 pays dont le Liechtenstein) on vous en donne. Seul le Safejumper me semble un peu en retrait (à part l’ option détection de réseau Wifi). Au final idéal pour les bidouilleurs et ceux qui sont orientés Proxy et TOR

De même certains optent  pour des chiffrements différents, plus puissants, plus novateurs comme le mode d’ opération GCM. C’est pourquoi les révélations « saupoudrées » de Snowden sur les protocoles cassées me laissent très perplexes !!!:

  • VikingVPN va offrir un OpenVPN différent. Vous avez par défaut:

Data Encryption = 256-bit AES CBC ou 256-bit AES GCM

Data Authentication = SHA1

Handshake Encryption = 4096-bit RSA handshake

VikingVPN va offrir la possibilité d’ utiliser un chiffrement 256-bit AES GCM. Explication: Chaque algorithme de chiffrement symétrique (AES, Blowfish, Camellia, …) à une taille de Blocs fixée. Par exemple AES a un bloc standard de 128 bits et Blowfish utilise une taille de bloc de 64 bits. Ainsi pour chiffrer, on découpe les données (Messages, Photos, Vidéos, …) en blocs de taille adéquate suivant le maximum autorisé. Les modes opératoires (CBC – ECB – GCM – CCM – …) vont chiffrer chaque bloc individuellement et ceci avec plus ou moins d’ efficacité. Dans le tableau ci-dessous on a chiffré notre Logo de trois manières différentes (AES-ECB // Camellia-ECB // AES-CBC)

 mahi AES-ECBmahi-aes-ecb
Camellia-ECBmahi-camellia-ecb  AES-CBCmahi-aes-cbc

Moi même j’ ai longtemps sous estimé l’ importance du mode d’ opération de chiffrement des blocs. On le voie clairement sur ces images: l’ ECB est à proscrire !!! Et peu importe l’ algorithme qu’ il soit Camellia ou AES. Seul le mode d’ opération CBC donne un résultat. Mais malgré son utilisation quasi systématique le CBC garantit la confidentialité des données (comme l’ image le montre) mais pas l’ intégralité des données. C’est à dire que des personnes pourraient ajoutées du contenu aux données. C’est pourquoi les VPN ajoutent toujours les fonctions de hachage SHA-1 ou SHA-2 pour l’ intégrité des données. C’est sur ce point que le mode d’ opération GCM est excellent. Il est capable de fournir à la fois l’intégrité et l’authenticité des données, ainsi que la confidentialité. VikingVPN nous a dit que le GCM serait dispo dès la version d’ OpenVPN 2.4.0

Il n’ en reste pas moins que pour l’ instant VikingVPN reste quand même très très cher par rapport à la concurrence: $14.99/mois avec un seul mode de paiement: CB (pas top niveau confidentialité). Il existe bien le Bitcoin mais pour une durée minimum de 6 mois et dans ce cas pas d’ offre d’ essai remboursée de 14 jours. Si vous ajoutez à cela qu’ il faut utiliser OpenVPN Gui avec une ergonomie datant un peu. Il n’ en reste pas moins que le Blog de VikingVPN est un des meilleurs: pas d’ autopromotion, d’ articles commerciaux bateaux et grands publics.

  • Une confidentialité (voire une anonymisation) de plus en plus performante.

A côté des moyens de paiement de plus en plus variés les VPN mettent en oeuvre des améliorations techniques, juridiques que je trouve intéressant:

  • Paiement: Bitcoin s’ est largement démocratisé et fait partie des moyens de paiement les plus courants. D’autres paiements « Anonymes » se démocratisent:
  • Juridique: Warrant Canary – Un Warrant Canary est un processus légal qu’ utilise les VPN pour signaler qu’ ils n’ ont pas de reçu de demabdes d’ infos sur un ou des serveurs de la part des autorités. AUX USA il est interdit de signaler qu’ on a reçu une demande d’ infos des autorités. Par contre il est autorisé de dire qu’ on a rien reçu.  Voici le Canary de Proxy.SHCanary d’ IVPN – Canary de LiquidVPN . Cela complète la notion de NO LOGS. A ce sujet au jour du 16 Janvier 2015 voici pour les VPN qui sont réellement NO LOGS: IPVanishPrivate Internet AccessNordVPNMullvadProxy.SHLiquidVPNVikingVPNPerfect Privacy
  • Techniques:
    • Multi-Hop (aka DoubleVPN)Perfect-Privacy le propose (ainsi qu’ IVPN). A partir du logiciel de connexion (Onglet Cascading) vous pouvez choisir jusqu’ à 4 serveurs qui seront en intermédiaire entre votre réseau et Internet. Même si on trouve que cela ralentit beaucoup la vitesse de connexion, on avoue que l’ option est facile à mettre en place et ergonomique. Il vous suffit de vous connecter successivement aux serveurs de votre choix, le dernier connecté étant la connexion finale
Perfect-Privacy Cascading Connexion au Serveur Amsterdam

4 serveurs

Amsterdam=> Paris => Bucarest => Rotterdam

Ce Multi-Hop de Perfect-Privacy représente bien les atouts de ce VPN. Mais ce sont trois autres points dont je voudrais vous parler:

— L’ Option Firewall qui correspond à un Connection Guard a 3 niveaux: Actif lorsque que la connexion est établie – Actif lorsque le logiciel est activé – Activation permanente. Très bien pensé Firewall settings perfect privacy

— Gestion des Ports. A chaque connexion vous avez trois Ports qui sont ouverts (onglet Details) mais vous pouvez aussi en ouvrir UN de votre choix (valable 7 jours). En tout vous avez 8 Ports disponibles ! Autant vous dire que le HighID est assuré

 Perfect Privacy Connection Details  Ports Settings perfect privacy

— Des Proxys (Squid, Local, Socks, TOR) sont disponibles via un logiciel de connexion dédié PP Tunnel Manager Settings

Perfect-Privacy est technique, fonctionnel et complet. Mais son prix est trop élevé. C’est dommage car sur le papier c’est du lourd !

    • Modulating IP Addresse: Cet outil est une exclusivité de LiquidVPN. Le principe est de changer régulièrement l’ IP de l’ utilisateur à intervalle régulier pour éviter qu’ il ne garde la même IP partagée durant sa session. Dans la liste des serveurs proposés certains sont indiqués avec la mention Modulating (Vous aurez trois sortes d’ IPs chez LiquidVPN: Modulating , Shared qui est la plus courante et correspond à une même IP qui est partagée par plusieurs utilisateurs et Dynamic qui est une IP publique et non dédiée mais dont un seul utilisateur se sert)

LuiquidVPN Romania Modulating

 2 remarques:

*** L’ IP modulation n’ a rien à voire avec le Multihop (DoubleVPN) qui est une simple succession de serveurs entre vous le serveur final (Vous -> VPN1 -> VPN2 -> Internet) . Le Multiphop ralentit beaucoup la connexion et augmente considérablement le Ping

*** En fait ne vous attendez pas à changer de serveurs mais seulement d’ IPs (dernier bloc de l’ adresse IPv4) du même serveur et sur le même range.  C’est une très bonne idée technique, à améliorer mais bonne idée !

    • False traffic: VikingVPN avance de générer du faux trafic pour compliquer la recherche du vrai. Une sorte de brouillard technique. Malheureusement c’est très vague.

BILAN:

Les VPN sont définitivement un bon moyen pour retrouver un internet libre et neutre. De plus les fournisseurs VPN tendent à se différencier en offrant des forfaits parfois très différents les uns des autres et techniquement de plus en plus poussés. C’ est cette différenciation qui m’ a marquée. Avant les VPN se démarquaient sur des points précis: Nombre de Pays, protocoles, …. Ces avantages comparatifs semblent mis de côté par ces nouveaux VPN (par exemple LiquidVPN c’est 7 pays – VPN.AC c’est 13 – Proxy c’est 6) qui mettent l’ accent sur les chiffrements, les options, l’ anonymisation , …

Notre classement des derniers VPN testés est:

  1. LiquidVPN – A partir de $6 par Mois vous avez un vrai VPN Généraliste avec un bon logiciel de connexion intégré. Technique avec ces trois types D’ IPs, Anonymant avec son Warrant Canary, ses Gift Cards et son cash …. A $10 par Mois vous avez le TOP avec un SmartDNS. L’ IP Guard n’est pas inclus dans le logiciel mais un Kill switch est disponible dans la section Download: Aucune difficulté de configuration. Choisissez 1 pour l’ activer et 2 pour le désactiver.
  2. VPN.AC – Deuxième la liste. Simple mais efficace. Un VPN dédié au Surf  avec sa bonne IP FR !
  3. Perfect Privacy – Deux très très bons logiciels de connexion. Ce VPN a compris qu’ il fallait laisser à l’ utilisateur un maximum de choix de configs. Le gros bémol est le prix car pour le reste c’est du solide.
  4. Proxy.SH – Beaucoup de choses dans l’ offre de Proxy.SH (VPN + Proxy + TOR). Très novateur aussi (par exemple le processus Anonymous Token qui permet de créer un compte anonyme à partir d’ un compte créé normalement), voire un peu brouillon. Mais le prix est très favorable: Seul l’ accès à 6 pays: USA, UK, DE, RU, FR, NL est une concession à faire si vous voulez payer seulement $40 à l’ année
  5. IronSocket – Un Prix annuel de $49.99 (36 pays, 3 protocoles :OpenVPN, PPTP, L2TP, SmartDNS, Proxy Socks5 et 3 connexions simultanées) mais pas de logiciel de connexion intégré. Sérieux quand même: Serveurs OK, support OK
  6. VikingVPN – Trop cher pour ce qui est offert. Motivé de l’ essayer pour le mode d’ opération GCM mais ce dernier n’ était pas fonctionnel !
  7. EarthVPN – Un très bon prix de base ($39.99 /AN): 32 pays + PPTP / L2TP / SSTP / OpenVPN Protocols + P2P / Torrents Enabled. Mais les options intéressantes sont toutes à $1.99 et peuvent vite faire grimper la facture finale: Static IP + SSH Tunnel + Port Forwading + Top Secret Level 256bit Encryption for AES and SSL + Additional VPN Connection for Mobile Devices. Les options à $1.99 pour le moindre service en plus me laisse perplexe
  8. IVPN – Rien de spécial pour un prix assez élevé

Hors classement pour Overplay et Unlocator car c’ est le SmartDNS que l’ on a testé. Les deux sont très bons et ont toujours marché

Share

onoff App | Plusieurs numéros, un seul mobile

Ici sur le Blog du VPN on connaît la valeur du mot Virtuel et les tous les avantages qui en découlent. Nous on aime l’ IP virtuelle !

OnOff Telecom offre la téléphonie virtuelle (Virtual Mobile Numbers – Cloud Numbers) et on en publie un article car c’est simple, intelligent et virtuel.

On peut créer autant d’ adresses mails que l’ on veut, on change d’ IP à volonté, on peut augmenter sa capacité de stockage avec le Cloud. Et pourquoi pas les numéros de téléphone ?

Grâce à l’application OnOff qui est disponible pour les smartphones Android, iOS et même Windows Phone, il est possible de créer un nouveau numéro de téléphone très facilement. Et toutes las raisons sont bonnes: Numéro temporaire le temps d’ une annonce sur le boncoin, un numéro professionnel, on peut vouloir conserver son anonymat (d’ ailleurs penser à Masquer mes comptes pour ne pas apparaître dans le répertoire onoff)

Il vous suffit de télécharger l’ appli. De donner un Nom et Prénom (Virtuel !) et un Mail (Pensez à valider le lien de validation). Puis choisissez votre numéro. Il y en a encore beaucoup de gratuits. Les numéros supplémentaires sont facturés 2.69€. Visiblement d’ autres services, options vont être ajoutés comme acquérir des numéros locaux dans plusieurs pays.

onoff App onoff numéro

Au bout d’ une Heure le service est pleinement opérationnel. N’ oubliez pas de lire la FAQ ! qui est complète et donne quelques infos importantes comme les conditions tarifaires des appels:

Attention ! Tous les appels entrants seront décomptés de votre forfait mensuel. Ces minutes seront considérées comme des minutes d’appel sortantes, vers une ligne fixe ou mobile.

Bon courage à l’ équipe de onoff telecom et à la « poutre »

Comme je vais m’ en servir à fond je vous tiens au courant des nouveautés, bugs, … N’ hésitez pas à partager vos essais, impressions  :-)

Share