Les VPN en pleine mutation

Ces derniers mois on a testé différents VPN dont on a synthétisé les éléments marquants! Notre dernier article couvrant un essai VPN (celui de Mullvad) date de fin Août 2014 et depuis on s’est attardé sur: LiquidVPN, VPN.AC, Proxy.SH, IronSocket, VikingVPN, Perfect-Privacy, EarthVPN, IVPNOverPlay (SmartDNS) et Unlocator (SmartDNS)

Il faut dire que l’ usage des VPN n’ a jamais été autant nécessaire:

  • Restrictions d’ usages ou de services suivant les pays ! les F.A.I ! les sites !. Les diverses restrictions sont une situation de fait de plus en plus courante. Et elles sont nombreuses:
    • Censure, Filtrage, Surveillance du Web dans de nombreux pays avec l’ exemple frappant de la Chine qui coupe l’ accès à de nombreux sites ou services suivant son desiderata. Le dernier exemple étant le service Gmail subitement coupée le 26 Décembre 2014 comme le montre ce graphique officielle de Google sur les données en temps réel du trafic vers Gmail – Heureusement la France en est encore loin !
    • La géo-restriction. Ceci n’ a rien à voire avec une forme de censure, c’est tout simplement une question de droits d’ auteur à l’ international. Ce sont tous les sites de vidéos en ligne (Replay, VOD) qui l’ appliquent. Mais de nombreux voyageurs ou expats veulent continuer à les visionner, garder un lien culturel avec le pays d’ origine. De même de nombreux Internautes veulent accéder à ces contenus même en étant étrangers aux pays auxquels ils sont destinés. Les cas les plus courants sont Hulu ou Netflix USA qui limitent (théoriquement) le catalogue US aux résidents américains. Le cas de Netflix est assez symptomatique: durant de nombreuses années le catalogue de la plate-forme n’ était pas disponible hors USA mais de nombreux utilisateurs de VPN utilisaient la fonction de changement d’ IP pour y accéder. Mais depuis quelque mois une implantation vers les pays Européens (+ Australie) a été engagée et depuis Netflix laisse planer un doute sur un éventuel blocage des VPN et autres SmartDNS.
  • Internet à deux vitesses: Limitation de bande passante suivant les sites visités. Ce procédé existe depuis longtemps. Il s’ agit de contenir l’accroissement de la demande en bande passante en ralentissant certains usages intensifs. Dans le viseur les sites de vidéo à la demande comme Netflix, Youtube, Hulu (Aux Etats-Unis, YouTube et Netflix accaparent déjà plus de la moitié de la bande passante en période de pointe) et pourquoi pas des plateformes de vidéos X qui génèrent aussi beaucoup de trafic. Conséquence: les plateformes qui refuseront de payer verront leurs vidéos se charger très lentement !!!
  • Surveillance, conservation des Logs. Le cas de la France est assez symptomatique d’ une surveillance accrue: Officiellement depuis Avril 2014 la directive Européenne sur la conservation des données est invalide suite à une décision de la Haute Cour de Justice. Mais les transpositions nationales de cette directive restent valides tant que ces pays n’ abrogent pas les lois qui en ont découlé. Hors entre les pays qui déclarent que cette directive est inconstitutionnelle (Autriche, Roumanie, Slovénie, Slovaquie, Tchéquie, Hongrie, Chypre, Bulgarie), l’ Allemagne qui ne l’ avait pas appliquée dans sa loi, les pays qui annoncent une modification de leur loi (Suède, Finlande, Norvège, Luxembourg) on se retrouve avec une liste des Pays de l’ UE n’ appliquant pas cette directive qui commence à être longue. La France (comme la Lituanie, le Danemark, l’ Italie, l’ Espagne, la Belgique, l’ Irlande, la Hollande (ne s’ appliquait pas aux VPNs), l’ Estonie, la Grèce, la Lettonie, la Pologne, Malte, Portugal et Croatie) fait partie de ceux qui ont choisi de ne pas l’ abroger. Heureusement qu’ elle n’ a pas pris exemple sur le Royaume-Uni ou la Suisse qui ont depuis Avril 2014 encore renforcé leurs législations sur la conservation des données de connexion (Logs). Par contre la France s’ est fait remarquée en cette fin d’ année 2014 avec le décret d’application du controversé article 20 de la loi de programmation militaire (LPM) adopté il y a un an et visant à renforcer la surveillance d’internet. La réalité et les buts de ces décrets sont très simples, la CNIL les a résumé ainsi dans sa délibérationLes finalités pour lesquelles peuvent être demandées les données ont été étendues et la liste des services pouvant requérir ces données a été corrélativement élargie ou encore: la commission relève que les données détenues par les opérateurs qui peuvent être demandées sont de plus en plus nombreuses, sont accessibles à un nombre de plus en plus important d’organismes, sur réquisitions judiciaires ou administratives ou en exécution d’un droit de communication, et ce pour des finalités très différentes. => En fait c’est comme une fuite en avant Juridique, on élargit, élargit les champs (pour des motifs fort légitimes de lutte contre terrorisme, Crimes organisées, …). Mais on autorise de plus en plus de services à y accéder, nous créons de plus en plus de fichiers au risque de ne plus savoir qui les gère, la durée de conservation se rallonge, avec comme danger final de croiser les fichiers… la CNIL a fort raison de s’ inquiéter sur les risques qui en résultent pour la vie privée et la protection des données à caractère personnel

Ainsi les VPN s’ adaptent au marché:

  • Mise en avant des restrictions géographiques (Netflix, …) – Pour nous Français ce sont surtout nos services de replay qui demandent une IP FR. Pas de difficulté pour en trouver une. L’ originalité vient de VPN.AC.
      • VPN.AC offre des IP Françaises venant du F.A.I Free. Assez original et performant car vous êtes sûrs de la géolocalisation FR de ces IPs. J’ ai cru naïvement pouvoir les utiliser pour me connecter aux newsgroups gratuits de Free en utilisant l’ adresse news.free.fr mais je n’ ai eu accès qu’ à la Hiérarchie Proxad !!!. Ces IP de Free sont aussi un bon moyen d’ accéder à tout un ensemble de service (Yahoo, Google, Banque, Paypal, Cloudflare) en ayant une IP qui ne sera pas reconnu comme une tentative d’ intrusion! Le cas de Cloudflare est assez révélateur. De nombreux sites l’ utilisent, il se place entre les internautes et le site web. Il agit comme un reverse-proxy: Toute requête HTTP destinée à votre site passe d’abord par les serveurs CloudFlare qui l’analysent et éventuellement la bloquent. Avec VPN.AC et son IP Fr je n’ ai aucun souci pour me connecter aux sites derrière CloudFlare.
        Petit rappel: vous avez trois sortes d’ Ips.

        • Celles provenant dans 95 % des cas d’ un Hosting Provider (Data Center) type Leaseweb
        • Plus rarement du VPN en lui même comme IPVanish qui gère lui même son réseau, dans ce cas le qualificatif de Tier-1 VPN Network lui est attribué.
        • Dans le dernier cas l’ IP provient d’ un F.A.I. Dans ce cas l’ IP est résidentielle (residential ip address) ce qui signifie que pour un administrateur réseau vous êtes vu comme un abonné de ce F.A.I. C’est l’ exemple de VPN.AC qui offre une IP résidentielle Française. L’ autre VPN qui développe de plus en plus ce concept est IAPS qui offre des IP Résidentielles dans plus de 25 pays dans le monde.
  • Développement impressionnant des SmartDNS. Le SmartDNS consiste à juste changer vos DNS pour contourner les restrictions géographiques. OverPlay est l’ inventeur de ce système, c’est rapide à installer, pas de modification réseau et pas de perte de vitesse dû aux chiffrements. Il existe depuis des services uniquement dédiés à cette technique comme Unlocator à $4.95/mois. Mais ce service a surtout été ajouté gratuitement au service VPN. C’est pourquoi on le retrouve chez OverPlay, PureVPN, Ironsocket, IbVPN, CactusVPN, AceVPN, Hideipvpn et LiquidVPN.
  • Des niveaux de chiffrement de plus en plus variés et performants

Private Internet Acces a été le premier VPN a laisser à l’ utilisateur la possibilité de choisir son niveau de chiffrement. A l’ usage vous pouvez modifier une ou plusieurs étapes nécessaires à la connexion du VPN:

Data Encryption = Algorithme de chiffrement.
Data Authentication = Fonction de hachage.
Handshake = Procédure d’établissement d’une communication.

Depuis d’ autres VPN offrent aussi cette possibilité:

  • Pour son OpenVPN, VPN.AC a décidé d’ utiliser la curve elliptic secp256k1 pour son Handshake (la même courbe utilisée par le Bitcoin). Au final son OpenVPN se décompose ainsi et laisse à l’ utilisateur plusieurs formules:

Data Encryption = 128-bit AES CBC ou 256-bit AES CBC
Data Authentication = SHA512 data authentication
Handshake Encryption = Pour l’ AES (128 et 256 bit) VPN.AC utilise le RSA-4096 ou la curve elliptic secp256k1

Dans le logiciel de connexion vous aurez un menu déroulant qui offre un OpenVPN ECC, OpenVPN 128-bit, OpenVPN 256-bit et OpenVPN XOR (VPN optimisé pour la Chine)

VPN.AC Client Software OpenVPN

  • LiquidVPN est un des seuls à offrir la choix de l’ algorithme pour le chiffrement de ses données. A côté de l’ AES (qui est le cipher le plus utilisé par tous les VPN), LiquidVPN propose le Camellia (Développé par des entreprises Japonaise c’ est un algorithme de chiffrement symétrique par blocs de 128 bits, conçu pour fonctionner avec des clés de 128, 192 et 256 bits. Il est globalement deux fois plus lent que AES mais offre des performances similaires à Blowfish) en 256-CBC

Ceci n’ a rien d’ extraordinaire car il existe beaucoup d’ autres Cipher comme le Serpent, le Twofish ou Threefish. C’est surtout l’ utilisation massive de l’ AES et dans une moindre mesure du Blowfish qui donne ce sentiment d’ un chiffrement AES universel

Data Encryption = 256-bit AES CBC ou Camellia-256-CBC (Seulement sur serveurs Allemands)

Data Authentication = SHA256 data authentication

Handshake Encryption = 4096-bit RSA handshake

Le cipher Camellia est donc sur les serveurs Allemands que l’ on retrouve aisément dans le logiciel de connexion intégré: Liquid Viscosity

 LiquidVPN Germany Camellia  Liquid Viscosity Details

Si vous êtes amenez à tester LiquidVPN vous apprécierez son logiciel Viscocity. Des VPN testés c’est celui qui nous a le plus marqué pour son rapport qualité/prix. Son logiciel a les bonnes options: Port Forwading, Kill Switch, LeakTest (DNS se font via LiquidDNS), et 3 Protocoles: OpenVPN, PPTP et L2TP (SSTP est aussi dispo sur 7 adresses). Si vous voulez un HighID sur Emule alors il faut utiliser les adresses Dynamic (en majorité sur les serveurs Roumains), pas d’ ouverture de port dans votre espace utilisateur car c’est un Port Forwading (par contre ouverture dans votre Box-Modem du Port mis dans Emule)

LiquidVPN Dynamic IP HighID

Une autre option que l’ on a trouvé très originale c’est la capacité d’ intégrer les fichiers .opvpn d’ un autre VPN. Par exemple on a mis les 4 serveurs de VikingVPN dans le logiciel Viscocity !

LiquidVPN ajout OpenVPN

  • IronSocket utilise depuis peu un nouveau réseau de serveurs (Network 2.0) qui propose 3 niveaux de chiffrement suivant l’ adresse de connexion utilisée.

Par exemple pour une connexion sur Amsterdam (S1 ou S2 ou S3 ou S4), l’ OpenVPN supporte trois niveaux (Strong – Light – None). N’ ayant pas de client de connexion « maison » il faut donc télécharger le fichier .ovpn

IronSocket - Configuration profile

Cette absence d’ un client « maison » est le point faible de ce VPN. A l’ heure où tous les VPN en ont UN, cela saute aux yeux. Un client Maison est le TRUC à développer: il doit intégrer l’ aspect technique des VPN: Protocoles, Serveurs, DNS, …. et les options qui s’en rapportent comme un Kill Switch (IP Guard), Test de Ping, Vitesse, …

C’est vraiment dommage car pour tout le reste IronSocket a bien fonctionné. IronSocket ne révolutionne pas le marché dans ce qu’ il propose (OpenVPN, PPTP, L2TP + HTTP/SOCKS5 Proxy + Smart DNS Proxy + 36 Pays) mais le prix est très bon: $49.95/AN.

  • Proxy.Sh offre la possibilité d’ essayer (avec un programme Beta) la curve25519 pour le Handshake Encryption. curve25519 a été développé par Dan Bernstein. Malheureusement cette possibilité est juste un effet d’ annonce. En fait après plusieurs échanges mails on m’ a indiqué que ce n’ était pas possible avant plusieurs semaines !

Pour le reste Proxy.SH est un VPN qui veut se donner des allures techniques et pro-Tor. A côté du très classique OpenVPN, PPTP et L2TP, du logiciel de connexion Safejumper vous avez de nombreuses options (et tutoriaux !!!)

Proxy.sh Safejumper

Certaines options ont un lien direct avec les VPN:

Catégorie Tunnel –>

** OpenVPN over SSL. Ajout d’ une couche SSL à votre connexion OpenVPN pour éviter qu’ elle soit reconnue. Cette configuration s’ obtient uniquement via le VPN CONFIG GENERATOR pour créer à votre guise votre fichier .ovpn

Catégorie Proxy –>

** Proxy HTTP et HHTPS

** CGI Proxy 

** SOCKS Proxy

Catégorie TOR –>

** Possibilité d’ utiliser Proxy.SH comme Exit Node. Comme vous le savez TOR est un réseau dont une des faiblesses réside dans les exit nodes. Ce dernier envoie les données en clair à la destination finale et a toutes les cartes en main pour lire les données de l’internaute. Les développeurs du réseau Tor le soulignent bien dans leur documentation:

Tor anonymise l’origine de votre trafic et chiffre tout à l’intérieur du réseau Tor, mais il ne peut pas chiffrer votre trafic entre le réseau Tor et sa destination finale.

C’est pourquoi Proxy.Sh propose de Configure your TOR client bundle to use Proxy.sh as exit node

** Proxy.sh as a bridge.  Point d’ entrée privée du réseau TOR. A utiliser si vous avez des difficultés pour vous connecter à TOR

** VPN over TOR. Le VPN se superpose à TOR. Idéal pour cacher l’ IP de base derrière TOR ! C’est l’ option la plus intéressante, seul AirVPN le propose aussi.

** OpenVPN + obfsproxy. obfsproxy est un proxy TOR pour rendre une connexion OpenVPN non visible. Malgré ma bonne volonté je n’ ai jamais réussit à le mettre en oeuvre ce stealth mode

D’autres sont dans l’ esprit VPN:

– Connexion NO LOGS sur Cryptocat. Cryptocat utilise le protocole de messagerie crypté OTR pour offrir des communications accessibles à tous. Sachez que la nouvelle version (Cryptcat 2.2) permet désormais de chiffrer vos conversations privées sur Facebook sous condition bien sûr que vos contacts utilisent également cette application.

— Connexion NO LOGS sur Jabber, Système de messagerie instantanée libre, standard et ouvert

DNSCrypt: Permet d’ajouter une couche supplémentaire de sécurité en chiffrant tout simplement le trafic DNS.

– Pastebin anonyme. Version clone et maison du célèbre Pastebin

Honnêtement je n’ ai pas testé toutes les options et autres outils conseillés. Il faut avouer que pour $5/mois (avec 6 pays – $10/mois avec 42 pays dont le Liechtenstein) on vous en donne. Seul le Safejumper me semble un peu en retrait (à part l’ option détection de réseau Wifi). Au final idéal pour les bidouilleurs et ceux qui sont orientés Proxy et TOR

De même certains optent  pour des chiffrements différents, plus puissants, plus novateurs comme le mode d’ opération GCM. C’est pourquoi les révélations « saupoudrées » de Snowden sur les protocoles cassées me laissent très perplexes !!!:

  • VikingVPN va offrir un OpenVPN différent. Vous avez par défaut:

Data Encryption = 256-bit AES CBC ou 256-bit AES GCM

Data Authentication = SHA1

Handshake Encryption = 4096-bit RSA handshake

VikingVPN va offrir la possibilité d’ utiliser un chiffrement 256-bit AES GCM. Explication: Chaque algorithme de chiffrement symétrique (AES, Blowfish, Camellia, …) à une taille de Blocs fixée. Par exemple AES a un bloc standard de 128 bits et Blowfish utilise une taille de bloc de 64 bits. Ainsi pour chiffrer, on découpe les données (Messages, Photos, Vidéos, …) en blocs de taille adéquate suivant le maximum autorisé. Les modes opératoires (CBC – ECB – GCM – CCM – …) vont chiffrer chaque bloc individuellement et ceci avec plus ou moins d’ efficacité. Dans le tableau ci-dessous on a chiffré notre Logo de trois manières différentes (AES-ECB // Camellia-ECB // AES-CBC)

 mahi AES-ECBmahi-aes-ecb
Camellia-ECBmahi-camellia-ecb  AES-CBCmahi-aes-cbc

Moi même j’ ai longtemps sous estimé l’ importance du mode d’ opération de chiffrement des blocs. On le voie clairement sur ces images: l’ ECB est à proscrire !!! Et peu importe l’ algorithme qu’ il soit Camellia ou AES. Seul le mode d’ opération CBC donne un résultat. Mais malgré son utilisation quasi systématique le CBC garantit la confidentialité des données (comme l’ image le montre) mais pas l’ intégralité des données. C’est à dire que des personnes pourraient ajoutées du contenu aux données. C’est pourquoi les VPN ajoutent toujours les fonctions de hachage SHA-1 ou SHA-2 pour l’ intégrité des données. C’est sur ce point que le mode d’ opération GCM est excellent. Il est capable de fournir à la fois l’intégrité et l’authenticité des données, ainsi que la confidentialité. VikingVPN nous a dit que le GCM serait dispo dès la version d’ OpenVPN 2.4.0

Il n’ en reste pas moins que pour l’ instant VikingVPN reste quand même très très cher par rapport à la concurrence: $14.99/mois avec un seul mode de paiement: CB (pas top niveau confidentialité). Il existe bien le Bitcoin mais pour une durée minimum de 6 mois et dans ce cas pas d’ offre d’ essai remboursée de 14 jours. Si vous ajoutez à cela qu’ il faut utiliser OpenVPN Gui avec une ergonomie datant un peu. Il n’ en reste pas moins que le Blog de VikingVPN est un des meilleurs: pas d’ autopromotion, d’ articles commerciaux bateaux et grands publics.

  • Une confidentialité (voire une anonymisation) de plus en plus performante.

A côté des moyens de paiement de plus en plus variés les VPN mettent en oeuvre des améliorations techniques, juridiques que je trouve intéressant:

  • Paiement: Bitcoin s’ est largement démocratisé et fait partie des moyens de paiement les plus courants. D’autres paiements « Anonymes » se démocratisent:
  • Juridique: Warrant Canary – Un Warrant Canary est un processus légal qu’ utilise les VPN pour signaler qu’ ils n’ ont pas de reçu de demabdes d’ infos sur un ou des serveurs de la part des autorités. AUX USA il est interdit de signaler qu’ on a reçu une demande d’ infos des autorités. Par contre il est autorisé de dire qu’ on a rien reçu.  Voici le Canary de Proxy.SHCanary d’ IVPN – Canary de LiquidVPN . Cela complète la notion de NO LOGS. A ce sujet au jour du 16 Janvier 2015 voici pour les VPN qui sont réellement NO LOGS: IPVanishPrivate Internet AccessNordVPNMullvadProxy.SHLiquidVPNVikingVPNPerfect Privacy
  • Techniques:
    • Multi-Hop (aka DoubleVPN)Perfect-Privacy le propose (ainsi qu’ IVPN). A partir du logiciel de connexion (Onglet Cascading) vous pouvez choisir jusqu’ à 4 serveurs qui seront en intermédiaire entre votre réseau et Internet. Même si on trouve que cela ralentit beaucoup la vitesse de connexion, on avoue que l’ option est facile à mettre en place et ergonomique. Il vous suffit de vous connecter successivement aux serveurs de votre choix, le dernier connecté étant la connexion finale
Perfect-Privacy Cascading Connexion au Serveur Amsterdam

4 serveurs

Amsterdam=> Paris => Bucarest => Rotterdam

Ce Multi-Hop de Perfect-Privacy représente bien les atouts de ce VPN. Mais ce sont trois autres points dont je voudrais vous parler:

– L’ Option Firewall qui correspond à un Connection Guard a 3 niveaux: Actif lorsque que la connexion est établie – Actif lorsque le logiciel est activé – Activation permanente. Très bien pensé Firewall settings perfect privacy

– Gestion des Ports. A chaque connexion vous avez trois Ports qui sont ouverts (onglet Details) mais vous pouvez aussi en ouvrir UN de votre choix (valable 7 jours). En tout vous avez 8 Ports disponibles ! Autant vous dire que le HighID est assuré

 Perfect Privacy Connection Details  Ports Settings perfect privacy

– Des Proxys (Squid, Local, Socks, TOR) sont disponibles via un logiciel de connexion dédié PP Tunnel Manager Settings

Perfect-Privacy est technique, fonctionnel et complet. Mais son prix est trop élevé. C’est dommage car sur le papier c’est du lourd !

    • Modulating IP Addresse: Cet outil est une exclusivité de LiquidVPN. Le principe est de changer régulièrement l’ IP de l’ utilisateur à intervalle régulier pour éviter qu’ il ne garde la même IP partagée durant sa session. Dans la liste des serveurs proposés certains sont indiqués avec la mention Modulating (Vous aurez trois sortes d’ IPs chez LiquidVPN: Modulating , Shared qui est la plus courante et correspond à une même IP qui est partagée par plusieurs utilisateurs et Dynamic qui est une IP publique et non dédiée mais dont un seul utilisateur se sert)

LuiquidVPN Romania Modulating

 2 remarques:

*** L’ IP modulation n’ a rien à voire avec le Multihop (DoubleVPN) qui est une simple succession de serveurs entre vous le serveur final (Vous -> VPN1 -> VPN2 -> Internet) . Le Multiphop ralentit beaucoup la connexion et augmente considérablement le Ping

*** En fait ne vous attendez pas à changer de serveurs mais seulement d’ IPs (dernier bloc de l’ adresse IPv4) du même serveur et sur le même range.  C’est une très bonne idée technique, à améliorer mais bonne idée !

    • False traffic: VikingVPN avance de générer du faux trafic pour compliquer la recherche du vrai. Une sorte de brouillard technique. Malheureusement c’est très vague.

BILAN:

Les VPN sont définitivement un bon moyen pour retrouver un internet libre et neutre. De plus les fournisseurs VPN tendent à se différencier en offrant des forfaits parfois très différents les uns des autres et techniquement de plus en plus poussés. C’ est cette différenciation qui m’ a marquée. Avant les VPN se démarquaient sur des points précis: Nombre de Pays, protocoles, …. Ces avantages comparatifs semblent mis de côté par ces nouveaux VPN (par exemple LiquidVPN c’est 7 pays – VPN.AC c’est 13 – Proxy c’est 6) qui mettent l’ accent sur les chiffrements, les options, l’ anonymisation , …

Notre classement des derniers VPN testés est:

  1. LiquidVPN – A partir de $6 par Mois vous avez un vrai VPN Généraliste avec un bon logiciel de connexion intégré. Technique avec ces trois types D’ IPs, Anonymant avec son Warrant Canary, ses Gift Cards et son cash …. A $10 par Mois vous avez le TOP avec un SmartDNS. L’ IP Guard n’est pas inclus dans le logiciel mais un Kill switch est disponible dans la section Download: Aucune difficulté de configuration. Choisissez 1 pour l’ activer et 2 pour le désactiver.
  2. VPN.AC – Deuxième la liste. Simple mais efficace. Un VPN dédié au Surf  avec sa bonne IP FR !
  3. Perfect Privacy – Deux très très bons logiciels de connexion. Ce VPN a compris qu’ il fallait laisser à l’ utilisateur un maximum de choix de configs. Le gros bémol est le prix car pour le reste c’est du solide.
  4. Proxy.SH – Beaucoup de choses dans l’ offre de Proxy.SH (VPN + Proxy + TOR). Très novateur aussi (par exemple le processus Anonymous Token qui permet de créer un compte anonyme à partir d’ un compte créé normalement), voire un peu brouillon. Mais le prix est très favorable: Seul l’ accès à 6 pays: USA, UK, DE, RU, FR, NL est une concession à faire si vous voulez payer seulement $40 à l’ année
  5. IronSocket – Un Prix annuel de $49.99 (36 pays, 3 protocoles :OpenVPN, PPTP, L2TP, SmartDNS, Proxy Socks5 et 3 connexions simultanées) mais pas de logiciel de connexion intégré. Sérieux quand même: Serveurs OK, support OK
  6. VikingVPN – Trop cher pour ce qui est offert. Motivé de l’ essayer pour le mode d’ opération GCM mais ce dernier n’ était pas fonctionnel !
  7. EarthVPN – Un très bon prix de base ($39.99 /AN): 32 pays + PPTP / L2TP / SSTP / OpenVPN Protocols + P2P / Torrents Enabled. Mais les options intéressantes sont toutes à $1.99 et peuvent vite faire grimper la facture finale: Static IP + SSH Tunnel + Port Forwading + Top Secret Level 256bit Encryption for AES and SSL + Additional VPN Connection for Mobile Devices. Les options à $1.99 pour le moindre service en plus me laisse perplexe
  8. IVPN – Rien de spécial pour un prix assez élevé

Hors classement pour Overplay et Unlocator car c’ est le SmartDNS que l’ on a testé. Les deux sont très bons et ont toujours marché

Share

onoff App | Plusieurs numéros, un seul mobile

Ici sur le Blog du VPN on connaît la valeur du mot Virtuel et les tous les avantages qui en découlent. Nous on aime l’ IP virtuelle !

OnOff Telecom offre la téléphonie virtuelle (Virtual Mobile Numbers – Cloud Numbers) et on en publie un article car c’est simple, intelligent et virtuel.

On peut créer autant d’ adresses mails que l’ on veut, on change d’ IP à volonté, on peut augmenter sa capacité de stockage avec le Cloud. Et pourquoi pas les numéros de téléphone ?

Grâce à l’application OnOff qui est disponible pour les smartphones Android, iOS et même Windows Phone, il est possible de créer un nouveau numéro de téléphone très facilement. Et toutes las raisons sont bonnes: Numéro temporaire le temps d’ une annonce sur le boncoin, un numéro professionnel, on peut vouloir conserver son anonymat (d’ ailleurs penser à Masquer mes comptes pour ne pas apparaître dans le répertoire onoff)

Il vous suffit de télécharger l’ appli. De donner un Nom et Prénom (Virtuel !) et un Mail (Pensez à valider le lien de validation). Puis choisissez votre numéro. Il y en a encore beaucoup de gratuits. Les numéros supplémentaires sont facturés 2.69€. Visiblement d’ autres services, options vont être ajoutés comme acquérir des numéros locaux dans plusieurs pays.

onoff App onoff numéro

Au bout d’ une Heure le service est pleinement opérationnel. N’ oubliez pas de lire la FAQ ! qui est complète et donne quelques infos importantes comme les conditions tarifaires des appels:

Attention ! Tous les appels entrants seront décomptés de votre forfait mensuel. Ces minutes seront considérées comme des minutes d’appel sortantes, vers une ligne fixe ou mobile.

Bon courage à l’ équipe de onoff telecom et à la « poutre »

Comme je vais m’ en servir à fond je vous tiens au courant des nouveautés, bugs, … N’ hésitez pas à partager vos essais, impressions  :-)

Share

La faille WebRTC dévoile votre réelle IP

Cette faille WebRTC  fait l’ effet d’ une bombe. Elle permet de dévoiler votre IP F.A.I même si vous êtes connectés à votre VPN favori.

Mais comment ?

C’est très simple. WebRTC (pour Web Real-Time Communication) implanté dans Chrome et Firefox (uniquement sous Windows) permet de faire de la visiophonie entre navigateurs et sans autres logiciels installés. Sur le principe c’est très bien. Sauf que dans le cas de la VOIP votre ordinateur doit connaître votre adresse IP publique (celle du F.A.I). Pour cela il interroge un serveur STUN qui lui renvoie cette info en vue de l’établissement d’une communication.

Le problème est que le serveur STUN communique aux deux navigateurs l’adresse IP privée et publique.

Faîtes l’ essai en local chez vous. Connectez-vous à un VPN puis ouvrez la console de Chrome (F12 sous Chrome puis onglet Console) ou Firefox et copiez ce script

//get the IP addresses associated with an account
function getIPs(callback){
    var ip_dups = {};

    //compatibility for firefox and chrome
    var RTCPeerConnection = window.RTCPeerConnection
        || window.mozRTCPeerConnection
        || window.webkitRTCPeerConnection;
    var mediaConstraints = {
        optional: [{RtpDataChannels: true}]
    };

    //firefox already has a default stun server in about:config
    //    media.peerconnection.default_iceservers =
    //    [{"url": "stun:stun.services.mozilla.com"}]
    var servers = undefined;

    //add same stun server for chrome
    if(window.webkitRTCPeerConnection)
        servers = {iceServers: [{urls: "stun:stun.services.mozilla.com"}]};

    //construct a new RTCPeerConnection
    var pc = new RTCPeerConnection(servers, mediaConstraints);

    //listen for candidate events
    pc.onicecandidate = function(ice){

        //skip non-candidate events
        if(ice.candidate){

            //match just the IP address
            var ip_regex = /([0-9]{1,3}(\.[0-9]{1,3}){3})/
            var ip_addr = ip_regex.exec(ice.candidate.candidate)[1];

            //remove duplicates
            if(ip_dups[ip_addr] === undefined)
                callback(ip_addr);

            ip_dups[ip_addr] = true;
        }
    };

    //create a bogus data channel
    pc.createDataChannel("");

    //create an offer sdp
    pc.createOffer(function(result){

        //trigger the stun server request
        pc.setLocalDescription(result, function(){}, function(){});

    }, function(){});
}

//Test: Print the IP addresses into the console
getIPs(function(ip){console.log(ip);});

En cas de connexion à un VPN vous obtenez en retour l’ IP du VPN mais aussi l’ IP F.A.I. Ici le test avec VPN.AC

webrtc VPN

Pour s’en protéger il suffit de:

  • Sous Firefox. Dans votre barre d’ adresse tapez: about:config puis mettez l’ option media.peerconnection.enabled sur false

 

Share

Configurer pare-feu ESET contre deconnexions VPN

Le tuto qui suit est l’ oeuvre de Cartha , un fidèle lecteur qui nous suit depuis 2010 !!! Ce tuto est tout simplement très bon :-) . Il vous permettra d’ une part de vous prévenir des éventuelles déconnexions des VPN et d’ autre part (et ceci indirectement) de mettre en place des Split Tunneling pour les logiciels qui ne doivent pas emprunter le réseau du VPN


TUTORIEL : Comment configurer le pare-feu de la suite ESET SMART SECURITY (version 7) pour que les règles de filtrage changent automatiquement en cas connexion/déconnexion à un VPN ?

Introduction

Lorsque l’on se connecte à un VPN, on a souvent (entre autres) comme objectif d’améliorer le respect de sa vie privée, ou bien de sécuriser la transmission d’informations professionnelles (couvertes par exemple par le secret professionnel, ou bien constituant des secrets économiques, techniques, etc.).

Il est donc nécessaire, pour ne pas compromettre la sécurité des données protégées circulant dans le tunnel chiffré que constitue un VPN, qu’une procédure automatisée existe pour bloquer certains processus au cas où surviendrait une interruption accidentelle de la connexion VPN, ce qui peut se produire régulièrement (panne du serveur distant, dysfonctionnement local, etc.).

C’est pourquoi plusieurs VPN proposent déjà des programmes (souvent appelés, en bon français, « connection Guard », ou « IP Guard »…).

Mais tous les VPN n’en proposent pas, et d’autres bloquent tout le trafic quand l’on pourrait souhaiter une interruption plus sélective, par programmes.

Certains pare-feux permettent d’obtenir un résultat plus fin, c’est notamment le cas de celui que j’utilise, en l’occurrence le pare-feu de la suite de sécurité ESET SMART SECURITY (version 7).

Vu les difficultés que j’ai eu à trouver cette solution, et la satisfaction qu’elle me donne à présent à l’usage – et même si elle n’est valable que pour le pare-feu de ESET (mais il existe sûrement d’autres pare-feux capables de fournir de telles fonctions) –, j’ai décidé de faire un tutoriel pour tous ceux qui utilisent cette même suite de protection.

J’espère que ce sera utile ! ^^

Principe 

L’on va utiliser deux fonctions du pare-feu de la suite d’ ESET : la possibilité de définir des zones de sécurité ; et la possibilité de créer différents profils.

ESET permet en effet de créer des profils utilisateurs variés, avec chacun un corps de règles spécifiques définies par l’utilisateur : cela permet de changer d’un seul coup le mode de filtrage (en changeant simplement de profil, sans avoir à changer une à une toutes les règles à chaque fois) ; ce changement peut se faire de manière manuelle, mais aussi de manière automatique, en paramétrant le logiciel pour qu’il repère un changement dans la connexion : exactement ce que l’on veut quand on perd une connexion VPN !

La protection ainsi obtenue est très fonctionnelle et très puissante, car vous pouvez paramétrer le pare-feu de manière fine pour bloquer tous les programmes que vous ne souhaitez pas voir tourner via VPN, ou au contraire autoriser tous ceux que vous souhaitez voir tournez uniquement via VPN.
Et vous pouvez modifier ces règles quand vous voulez, et également créer de nouveaux profils pour d’autres serveurs VPN, si vous aimez passer par des serveurs différents selon les besoins (par exemple des serveurs dans des pays différents), ou si vous aimez changer de fournisseur VPN – le tout sans dépendre d’un logiciel client qui varie d’un fournisseur à l’autre, et parfois n’existe même pas.

J’ai décomposé la procédure de configuration en 6 étapes:

1) Commencer par se connecter au serveur VPN de son choix :

Il faut être déjà connecté, afin que le pare-feu puisse détecter (à l’étape 3) directement les paramètres pertinents de connexion pour lesquels il devra activer le profil.

2) Aller dans les paramètres avancés de ESET SMART SECURITY :

Ouvrir le panneau principal (d’accueil) de la suite de sécurité ; aller dans l’onglet « Configuration » (dans la fenêtre de gauche), puis cliquer sur « Réseau » (dans la fenêtre de droite), puis en bas de la nouvelle fenêtre de droite cliquer sur « Configuration avancée du pare-feu personnel ».

Eset Config réseau

Eset config réseau avancée

Une nouvelle fenêtre « Configuration avancée » s’affiche, en vous plaçant directement à la page « Réseau / pare-feu personnel ».

C’est sur cette page que se trouve, en bas à droite, la partie « Profils utilisateurs pare-feu », où l’on pourra tout à l’heure (à l’étape 4) définir le profil spécial que l’on veut voir s’activer automatiquement avec notre connexion VPN (et surtout se désactiver tout seul quand cette connexion est perdue).

Eset config réseau avancée profils

Mais il y a une étape préalable à accomplir : définir la « zone de sécurité » contenant les paramètres de la connexion à votre serveur VPN.

3) Définir une « zone de sécurité » associée à votre connexion VPN :

3-a) Dans l’arborescence présente à gauche de la fenêtre « Configuration avancée » que l’on vient d’ouvrir, repérer « pare-feu personnel » (dans la catégorie « Réseau »), et cliquer sur le « + » qui le précède pour développer le menu ; puis sélectionner « Règles et zones ».

Eset Règles et zones

3-b) Dans la partie « Éditeur de zones et de règles » (au milieu de la partie droite de la fenêtre), cliquer sur le bouton « Configuration… ».

Une grande fenêtre « Configuration des zones et des règles » s’affiche. Elle comporte deux onglets (en haut) : « Règles » et « Zones ».

Cliquer sur l’onglet « Zones ».

Eset Config Zones

En bas à gauche de la fenêtre, se trouvent trois boutons (« Nouveau », « Modifier », et « Supprimer ») : cliquer sur « Nouveau » pour définir une nouvelle zone.

Une nouvelle fenêtre plus petite s’ouvre, intitulée « Paramètre des groupes ». Elle comporte deux onglets : « Paramètre des groupes » (oui, encore) et « Authentification de zone ».

Eset Paramètres des groupes

3-c) Dans l’onglet « Paramètre des groupes », rubrique « Adresse distante », saisir un nom pour la zone (par exemple : « Mon VPN », ou « VPN-machin serveur-truc » : l’important est que ce nom vous rappelle ensuite de quoi il s’agit, surtout si vous envisagez de répéter plus tard l’opération pour d’autres VPN, ou d’autres serveurs du même VPN).

Dans la partie « Description », ajouter le cas échéant une description complémentaire (pas obligatoire).

3-d) Cliquer maintenant sur l’onglet « Authentification de zone ».

Eset Authentification de zone

Cocher la case en haut de l’onglet (case commençant par « Les adresses IP/sous-réseaux dans la zone deviendront valides après une authentification réussie dans le réseau »).

Au centre, laisser cocher la case « Ajouter adresses/sous-réseaux à la zone de confiance ».

Cocher la case « Passer au profil portant le même nom automatiquement (un nouveau profil sera créé) » : cette option constitue une forme de raccourci, qui vous permettra de sauter l’étape 4-a décrite ci-après.

En bas, sélectionner l’option « Par configuration de réseau locale ».

3-e) Puis cliquer sur le bouton « Configuration… »

Une nouvelle fenêtre s’ouvre, intitulée « Authentification par configuration de réseau locale ».

Eset Authentification par configuration de réseau locale

C’est là qu’il faut rentrer les éléments qui permettront au pare-feu d’identifier spécifiquement votre connexion au serveur du VPN (différentes adresses IP).

Cette étape aurait pu être un calvaire pour les non-techniciens (dont je suis), obligés d’essayer de découvrir les bonnes adresses pertinentes à saisir (elles sont spécifiques au serveur choisi de votre VPN)… mais heureusement, ESET a eu la TRÈS (oui, TRÈS TRÈS) bonne idée de prévoir un bouton sélectionnant à votre place directement tous les éléments de la connexion.

C’est pour cette étape qu’il est essentiel d’être déjà connecté à votre VPN, et plus précisément à celui de ses serveurs qui vous intéresse.

Il faut donc simplement cliquer sur ce bouton, qui s’intitule : « Renseigner avec les paramètres de connexion sélectionnés ».

Magiquement (!), toutes les informations pertinentes sont saisies, récupérées par le pare-feu à partir de la connexion au serveur VPN qui est active !

Si vous voulez que votre pare-feu soit configuré pour plusieurs serveurs différents de votre VPN, il faudra refaire l’opération à chaque fois en définissant autant de profils… (appel : si quelqu’un connaît une autre solutions plus simple, pour les adeptes du changement régulier de serveurs, je suis preneur, il y en a sûrement une, même si je n’ai pas eu le temps de la rechercher).

3-f) Il faut maintenant penser à valider une par une chacune des fenêtres successivement ouvertes (c’est bête à dire, mais on oublie facilement une validation ou une autre sur les quatre à ce stade, et l’on se demande après pourquoi ça ne marche pas !)

Eset validation config

Cliquer donc sur « OK », et vous revenez à la fenêtre « Paramètres des groupes ».

Cliquer encore sur « OK », et vous revenez à la grande fenêtre « Configuration des zones et des règles », onglet « Zones ».

Cliquer encore sur « OK » (en bas à droite) et vous revenez à l’onglet « Configuration avancée ».

Cliquer une dernière fois sur « OK » (en bas à droite).

Ça y est, votre zone spécifique à la connexion à votre serveur VPN est créée !

4) Créer votre « profil » spécifique au serveur VPN choisi, et créer un « profil » par défaut :

Il vous faudra deux profils (au moins) : celui actif quand vous serez connecté à votre VPN (profil VPN), et celui dit « par défaut » qui s’activera automatiquement à la place du profil VPN quand la connexion VPN n’est pas active.

4-a) Profil spécifique au serveur VPN :

Si, à l’étape 3-d ci-dessus, vous avez coché la case « Passer au profil portant le même nom automatiquement (un nouveau profil sera créé) », un nouveau profil a été automatiquement créé, associé à votre connexion en cours au serveur VPN choisi, et portant le même nom que celui choisi en étape 3-c pour la nouvelle « zone » définie. –> Dans ce cas, vous pouvez passez directement à l’étape 4-b.

Il se peut cependant que vous ayez envie (peu importe votre raison) que votre « profil VPN» pour la connexion au VPN ne porte pas le même nom que la « zone » créée à l’étape 3.

Dans ce cas, ne cochez pas la case « Passer au profil portant le même nom automatiquement (un nouveau profil sera créé) » à l’étape 3-d ci-dessus, mais à la place, une fois l’étape 3 entièrement terminée, retournez dans la fenêtre « Configuration avancée » de ESET SMART SECURITY 7 (la fenêtre atteinte à l’étape 2).

Dans la partie « Profils utilisateur pare-feu » se trouve une liste déroulante de tous les profils existants. Si vous n’en avez encore défini aucun, il y a simplement dans cette liste la mention « Aucun profil ».

Eset Config profil

C’est ici que vous pouvez activer manuellement les profils existants, ou tout simplement vérifier le profil en cours (c’est celui qui est affiché quand vous arrivez sur cette fenêtre).

Pour définir le nouveau profil propre à votre connexion VPN, cliquer sur le bouton « Profils… ».

Une fenêtre s’ouvre où vous pouvez ajouter un profil (ainsi d’ailleurs que modifier ou supprimer les profils existants : il faut juste que le profil concerné ne soit pas celui actuellement activé ; si c’est le cas, activez un autre profil avant).

Eset Profils pare-feu

Cliquer sur « Ajouter ». Une fenêtre « Paramètres du profil » s’ouvre.

Eset Paramètres profil

Donner un nom à votre profil (qui peut être le même que celui donné à la zone définie à l’étape 3-c, mais aussi un autre si vous préférez).

Il faut choisir ensuite entre trois options :

  • « ne pas changer automatiquement » : le profil ne pourra alors être activé que manuellement ; ce n’est bien sûr pas ce que nous souhaitons ici ;
  • « profil par défaut » : le profil s’activera par défaut si les conditions définies pour l’activation automatique d’autres profils ne sont pas réunies. Un seul profil peut bénéficier de cette option : c’est celui que nous définirons à l’étape 4-b ci-après, c’est-à-dire celui sur lequel basculera automatiquement votre pare-feu si la connexion à votre VPN est perdue.
  • « si cette zone est authentifiée : » : cette option est celle qu’il nous faut pour le profil associé au serveur VPN. Sélectionnez donc cette troisième option.

Un menu déroulant s’active en dessous : c’est la liste de toutes les zones déjà définies dans le pare-feu.

Cliquer sur la petite flèche à droite pour dérouler toute la liste : il faut sélectionner la ligne qui correspond à votre serveur VPN, c’est-à-dire celle portant le nom défini à l’étape 3-c.

Eset profil zone vpn

Cliquer maintenant une « OK » une première fois pour revenir à « Profils pare-feu ».

Cliquer une seconde fois sur « OK » pour revenir à la fenêtre « Configuration avancée ».

Cliquer une dernière fois sur « OK ».

Votre profil propre à la connexion via votre serveur VPN préféré est enfin prêt !

4-b) Création du profil par défaut :

Le profil créé en 4-a (ou en 3-d de manière automatique) est celui qui contiendra les règles d’autorisation de connexion des programmes spécifiques pour les moments où vous serez connecté au serveur VPN ; le reste du temps, le pare-feu basculera automatiquement vers « Aucun profil », ou bien vers un profil par défaut si vous en avez défini un.

Or il est plus sûr d’en définir un, plutôt que de laisser « Aucun profil » s’activer (car quand on définit des règles valables pour « Aucun profil », elles s’appliquent à tous les profils, et j’ai rencontré des problèmes pour bien les distinguer des règles propres au VPN ; on n’a pas ce problème en définissant un profil par défaut).

Suivez la même procédure de création de profil qu’indiqué à l’étape 4-a, mais en donnant bien sûr à ce nouveau profil un autre nom (par exemple : « Par défaut »), et en cochant cette fois, dans la fenêtre « Paramètres du profil », l’option n°2 : « profil par défaut »

eset profil Par défaut

(Nota : cette option n°2 n’est cochable que si aucun autre profil par défaut n’existe déjà, puisque, fort logiquement, il ne peut y en avoir qu’un).

Cliquez sur « OK » trois fois de suite comme en 4-a.

Le profil par défaut est créé.

Il vous reste maintenant à paramétrer selon vos souhaits les règles du profil VPN, et les règles (nécessairement différentes : c’est tout l’intérêt) du profil par défaut.

Mais avant, un petit test de bon fonctionnement s’impose.

5) Test du bon basculement entre les profils :

Parvenu à cette étape, vous avez donc deux profils disponibles (au moins) dans la fenêtre « Configuration avancée » (accessible comme indiquée à l’ étape 2) : celui associé à votre « zone de sécurité » de serveur VPN créée à l’étape 3 ; et celui « par défaut ».

Il faut vérifier que le basculement automatique se fait bien entre les deux.

Il vous suffit pour cela de vous déconnecter volontairement de votre serveur VPN : en principe, une notification de votre pare-feu devrait s’afficher pendant quelques secondes (en général en bas à droite de l’écran) vous indiquant que le profil vient de changer au profit du profil par défaut.

Eset modif pare-feu

Reconnectez-vous au serveur VPN : si tout va bien, vous aurez une nouvelle notification du pare-feu indiquant que vous avez à nouveau basculé vers votre profil VPN.

Eset modif pare-feu VPN

Si vous ne voyez pas ces notifications :

  • il est possible que vous ayez désactivé les notifications du pare-feu (dans ce cas, il change bien de profil, mais ne vous le dit pas automatiquement), ou que vous ayez désactivé les notifications quand une application est en plein écran (dans ce cas les notifications apparaîtrons avec retard, au moment où vous quitterez le plein écran) ; vous pouvez modifier ces options d’affichage des notifications à partir de la fenêtre « Configuration avancée », rubrique « Interface utilisateur », sous-rubrique « Alertes et notifications » ;
  • vous pouvez aussi aller vérifier manuellement que le profil activé a bien changé, en allant comme indiqué à l’étape 2  à la fenêtre « Configuration avancée » rubrique « Réseau », sous-rubrique « Pare-feu personnel » : le profil indiqué en arrivant sur cette fenêtre est celui en cours.

Si le basculement de profil ne se fait pas automatiquement à la connexion/déconnexion du serveur VPN :

  • soit vous ne vous êtes pas reconnecté au même serveur parmi ceux que proposent votre VPN (car comme dit plus haut, la configuration se fait par serveur) ;
  • soit une erreur a été faite à l’une des étapes précédentes, et il faut les reprendre.

Si le basculement se fait bien, il ne vous reste qu’à configurer les règles des deux profils, celui lié au VPN, et celui par défaut.

6) Paramétrer les règles qui vous conviennent pour le profil VPN et le profil par défaut :

Tout l’intérêt est bien sûr de définir, programme par programme, des règles différentes dans les deux cas.

Pour cela, il faut retourner dans la fenêtre « Configuration des zones et des règles » (cf. étape 3-b), mais cette fois rester dans l’onglet « Règles ».

Eset Config zones règles

Nota: il existe deux modes d’affichage possibles des règles déjà définies pour le pare-feu : « Arborescence des applications » et « Vue détaillée ». À vous d’apprécier laquelle vous trouvez la plus pratique (on bascule de l’une à l’autre en cliquant sur la ligne en haut, sous la barre des onglets).

Avertissement: les règles que vous définissez et/ou modifiez ici sont celles d’autorisation d’accès ou d’interdiction de tous vos différents programmes à internet ; il ne faut donc modifier les autorisations que pour les programmes que vous connaissez et maîtrisez (autoriser un programme inconnu peut être dangereux, et inversement, interdire l’accès à certain programmes peut provoquer des gênes, par exemple si vous bloquez des programmes systèmes indispensables au fonctionnement de votre connexion).

Un point important ici, pour ne pas vous arrachez les cheveux de ne pas voir s’afficher les bonnes règles que vous aurez créées : veuillez prêter attention à la ligne en haut à droite, intitulée : « Afficher les règles utilisées dans le profil : » suivie d’un nom de profil (celui en cours, normalement). Cela signifie que vous ne voyez pour le moment que les règles définies pour le profil ici indiqué ; cliquez sur la petite flèche à droite et sélectionnez « tout » dans le menu déroulant, pour que s’affichent les règles de tous les profils, et pas d’un seul.

Eset profil tout

Pour comprendre le fonctionnement de ces règles, la manière de les définir, et leur intérêt à ce stade, nous allons créer par exemple deux règles différentes :

  • une pour le profil VPN autorisant, par exemple, un client « bitTorrent » à se connecter,
  • une autre pour le profil par défaut interdisant à ce même logiciel toute connexion.

6-a) Exemple : règle d’autorisation pour « bitTorrent » dans le profil VPN :

Dans l’onglet de configuration des règles où nous sommes toujours, cliquez sur « nouveau » (en bas à gauche). Une fenêtre « Nouvelle règle » s’affiche.

Sélectionnez l’onglet « Local », puis dans la partie « Application » cliquez sur « Parcourir ».

Eset nouvelle règle

Un explorateur de fichiers s’ouvre : parcourez les dossiers jusqu’à trouver le fichier de lancement du programme pour lequel vous souhaitez créer la règle. Dans notre cas, ce sera par exemple « bitTorrent.exe » (le nom varie bien sûr selon votre logiciel bitTorrent). Si vous ne connaissez pas son chemin d’accès sur votre ordinateur, allez sur votre bureau (ou sur le raccourci d’où vous lancez d’habitude le programme, par exemple dans le menu « Démarrer »), faite « clic-droit », « propriétés », et le chemin d’accès au fichier de lancement s’affichera dans la ligne « cible » de la fenêtre apparaissant alors.

Une fois le fichier exécutable du programme sélectionné, cliquez sur « ouvrir », et vous revenez alors à l’onglet « Local », avec cette fois le programme concerné sélectionné dans la ligne « Application ».

Eset règle bitorrent

Revenez à l’onglet « Général », donnez un nom à la règle créée (par exemple : « BitTorrent-VPN »).

Eset règle bitorrent VPN

À la ligne « Direction », sélectionnez « Les deux » (les communications seront autorisées en entrée comme en sortie).

À la ligne « Action », sélectionnez « Autoriser » (vous pouvez aussi sélectionner « Demander » : dans ce cas, une fenêtre vous sollicitera à chaque tentative d’accès du programme au net, mais cela bloquera le programme si personne n’est là à ce moment pour cliquer sur « OK ») ;

À la ligne « protocole », laissez « TCP & UDP » (sauf si vous êtes sûr de n’avoir besoin que de l’un ou de l’autre).

À la ligne « Profil », sélectionner le nom de votre profil VPN créé en étape 3 ou 4. Ne sélectionnez surtout pas « Pour chaque » (cela généraliserait la règle à tous les profils alors que justement nous la voulons ici spécifique à un seul).

Cliquez sur « OK » : une nouvelle règle est apparue dans la liste.

Eset profil bitorrent vpn

Selon le mode d’affichage choisie, le contenu de cette règle est résumé dans la ligne elle-même, ou dans une petite fenêtre en bas de l’écran si cette ligne est sélectionnée (il vous faudra en principe développer les règles liées à votre application, ici « bitTorrent », en cliquant sur le petit « + » en tête de ligne). Notez bien que cette règle est clairement mentionnée, dans un cas comme dans l’autre, comme spécifique à votre profil VPN.

6-b) Suite de l’exemple : règle d’interdiction pour bitTorrent dans le profil par défaut :

À présent, nous allons définir la même règle pour le profil par défaut, sauf qu’il s’agira cette fois d’une interdiction d’accès au net, et plus d’une autorisation.

Cliquer sur la ligne de la règle créée en 6-a. Faites « clic-droit » et sélectionnez « Créer » puis « Règle similaire ».

On se retrouve dans une fenêtre « Modifier la règle », avec les paramètres de la règle créée en 6-a (comme cela, pas besoin de recommencer la sélection du programme sur l’onglet « Local »).

Eset modifier bitorrent règle

Dans l’onglet « Général » :

  • Changer le nom (par exemple : « BitTorrent par défaut »).
  • Garder comme « Direction » : « les deux »,
  • Basculer la ligne « Action » sur : « Refuser ».
  • Sur la ligne « Profil », sélectionnez le nom du profil par défaut.

Cliquez sur « OK ».

Vous revenez à la liste des règles, et une ligne nouvelle est apparue, spécifique au profil par défaut pour le programme bitTorrent, la ligne spécifique au profil VPN étant toujours là, en principe juste au-dessus.

Eset profil bitorrent par défaut

Conclusion

Votre pare-feu sait désormais qu’il doit autoriser bitTorrent quand vous êtes connecté à votre serveur VPN (et que donc le profil VPN est activé), et le bloquer si cette connexion se perd (car cela entraîne le basculement vers le profil par défaut, qui applique donc votre nouvelle règle d’interdiction).

Important: n’oubliez surtout pas, pour achever cette opération de création des règles, de cliquer sur « OK » en bas à droite de la fenêtre « Configuration des zones et des règles » (autrement dit, ne la quittez pas en cliquant sur la flèche rouge en haut à droite, sans quoi vos règles ne seront pas mémorisées, et il faudra les refaire…).

Désormais, votre pare-feu ESET basculera automatiquement du profil VPN au profil par défaut selon l’état de votre connexion, et appliquera pour tous les programmes les règles que vous aurez définies.

Vous pouvez ainsi le paramétrer pour bloquer tous les programmes que vous ne souhaitez pas voir tourner via VPN, ou au contraire que vous souhaitez voir tournez uniquement via VPN.

Vous n’avez qu’à faire quelques essais de connexion / déconnexion au VPN pour vous assurer que les programmes sont bien bloqués / activés au gré des changements de profils, et selon vos règles.

Il ne vous reste qu’à définir vos règles personnelles selon vos souhaits.

J’espère que tout a été clair et utile ! ^^

Share