Les boîtes noires à l’ épreuve des VPN

La loi sur le renseignement suscite de nombreuse interrogations chez les Internautes et les utilisateurs de VPN, en particulier la fameuse disposition concernant les « boîtes noires ». Ces « boîtes noires » seront installées chez les opérateurs, les hébergeurs internet et seront en charge de surveiller le comportement des Internautes à partir d’ un algorithme pouvant déceler une suite de comportements sur internet, comme des mots-clés tapés, des sites consultés, des correspondances. Ensuite un profil est créé pour lutter contre une menace terroriste.

Le gouvernement pourra demander aux opérateurs de communication et aux fournisseurs d’accès internet de mettre en place un algorithme (un programme informatique capable de détecter une suite d’opérations définies) pouvant déceler « une menace terroriste » par une suite de comportements sur internet, comme des mots clés tapés et des sites consultés. En cas de menace détectée, l’anonymat de ces métadonnées pourra être levé.

Autant vous dire que je suis très curieux de voire cet algorithme (La  « boîte noire » n’ existant pas – Cette expression a été inventée par les opposants). L’ algorithme va devoir être très performant pour éviter des « faux positifs ». Existe t-il déjà ? Une période de test a t-elle été réalisée ?. On est très loin d’ un algorithme commercial basique qui cible la publicité suivant vos dernières recherches ! De plus j’ ai cru comprendre que ces profils seront créés à la volé et sans stockage de données. Il va falloir du matos !

En fait à côté du principe qui est bon, il faut prendre garde aux dérives éventuelles, aux ajouts futurs, au sentiment de surveillance de masse.

Avant de vous donner quelques pistes pour continuer à protéger votre vie privée on voulait savoir si ce type de Loi pouvait vous inciter à utiliser continuellement un VPN ?

[poll id= »15″]

Quels sont nos conseils ?

  • Prendre un VPN NO LOGS pour la confidentialité

Les « boîtes noires » sont très facilement contournables en utilisant un VPN qui va se substituer à votre F.A.I. Toutes vos recherches, vos visionnages de vidéos, votre Surf en général passeront par le VPN. Votre F.A.I verra que vous utiliser un VPN, c’es tout !

Néanmoins on vous conseille de prendre UN VPN No LOGS et qui offre ses propres serveurs DNS (les requêtes faîtes sur le Net doivent obligatoirement passer par des DNS autres que ceux de votre F.A.I sinon ce dernier pourra savoir ce que vous recherchez malgré une connexion à un VPN!)

  • IPVanish: VPN situé aux USA (contrairement à une idée reçu les USA n’ ont aucune loi sur la rétentions de donnée) et NO LOGS. De plus IPVanish gère une partie de son réseau (Australie – Belgique – Brésil – Danemark – France – Allemagne – Hongrie – Japon – Hollande – Pologne – Singapour –  Corée du Sud – Espagne – Suède – Suisse – Angleterre – USA)) et donc est garant de la réalité de ce No Logs. On vous avait déjà signalé la toute relativité du NO Logs si le Data center qui loue les serveurs aux VPN gardaient de leur côté les LOGS. Voire affaire: EarthVPN et NO LOGS. Propre DNS
  • NordVPN. Basé au Panama.  Juridiction que l’ on qualifiera de “Offshore”. Propre DNS
  • Mullvad. Basé en Suède. La fameuse directive (2006/24/EC) qui d’ ailleurs a été invalidée en Avril 2014 ne concerne pas les VPN en Suède. Propre DNS
  • Proxy.SH. Situé aux Seychelles. Propre DNS

Pensez aussi à télécharger les applis (iOS – Android) des VPN ci-dessus. Car une recherche à partir d’ un ordinateur ou d’ un Smartphone c’est toujours une IP qui est derrière et donc un F.A.I. Seuls IPVanish, Private Internet Acces et Proxy.SH en proposent une native. IPVanish propose une appli pour iOS8 (existe aussi sous Android) de très grande qualité en intégrant le protocole IKEv2. PIA ne propose que sous Android mais a le mérite d’ être un bon replica de son logiciel de connexion intégré (avec option de chiffrement). Proxy.SH propose sous les deux OS (iOS et Android) mais le fonction Connect On Demand sous iOS ne marchait pas sous notre OS6.

De toute façon tous les VPN peuvent se configurer sous ces OS. Il y aura au minimum une config manuelle à effectuer mais cela marchera !

Pour l’ instant l’ algorithme ne s’intéressera qu’aux seules données de connexion, c’est-à-dire aux métadonnées, et pas au contenu des communications. Donc pas de D.P.I. Pourtant on va continuer cet article en vous donnant pour nous les VPN qui offrent les meilleurs niveaux de chiffrement pour une sécurité optimale. On l’ oublie trop souvent mais la fonction première d’ un VPN est de contrer l’interception de données par des tiers (protection de vos données personnelles) ou bien de contrecarrer le D.P.I. Les VPN sont aussi une technique de sécurisation des données.

Dans cette liste on a recoupé les meilleurs chiffrements avec les VPN No Logs. C’est pourquoi de très bons VPN question chiffrement comme HideMyAss ou VPN.AC ou AirVPN n’ y figurent pas.

  • Private Internet Access. Premier VPN à avoir laisser le choix à l’ utilisateur de son niveau de chiffrement ! Niveau maximal: AES-256 / SHA256 / RSA-4096. Bon courage pour un D.P.I !!!
  • LiquidVPN. Comme tous bons VPN il y a la présence de l’ AES. Mais aussi de l’ algorithme de chiffrement Camellia (sur les serveurs Allemands). Présence aussi du HMAC: On sait que le mode opératoire CBC ne protège pas l’ intégrité du message (que la confidentialité). Pour ce besoin, on peut utiliser un code d’authentification (HMAC = keyed-hash message authentication code) qui protègera le message chiffré.
  • Proxy.SH. Très bon niveau de chiffrement: AES-256 / SHA256 / RSA-4096. Propose aussi la courbe elliptique secp384r1 à la place du RSA pour l’ Handshake. On reviendra un peu plus loin sur cette courbe qui est associée au patch XOR.
  • IPVanish. Bon chiffrement: AES-256 / SHA256 / RSA-2048
  • Mullvad. Récemment Mullvad est passé à l’ algorithme AES en place du Blowfish. Noter que seul HideMyAss continue à proposer le Blowfish sur l’ ensemble de ses serveurs OpenVPN

On continue notre article en faisant un bond dans le futur. Pour l’ instant en France l’ utilisation des VPN est simple. Seul des Pays comme la Chine ou l’ Iran essaye ouvertement de les contrecarrer. L’ utilisation d’ un VPN ne passe pas inaperçue pour un administrateur réseau. Dans un premier temps il fallait juste passer par le port 443 si une connexion OpenVPN était bloquée. Mais maintenant ces Pays sont capables de détecter une connexion OpenVPN d’ une connexion SSL en Port 443 (Notez que le protocole SSTP est quant à lui encore indétectable car il simule une connexion HTTPS – C’est pourquoi PureVPN qui propose ce protocole est souvent mentionné pour ces pays). On en est encore très loin en France mais voici 3 pistes pour cacher votre connexion OpenVPN et la rendre Stealth et retrouver une entière liberté:

  • La toute dernière nouveauté est le patch XOR. Ce Patch doit être installé sur votre client de connexion et sur le serveur. XOR permet de brouiller, cacher votre connexion OpenVPN. On vous recommande VPN.AC qui est le seul VPN à l’ avoir intégré dans son logiciel de connexion. Proxy.SH le propose aussi mais il faut le configurer manuellement et ce n’est pas simple.
  • OpenVPN avec obfsproxy. obfsproxy (serveur proxy voilé) vient du projet TOR. Comme le Patch XOR, obfsproxy permet de cacher que vous utilisez une connexion OpenVPN. Très complexe à mettre en oeuvre. Proxy.SH est le seul VPN à le proposer mais son tuto n’ est pas clair. Je m’ y suis cassé les dents !
  • Tunnel SSL ou SSH. Il s’ agit d’ encapsuler votre OpenVPN à l’ intérieur d’ un tunnel SSL ou SSH. Ces connexions étant autorisées elles camoufleront l’ OpenVPN. De nombreux VPN le proposent mais seul AirVPN l’ a aussi bien mis en valeur dans Eddie, son logiciel de connexion. Vous y avez tous les types de tunnel, les différents Ports. Un bonheur !

Dans ces listes que l’ on vous a proposé (NO LOGS pour la confidentialité – Chiffrement pour la sécurité – Stealth OpenVPN pour la liberté) vous avez sans doute remarqué que les mêmes VPN revenaient souvent. C’est assez logique au vu de notre parti pris de choisir en priorité des VPN NO LOGS (en étant conscient de la relativité du concept). Il existe beaucoup de VPN mais peu ont des Logs de 0 jours. HideMyAss, VPN.AC, AirVPN, PureVPN, Overplay, AceVPN, Astrill, CactusVPN, IbVPN, StrongVPN, HideIPVPN, SlickVPN, IAPS, … ne sont pas NO LOGS.

On a néanmoins fait une exception pour VPN.AC et AirVPN qui ont des fonctions essentielles pour rendre une connexion OpenVPN « Stealth« .

Après l’ utilisation du VPN comme solution il existe aussi TOR

  • Utiliser le réseau TOR

On vous a déjà proposé un tutorial sur TOR. Le plus simple pour rejoindre ce réseau est de télécharger le package TOR pour rejoindre le réseau TOR (DeepWeb) et de surfer avec une grande confidentialité sur le ClearWeb

Etant orienté VPN on va donc vous proposer une liste de fournisseur qui l’ ont intégré dans leur offre:

  • AirVPN propose le réseau TOR sous deux formes: AirVPN sur TOR et TOR sur AirVPN. Les deux processus sont très bien expliqués et ne nécessitent pas de configuration compliquée. Pour nous c’est AirVPN qui a le mieux intégré le projet TOR à son offre VPN
  • NordVPN. Seul TOR sur VPN est disponible. Très facilement joignable depuis le logiciel de connexion (Entrée se fait en Suède)
  • Perfect-Privacy. TOR sur VPN. A configurer à partir d’ un navigateur Firefox
  • Proxy.SH. VPN sur TOR. Config est manuelle, non intégrée au logiciel de connexion.
Share

Les VPN en pleine mutation

Différents testsVPN ces derniers mois dont on a synthétisé les éléments marquants! Notre dernier article couvrant un essai VPN (celui de Mullvad) date de fin Août 2014 et depuis on s’est attardé sur: LiquidVPN, VPN.AC, Proxy.SH, IronSocket, VikingVPN, Perfect-Privacy, EarthVPN, IVPNOverPlay (SmartDNS) et Unlocator (SmartDNS)

Il faut dire que l’ usage des VPN n’ a jamais été autant nécessaire:

  • Restrictions d’ usages ou de services suivant les pays ! les F.A.I ! les sites !. Les diverses restrictions sont une situation de fait de plus en plus courante. Et elles sont nombreuses:
    • Censure, Filtrage, Surveillance du Web dans de nombreux pays avec l’ exemple frappant de la Chine qui coupe l’ accès à de nombreux sites ou services suivant son desiderata. Le dernier exemple étant le service Gmail subitement coupée le 26 Décembre 2014 comme le montre ce graphique officielle de Google sur les données en temps réel du trafic vers Gmail – Heureusement la France en est encore loin !
    • La géo-restriction. Ceci n’ a rien à voire avec une forme de censure, c’est tout simplement une question de droits d’ auteur à l’ international. Ce sont tous les sites de vidéos en ligne (Replay, VOD) qui l’ appliquent. Mais de nombreux voyageurs ou expats veulent continuer à les visionner, garder un lien culturel avec le pays d’ origine. De même de nombreux Internautes veulent accéder à ces contenus même en étant étrangers aux pays auxquels ils sont destinés. Les cas les plus courants sont Hulu ou Netflix USA qui limitent (théoriquement) le catalogue US aux résidents américains. Le cas de Netflix est assez symptomatique: durant de nombreuses années le catalogue de la plate-forme n’ était pas disponible hors USA mais de nombreux utilisateurs de VPN utilisaient la fonction de changement d’ IP pour y accéder. Mais depuis quelque mois une implantation vers les pays Européens (+ Australie) a été engagée et depuis Netflix laisse planer un doute sur un éventuel blocage des VPN et autres SmartDNS.
  • Internet à deux vitesses: Limitation de bande passante suivant les sites visités. Ce procédé existe depuis longtemps. Il s’ agit de contenir l’accroissement de la demande en bande passante en ralentissant certains usages intensifs. Dans le viseur les sites de vidéo à la demande comme Netflix, Youtube, Hulu (Aux Etats-Unis, YouTube et Netflix accaparent déjà plus de la moitié de la bande passante en période de pointe) et pourquoi pas des plateformes de vidéos X qui génèrent aussi beaucoup de trafic. Conséquence: les plateformes qui refuseront de payer verront leurs vidéos se charger très lentement !!!
  • Surveillance, conservation des Logs. Le cas de la France est assez symptomatique d’ une surveillance accrue: Officiellement depuis Avril 2014 la directive Européenne sur la conservation des données est invalide suite à une décision de la Haute Cour de Justice. Mais les transpositions nationales de cette directive restent valides tant que ces pays n’ abrogent pas les lois qui en ont découlé. Hors entre les pays qui déclarent que cette directive est inconstitutionnelle (Autriche, Roumanie, Slovénie, Slovaquie, Tchéquie, Hongrie, Chypre, Bulgarie), l’ Allemagne qui ne l’ avait pas appliquée dans sa loi, les pays qui annoncent une modification de leur loi (Suède, Finlande, Norvège, Luxembourg) on se retrouve avec une liste des Pays de l’ UE n’ appliquant pas cette directive qui commence à être longue. La France (comme la Lituanie, le Danemark, l’ Italie, l’ Espagne, la Belgique, l’ Irlande, la Hollande (ne s’ appliquait pas aux VPNs), l’ Estonie, la Grèce, la Lettonie, la Pologne, Malte, Portugal et Croatie) fait partie de ceux qui ont choisi de ne pas l’ abroger. Heureusement qu’ elle n’ a pas pris exemple sur le Royaume-Uni ou la Suisse qui ont depuis Avril 2014 encore renforcé leurs législations sur la conservation des données de connexion (Logs). Par contre la France s’ est fait remarquée en cette fin d’ année 2014 avec le décret d’application du controversé article 20 de la loi de programmation militaire (LPM) adopté il y a un an et visant à renforcer la surveillance d’internet. La réalité et les buts de ces décrets sont très simples, la CNIL les a résumé ainsi dans sa délibérationLes finalités pour lesquelles peuvent être demandées les données ont été étendues et la liste des services pouvant requérir ces données a été corrélativement élargie ou encore: la commission relève que les données détenues par les opérateurs qui peuvent être demandées sont de plus en plus nombreuses, sont accessibles à un nombre de plus en plus important d’organismes, sur réquisitions judiciaires ou administratives ou en exécution d’un droit de communication, et ce pour des finalités très différentes. => En fait c’est comme une fuite en avant Juridique, on élargit, élargit les champs (pour des motifs fort légitimes de lutte contre terrorisme, Crimes organisées, …). Mais on autorise de plus en plus de services à y accéder, nous créons de plus en plus de fichiers au risque de ne plus savoir qui les gère, la durée de conservation se rallonge, avec comme danger final de croiser les fichiers… la CNIL a fort raison de s’ inquiéter sur les risques qui en résultent pour la vie privée et la protection des données à caractère personnel

Ainsi les VPN s’ adaptent au marché:

  • Mise en avant des restrictions géographiques (Netflix, …) – Pour nous Français ce sont surtout nos services de replay qui demandent une IP FR. Pas de difficulté pour en trouver une. L’ originalité vient de VPN.AC.
      • VPN.AC offre des IP Françaises venant du F.A.I Free. Assez original et performant car vous êtes sûrs de la géolocalisation FR de ces IPs. J’ ai cru naïvement pouvoir les utiliser pour me connecter aux newsgroups gratuits de Free en utilisant l’ adresse news.free.fr mais je n’ ai eu accès qu’ à la Hiérarchie Proxad !!!. Ces IP de Free sont aussi un bon moyen d’ accéder à tout un ensemble de service (Yahoo, Google, Banque, Paypal, Cloudflare) en ayant une IP qui ne sera pas reconnu comme une tentative d’ intrusion! Le cas de Cloudflare est assez révélateur. De nombreux sites l’ utilisent, il se place entre les internautes et le site web. Il agit comme un reverse-proxy: Toute requête HTTP destinée à votre site passe d’abord par les serveurs CloudFlare qui l’analysent et éventuellement la bloquent. Avec VPN.AC et son IP Fr je n’ ai aucun souci pour me connecter aux sites derrière CloudFlare.
        Petit rappel: vous avez trois sortes d’ Ips.

        • Celles provenant dans 95 % des cas d’ un Hosting Provider (Data Center) type Leaseweb
        • Plus rarement du VPN en lui même comme IPVanish qui gère lui même son réseau, dans ce cas le qualificatif de Tier-1 VPN Network lui est attribué.
        • Dans le dernier cas l’ IP provient d’ un F.A.I. Dans ce cas l’ IP est résidentielle (residential ip address) ce qui signifie que pour un administrateur réseau vous êtes vu comme un abonné de ce F.A.I. C’est l’ exemple de VPN.AC qui offre une IP résidentielle Française. L’ autre VPN qui développe de plus en plus ce concept est IAPS qui offre des IP Résidentielles dans plus de 25 pays dans le monde.
  • Développement impressionnant des SmartDNS. Le SmartDNS consiste à juste changer vos DNS pour contourner les restrictions géographiques. OverPlay est l’ inventeur de ce système, c’est rapide à installer, pas de modification réseau et pas de perte de vitesse dû aux chiffrements. Il existe depuis des services uniquement dédiés à cette technique comme Unlocator à $4.95/mois. Mais ce service a surtout été ajouté gratuitement au service VPN. C’est pourquoi on le retrouve chez OverPlay, PureVPN, Ironsocket, IbVPN, CactusVPN, AceVPN, Hideipvpn et LiquidVPN.
  • Des niveaux de chiffrement de plus en plus variés et performants

Private Internet Acces a été le premier VPN a laisser à l’ utilisateur la possibilité de choisir son niveau de chiffrement. A l’ usage vous pouvez modifier une ou plusieurs étapes nécessaires à la connexion du VPN:

Data Encryption = Algorithme de chiffrement.
Data Authentication = Fonction de hachage.
Handshake = Procédure d’établissement d’une communication.

Depuis d’ autres VPN offrent aussi cette possibilité:

  • Pour son OpenVPN, VPN.AC a décidé d’ utiliser la curve elliptic secp256k1 pour son Handshake (la même courbe utilisée par le Bitcoin). Au final son OpenVPN se décompose ainsi et laisse à l’ utilisateur plusieurs formules:

Data Encryption = 128-bit AES CBC ou 256-bit AES CBC
Data Authentication = SHA512 data authentication
Handshake Encryption = Pour l’ AES (128 et 256 bit) VPN.AC utilise le RSA-4096 ou la curve elliptic secp256k1

Dans le logiciel de connexion vous aurez un menu déroulant qui offre un OpenVPN ECC, OpenVPN 128-bit, OpenVPN 256-bit et OpenVPN XOR (VPN optimisé pour la Chine)

VPN.AC Client Software OpenVPN

  • LiquidVPN est un des seuls à offrir la choix de l’ algorithme pour le chiffrement de ses données. A côté de l’ AES (qui est le cipher le plus utilisé par tous les VPN), LiquidVPN propose le Camellia (Développé par des entreprises Japonaise c’ est un algorithme de chiffrement symétrique par blocs de 128 bits, conçu pour fonctionner avec des clés de 128, 192 et 256 bits. Il est globalement deux fois plus lent que AES mais offre des performances similaires à Blowfish) en 256-CBC

Ceci n’ a rien d’ extraordinaire car il existe beaucoup d’ autres Cipher comme le Serpent, le Twofish ou Threefish. C’est surtout l’ utilisation massive de l’ AES et dans une moindre mesure du Blowfish qui donne ce sentiment d’ un chiffrement AES universel

Data Encryption = 256-bit AES CBC ou Camellia-256-CBC (Seulement sur serveurs Allemands)

Data Authentication = SHA256 data authentication

Handshake Encryption = 4096-bit RSA handshake

Le cipher Camellia est donc sur les serveurs Allemands que l’ on retrouve aisément dans le logiciel de connexion intégré: Liquid Viscosity

 LiquidVPN Germany Camellia  Liquid Viscosity Details

Si vous êtes amenez à tester LiquidVPN vous apprécierez son logiciel Viscocity. Des VPN testés c’est celui qui nous a le plus marqué pour son rapport qualité/prix. Son logiciel a les bonnes options: Port Forwading, Kill Switch, LeakTest (DNS se font via LiquidDNS), et 3 Protocoles: OpenVPN, PPTP et L2TP (SSTP est aussi dispo sur 7 adresses). Si vous voulez un HighID sur Emule alors il faut utiliser les adresses Dynamic (en majorité sur les serveurs Roumains), pas d’ ouverture de port dans votre espace utilisateur car c’est un Port Forwading (par contre ouverture dans votre Box-Modem du Port mis dans Emule)

LiquidVPN Dynamic IP HighID

Une autre option que l’ on a trouvé très originale c’est la capacité d’ intégrer les fichiers .opvpn d’ un autre VPN. Par exemple on a mis les 4 serveurs de VikingVPN dans le logiciel Viscocity !

LiquidVPN ajout OpenVPN

  • IronSocket utilise depuis peu un nouveau réseau de serveurs (Network 2.0) qui propose 3 niveaux de chiffrement suivant l’ adresse de connexion utilisée.

Par exemple pour une connexion sur Amsterdam (S1 ou S2 ou S3 ou S4), l’ OpenVPN supporte trois niveaux (Strong – Light – None). N’ ayant pas de client de connexion « maison » il faut donc télécharger le fichier .ovpn

IronSocket - Configuration profile

Cette absence d’ un client « maison » est le point faible de ce VPN. A l’ heure où tous les VPN en ont UN, cela saute aux yeux. Un client Maison est le TRUC à développer: il doit intégrer l’ aspect technique des VPN: Protocoles, Serveurs, DNS, …. et les options qui s’en rapportent comme un Kill Switch (IP Guard), Test de Ping, Vitesse, …

C’est vraiment dommage car pour tout le reste IronSocket a bien fonctionné. IronSocket ne révolutionne pas le marché dans ce qu’ il propose (OpenVPN, PPTP, L2TP + HTTP/SOCKS5 Proxy + Smart DNS Proxy + 36 Pays) mais le prix est très bon: $49.95/AN.

  • Proxy.Sh offre la possibilité d’ essayer (avec un programme Beta) la curve25519 pour le Handshake Encryption. curve25519 a été développé par Dan Bernstein. Malheureusement cette possibilité est juste un effet d’ annonce. En fait après plusieurs échanges mails on m’ a indiqué que ce n’ était pas possible avant plusieurs semaines !

Pour le reste Proxy.SH est un VPN qui veut se donner des allures techniques et pro-Tor. A côté du très classique OpenVPN, PPTP et L2TP, du logiciel de connexion Safejumper vous avez de nombreuses options (et tutoriaux !!!)

Proxy.sh Safejumper

Certaines options ont un lien direct avec les VPN:

Catégorie Tunnel –>

** OpenVPN over SSL. Ajout d’ une couche SSL à votre connexion OpenVPN pour éviter qu’ elle soit reconnue. Cette configuration s’ obtient uniquement via le VPN CONFIG GENERATOR pour créer à votre guise votre fichier .ovpn

Catégorie Proxy –>

** Proxy HTTP et HHTPS

** CGI Proxy 

** SOCKS Proxy

Catégorie TOR –>

** Possibilité d’ utiliser Proxy.SH comme Exit Node. Comme vous le savez TOR est un réseau dont une des faiblesses réside dans les exit nodes. Ce dernier envoie les données en clair à la destination finale et a toutes les cartes en main pour lire les données de l’internaute. Les développeurs du réseau Tor le soulignent bien dans leur documentation:

Tor anonymise l’origine de votre trafic et chiffre tout à l’intérieur du réseau Tor, mais il ne peut pas chiffrer votre trafic entre le réseau Tor et sa destination finale.

C’est pourquoi Proxy.Sh propose de Configure your TOR client bundle to use Proxy.sh as exit node

** Proxy.sh as a bridge.  Point d’ entrée privée du réseau TOR. A utiliser si vous avez des difficultés pour vous connecter à TOR

** VPN over TOR. Le VPN se superpose à TOR. Idéal pour cacher l’ IP de base derrière TOR ! C’est l’ option la plus intéressante, seul AirVPN le propose aussi.

** OpenVPN + obfsproxy. obfsproxy est un proxy TOR pour rendre une connexion OpenVPN non visible. Malgré ma bonne volonté je n’ ai jamais réussit à le mettre en oeuvre ce stealth mode

D’autres sont dans l’ esprit VPN:

— Connexion NO LOGS sur Cryptocat. Cryptocat utilise le protocole de messagerie crypté OTR pour offrir des communications accessibles à tous. Sachez que la nouvelle version (Cryptcat 2.2) permet désormais de chiffrer vos conversations privées sur Facebook sous condition bien sûr que vos contacts utilisent également cette application.

— Connexion NO LOGS sur Jabber, Système de messagerie instantanée libre, standard et ouvert

DNSCrypt: Permet d’ajouter une couche supplémentaire de sécurité en chiffrant tout simplement le trafic DNS.

— Pastebin anonyme. Version clone et maison du célèbre Pastebin

Honnêtement je n’ ai pas testé toutes les options et autres outils conseillés. Il faut avouer que pour $5/mois (avec 6 pays – $10/mois avec 42 pays dont le Liechtenstein) on vous en donne. Seul le Safejumper me semble un peu en retrait (à part l’ option détection de réseau Wifi). Au final idéal pour les bidouilleurs et ceux qui sont orientés Proxy et TOR

De même certains optent  pour des chiffrements différents, plus puissants, plus novateurs comme le mode d’ opération GCM. C’est pourquoi les révélations « saupoudrées » de Snowden sur les protocoles cassées me laissent très perplexes !!!:

  • VikingVPN va offrir un OpenVPN différent. Vous avez par défaut:

Data Encryption = 256-bit AES CBC ou 256-bit AES GCM

Data Authentication = SHA1

Handshake Encryption = 4096-bit RSA handshake

VikingVPN va offrir la possibilité d’ utiliser un chiffrement 256-bit AES GCM. Explication: Chaque algorithme de chiffrement symétrique (AES, Blowfish, Camellia, …) à une taille de Blocs fixée. Par exemple AES a un bloc standard de 128 bits et Blowfish utilise une taille de bloc de 64 bits. Ainsi pour chiffrer, on découpe les données (Messages, Photos, Vidéos, …) en blocs de taille adéquate suivant le maximum autorisé. Les modes opératoires (CBC – ECB – GCM – CCM – …) vont chiffrer chaque bloc individuellement et ceci avec plus ou moins d’ efficacité. Dans le tableau ci-dessous on a chiffré notre Logo de trois manières différentes (AES-ECB // Camellia-ECB // AES-CBC)

  AES-ECB
Camellia-ECB  AES-CBC

Moi même j’ ai longtemps sous estimé l’ importance du mode d’ opération de chiffrement des blocs. On le voie clairement sur ces images: l’ ECB est à proscrire !!! Et peu importe l’ algorithme qu’ il soit Camellia ou AES. Seul le mode d’ opération CBC donne un résultat. Mais malgré son utilisation quasi systématique le CBC garantit la confidentialité des données (comme l’ image le montre) mais pas l’ intégralité des données. C’est à dire que des personnes pourraient ajoutées du contenu aux données. C’est pourquoi les VPN ajoutent toujours les fonctions de hachage SHA-1 ou SHA-2 pour l’ intégrité des données. C’est sur ce point que le mode d’ opération GCM est excellent. Il est capable de fournir à la fois l’intégrité et l’authenticité des données, ainsi que la confidentialité. VikingVPN nous a dit que le GCM serait dispo dès la version d’ OpenVPN 2.4.0

Il n’ en reste pas moins que pour l’ instant VikingVPN reste quand même très très cher par rapport à la concurrence: $14.99/mois avec un seul mode de paiement: CB (pas top niveau confidentialité). Il existe bien le Bitcoin mais pour une durée minimum de 6 mois et dans ce cas pas d’ offre d’ essai remboursée de 14 jours. Si vous ajoutez à cela qu’ il faut utiliser OpenVPN Gui avec une ergonomie datant un peu. Il n’ en reste pas moins que le Blog de VikingVPN est un des meilleurs: pas d’ autopromotion, d’ articles commerciaux bateaux et grands publics.

  • Une confidentialité (voire une anonymisation) de plus en plus performante.

A côté des moyens de paiement de plus en plus variés les VPN mettent en oeuvre des améliorations techniques, juridiques que je trouve intéressant:

  • Paiement: Bitcoin s’ est largement démocratisé et fait partie des moyens de paiement les plus courants. D’autres paiements « Anonymes » se démocratisent:
  • Juridique: Warrant Canary – Un Warrant Canary est un processus légal qu’ utilise les VPN pour signaler qu’ ils n’ ont pas de reçu de demabdes d’ infos sur un ou des serveurs de la part des autorités. AUX USA il est interdit de signaler qu’ on a reçu une demande d’ infos des autorités. Par contre il est autorisé de dire qu’ on a rien reçu.  Voici le Canary de Proxy.SHCanary d’ IVPN – Canary de LiquidVPN . Cela complète la notion de NO LOGS. A ce sujet au jour du 16 Janvier 2015 voici pour les VPN qui sont réellement NO LOGS: IPVanishPrivate Internet AccessNordVPNMullvadProxy.SHLiquidVPNVikingVPNPerfect Privacy
  • Techniques:
    • Multi-Hop (aka DoubleVPN)Perfect-Privacy le propose (ainsi qu’ IVPN). A partir du logiciel de connexion (Onglet Cascading) vous pouvez choisir jusqu’ à 4 serveurs qui seront en intermédiaire entre votre réseau et Internet. Même si on trouve que cela ralentit beaucoup la vitesse de connexion, on avoue que l’ option est facile à mettre en place et ergonomique. Il vous suffit de vous connecter successivement aux serveurs de votre choix, le dernier connecté étant la connexion finale
Perfect-Privacy Cascading Connexion au Serveur Amsterdam

4 serveurs

Amsterdam=> Paris => Bucarest => Rotterdam

Ce Multi-Hop de Perfect-Privacy représente bien les atouts de ce VPN. Mais ce sont trois autres points dont je voudrais vous parler:

— L’ Option Firewall qui correspond à un Connection Guard a 3 niveaux: Actif lorsque que la connexion est établie – Actif lorsque le logiciel est activé – Activation permanente. Très bien pensé Firewall settings perfect privacy

— Gestion des Ports. A chaque connexion vous avez trois Ports qui sont ouverts (onglet Details) mais vous pouvez aussi en ouvrir UN de votre choix (valable 7 jours). En tout vous avez 8 Ports disponibles ! Autant vous dire que le HighID est assuré

 Perfect Privacy Connection Details  Ports Settings perfect privacy

— Des Proxys (Squid, Local, Socks, TOR) sont disponibles via un logiciel de connexion dédié PP Tunnel Manager Settings

Perfect-Privacy est technique, fonctionnel et complet. Mais son prix est trop élevé. C’est dommage car sur le papier c’est du lourd !

    • Modulating IP Addresse: Cet outil est une exclusivité de LiquidVPN. Le principe est de changer régulièrement l’ IP de l’ utilisateur à intervalle régulier pour éviter qu’ il ne garde la même IP partagée durant sa session. Dans la liste des serveurs proposés certains sont indiqués avec la mention Modulating (Vous aurez trois sortes d’ IPs chez LiquidVPN: Modulating , Shared qui est la plus courante et correspond à une même IP qui est partagée par plusieurs utilisateurs et Dynamic qui est une IP publique et non dédiée mais dont un seul utilisateur se sert)

LuiquidVPN Romania Modulating

 2 remarques:

*** L’ IP modulation n’ a rien à voire avec le Multihop (DoubleVPN) qui est une simple succession de serveurs entre vous le serveur final (Vous -> VPN1 -> VPN2 -> Internet) . Le Multiphop ralentit beaucoup la connexion et augmente considérablement le Ping

*** En fait ne vous attendez pas à changer de serveurs mais seulement d’ IPs (dernier bloc de l’ adresse IPv4) du même serveur et sur le même range.  C’est une très bonne idée technique, à améliorer mais bonne idée !

    • False traffic: VikingVPN avance de générer du faux trafic pour compliquer la recherche du vrai. Une sorte de brouillard technique. Malheureusement c’est très vague.

BILAN:

Les VPN sont définitivement un bon moyen pour retrouver un internet libre et neutre. De plus les fournisseurs VPN tendent à se différencier en offrant des forfaits parfois très différents les uns des autres et techniquement de plus en plus poussés. C’ est cette différenciation qui m’ a marquée. Avant les VPN se démarquaient sur des points précis: Nombre de Pays, protocoles, …. Ces avantages comparatifs semblent mis de côté par ces nouveaux VPN (par exemple LiquidVPN c’est 7 pays – VPN.AC c’est 13 – Proxy c’est 6) qui mettent l’ accent sur les chiffrements, les options, l’ anonymisation , …

Notre classement des derniers VPN testés est:

  1. LiquidVPN – A partir de $6 par Mois vous avez un vrai VPN Généraliste avec un bon logiciel de connexion intégré. Technique avec ces trois types D’ IPs, Anonymant avec son Warrant Canary, ses Gift Cards et son cash …. A $10 par Mois vous avez le TOP avec un SmartDNS. L’ IP Guard n’est pas inclus dans le logiciel mais un Kill switch est disponible dans la section Download: Aucune difficulté de configuration. Choisissez 1 pour l’ activer et 2 pour le désactiver.
  2. VPN.AC – Deuxième la liste. Simple mais efficace. Un VPN dédié au Surf  avec sa bonne IP FR !
  3. Perfect Privacy – Deux très très bons logiciels de connexion. Ce VPN a compris qu’ il fallait laisser à l’ utilisateur un maximum de choix de configs. Le gros bémol est le prix car pour le reste c’est du solide.
  4. Proxy.SH – Beaucoup de choses dans l’ offre de Proxy.SH (VPN + Proxy + TOR). Très novateur aussi (par exemple le processus Anonymous Token qui permet de créer un compte anonyme à partir d’ un compte créé normalement), voire un peu brouillon. Mais le prix est très favorable: Seul l’ accès à 6 pays: USA, UK, DE, RU, FR, NL est une concession à faire si vous voulez payer seulement $40 à l’ année
  5. IronSocket – Un Prix annuel de $49.99 (36 pays, 3 protocoles :OpenVPN, PPTP, L2TP, SmartDNS, Proxy Socks5 et 3 connexions simultanées) mais pas de logiciel de connexion intégré. Sérieux quand même: Serveurs OK, support OK
  6. VikingVPN – Trop cher pour ce qui est offert. Motivé de l’ essayer pour le mode d’ opération GCM mais ce dernier n’ était pas fonctionnel !
  7. EarthVPN – Un très bon prix de base ($39.99 /AN): 32 pays + PPTP / L2TP / SSTP / OpenVPN Protocols + P2P / Torrents Enabled. Mais les options intéressantes sont toutes à $1.99 et peuvent vite faire grimper la facture finale: Static IP + SSH Tunnel + Port Forwading + Top Secret Level 256bit Encryption for AES and SSL + Additional VPN Connection for Mobile Devices. Les options à $1.99 pour le moindre service en plus me laisse perplexe
  8. IVPN – Rien de spécial pour un prix assez élevé

Hors classement pour Overplay et Unlocator car c’ est le SmartDNS que l’ on a testé. Les deux sont très bons et ont toujours marché

Share

La faille WebRTC dévoile votre réelle IP

Cette faille WebRTC  fait l’ effet d’ une bombe. Elle permet de dévoiler votre IP F.A.I même si vous êtes connectés à votre VPN favori.

Mais comment ?

C’est très simple. WebRTC (pour Web Real-Time Communication) implanté dans Chrome et Firefox (uniquement sous Windows) permet de faire de la visiophonie entre navigateurs et sans autres logiciels installés. Sur le principe c’est très bien. Sauf que dans le cas de la VOIP votre ordinateur doit connaître votre adresse IP publique (celle du F.A.I). Pour cela il interroge un serveur STUN qui lui renvoie cette info en vue de l’établissement d’une communication.

Le problème est que le serveur STUN communique aux deux navigateurs l’adresse IP privée et publique.

Faîtes l’ essai en local chez vous. Connectez-vous à un VPN puis ouvrez la console de Chrome (F12 sous Chrome puis onglet Console) ou Firefox et copiez ce script

//get the IP addresses associated with an account
function getIPs(callback){
    var ip_dups = {};

    //compatibility for firefox and chrome
    var RTCPeerConnection = window.RTCPeerConnection
        || window.mozRTCPeerConnection
        || window.webkitRTCPeerConnection;
    var mediaConstraints = {
        optional: [{RtpDataChannels: true}]
    };

    //firefox already has a default stun server in about:config
    //    media.peerconnection.default_iceservers =
    //    [{"url": "stun:stun.services.mozilla.com"}]
    var servers = undefined;

    //add same stun server for chrome
    if(window.webkitRTCPeerConnection)
        servers = {iceServers: [{urls: "stun:stun.services.mozilla.com"}]};

    //construct a new RTCPeerConnection
    var pc = new RTCPeerConnection(servers, mediaConstraints);

    //listen for candidate events
    pc.onicecandidate = function(ice){

        //skip non-candidate events
        if(ice.candidate){

            //match just the IP address
            var ip_regex = /([0-9]{1,3}(\.[0-9]{1,3}){3})/
            var ip_addr = ip_regex.exec(ice.candidate.candidate)[1];

            //remove duplicates
            if(ip_dups[ip_addr] === undefined)
                callback(ip_addr);

            ip_dups[ip_addr] = true;
        }
    };

    //create a bogus data channel
    pc.createDataChannel("");

    //create an offer sdp
    pc.createOffer(function(result){

        //trigger the stun server request
        pc.setLocalDescription(result, function(){}, function(){});

    }, function(){});
}

//Test: Print the IP addresses into the console
getIPs(function(ip){console.log(ip);});

En cas de connexion à un VPN vous obtenez en retour l’ IP du VPN mais aussi l’ IP F.A.I. Ici le test avec VPN.AC

webrtc VPN

Pour s’en protéger il suffit de:

  • Sous Firefox. Dans votre barre d’ adresse tapez: about:config puis mettez l’ option media.peerconnection.enabled sur false
  • Sous Chrome. Installez l’ addon WebRTC Block

Depuis que la faille est apparue en février 2015 certains VPN intègrent une protection à leur logiciel de connexion OpenVPN. C’est le cas de LiquidVPN, meilleur VPN pour le Téléchargement Direct (grâce à son IP Modulating)

Il vous suffit simplement de cocher l’ option WebRTC Protection

LiquidVPN settings

 

Share

Protocole VPN SoftEther

SoftEther (« Software Ethernet ») est un protocole VPN OpenSource qui a été développé par une université Japonaise (Tsukuba). On en a déjà entendu parler lorsque VPNGate a lancé un VPN gratuit qui se base sur ce dernier

SoftEther se veut être une alternative plus performante aux protocoles VPN de Windows (PPTP L2TP – SSTP) et plus rapide que l’ OpenVPN.

Surtout SoftETher se veut meilleur pour contourner tous types de Firewall grâce à la particularité (comme le protocole SSTP) de simuler une connexion HTTPS qui elle est rarement bloquée. Donc tous ceux qui ont des difficultés de connexion avec l’ OpenVPN ont peut être intérêt de tester SoftEther

Il y a quelques VPN qui le propose:

  • CactusVPN – Premier VPN à l’ avoir intégré. D’ ailleurs il le présente comme le meilleur protocole VPN parmi l’ OpenVPN, le SSTP, le L2TP et PPTP. Ceci est discutable car les retours clients sont peu nombreux mais c’est vrai que ce protocole est stable et novateur. Tous les forfaits proposés par CactusVPN intègrent SoftEther.
  • Proxy.SH. Contrairement à CactusVPN, SoftEther n’ est pas mis en valeur sur le site de Proxy.SH. Il existe un tuto d’ installation dans votre espace client mais on a jamais réussit à le faire fonctionner ! Support de Proxy.SH sur le protocole SoftEther fut inneficace.

Caractéristiques de SoftEther VPN:

SoftEther se targue d’ être:

  • Meilleur que l’ OpenVPN

comparison3

  • Plus rapide que l’ OpenVPN et Protocoles Windows

1.3

SoftEtherVPN_Page_03

  • Chiffrement = AES 256-bit // Handshake = RSA 4096-bit

Installation de SoftEther

On a testé SoftEther à partir du VPN CactusVPN.

CactusVPN offre 5 protocoles et ne cache pas l’ intérêt que lui même porte à SoftEther en le qualifiant de meilleurs protocoles VPN !!!

cactusvpn_com comparison protocols

Son installation est assez simple et CactusVPN propose un tuto bien détaillé: SoftEther Installation – Vous aurez besoin, outre de votre login et mot de passe, des adresses des serveurs

CactusVPN Servers

Pensez à redémarrer votre PC à la fin de l’ installation.

Connectez-vous. Remarquez que la durée de connexion est extrêmement rapide.

CactusVPN Softether connected

La connexion est réellement stable. Question vitesse je ne peux pas vous dire si c’est plus rapide que l’ OpenVPN car ma ligne ADSL trop lente pour faire des tests sérieux.

CactusVPN s’ est donc basé sur le client SoftEther pour offrir une logiciel de connexion simple à configurer, sans trop d’ options complexes. On a beaucoup apprécié tester ce nouveau protocole. Même si il s’ adresse encore à des utilisateurs désireux d’ en savoir plus sur les VPN.

On ne peut que saluer cette implantation de SoftEther par CactusVPN. C’est original et assez précurseur. Mais il manque encore beaucoup de pédagogie et de vulgarisation pour que ce protocole se développe partout.

Mais notez-le car il n’est pas compliqué à installer et de nombreuses options (non implantées par CactusVPN) sont disponibles.

 

Share

IKEv2 chez AceVPN

Excellente nouvelle de la part d’ AceVPN qui propose dorénavant le protocole IKEv2 en plus des protocoles PPTP, L2TP et OpenVPN

On vous avait déjà présenté l’ IKEv2 et son Option VPN Reconnect lors de notre Test de PureVPN

IKEv2 est sans aucun doute le protocole le moins connu et le plus sous estimé. Le protocole permet une reconnexion automatique grâce à son option VPN Reconnect. Par exemple en cas de perte temporaire de connexion, ou si les utilisateurs se déplacent d’ un point d’ accès Wifi à un autre, IKEv2 restaure automatiquement le VPN après le rétablissement de la connexion réseau.

De plus ce protocole offre un très bon niveau de chiffrement. Et c’est sur ce second point qu’ AceVPN a mis la barre très haute !!

Cette sécurisation dépend de trois étapes (la longueur des clés est un paramètre sécuritaire important):

  • Data Encryption
  • Data Authentication
  • Handshake Encryption

On vous avait largement présenté ceci lors de notre Test de Private Internet Access qui est à ce jour le seul VPN qui laisse l’ utilisateur gérer ces étapes

C’est au niveau de ces trois étapes qu’ AceVPN se démarque de la concurrence en offrant un chiffrement Suite B – Suite B est un groupe d’algorithmes de chiffrement approuvé par la National Security Agency (NSA). 

Les composants de la Suite B sont les suivants :

  • Data Encryption (Algorithme de chiffrement): AES 256
  • Data Authentication (Fonction de hachage): SHA512
  • Handshake Encryption (Procédure d’établissement d’une communication)384 bits ECC (Equivalent du RSA 7680 bits)

L’ algorithme de chiffrement est classique, c’est de l’ AES 256 (Là ou d’ autres comme HideMyAss utilise du Blowfish)

La fonction de Hachage est en SHA512. Là où les autres très souvent sont à max 256. Donc la taille de bloc est de 1024 bits. Plus la chaine générée est grande, plus celle-ci est sécurisée

Quant à la Procédure d’établissement d’une communication, la Suite B utilise les courbes elliptiques au lieu des systèmes classiques de chiffrement asymétrique.

Share

Hidemyass Appli Android disponible

HideMyAss comble un grand manque avec cette Hidemyass Appli Android

Auparavant seule l’ appli iOS était disponible. Dorénavant vous pourrez retrouvez l’ ensemble des 75 pays en OpenVPN d’ HideMyAss sur votre tablette ou mobile.

Pour cela il suffit de la télécharger sur Google Play puis d’ installer Hidemyass Appli Android (dispo aussi sur votre utilisateur HMA!)

HMA Pro Android

Puis mettez vos infos de connexion – Dans l’ onglet Settings n’ oubliez pas de cocher l’ option Keep signed in

Et choisissez votre serveur parmi les 75 Pays – Remarquez le nombre de serveurs par Pays – Ci dessous la France

HMA Pro France

Puis connectez-vous

HMA Pro France Connected

Cette appli dans sa conception est un bon début. Pourtant elle gagne à être améliorer: Choix du Port UDP ou TCP, Options. Si cette appli reprend les nombreuses options présentes dans le client de connexion Windows alors elle sera une grande réussite


Même si l’ usage du VPN est largement majoritaire sur PC ou Mac, il est également possible de l’ utiliser sur les solutions mobiles. Ceci est largement encouragé car vous aurez les mêmes avantages: télécharger sans risques, sécuriser votre accès Wifi, contourner les services de géolocalisations, bloquer les publicités ciblées, …

[poll id= »14″]

 

Share

Jeux en ligne et VPN: VPN Battle Ping ou VPN Gaming

VPN pour les Jeux en ligne

Il arrive souvent des problèmes de débits, de restriction de bande passante entre votre F.A.I et les serveurs sur lesquels vous essayez de vous connecter.

Le cas le plus connu est l’ impossibilité, à certaines heures, de regarder une vidéo en HD sur Youtube (ou Twitch) si vous êtes abonnées chez Free, SFR ou Orange par exemple. Les témoignages rapportés sont nombreux et reviennent régulièrement appuyer un Article sur les sites généralistes type Clubic !

La solution la plus fiable est l’ utilisation d’ un VPN pour éviter ces désagréments et ignorer ces discussions sans fin pour savoir qui est responsable. Le VPN va faire transiter le trafic sur son réseau et vous retrouverez un Stream fluide

Les Joueurs en ligne ont exactement le même problème: Ping gigantesque, paquets de données perdus, Lags, déconnexions

Pour pallier ces mauvaises routes un VPN va stabiliser la connexion, éviter les Lags et avoir un Ping stable 90% du temps.

Il existe deux solutions:

  • Les VPN classiques type  IPVanish
  • VPN type GPN (Gamers Private Network) comme WTFast

VPN classiques

Outre le fait de pouvoir jouer à des jeux en lignes avec une qualité de connexion optimale, les VPN vous permettent aussi de regarder des vidéos Youtube en 1080 sans aucun problème. Ils permettent également de sécuriser votre connexion, de contourner l’accès à certains sites pour des raisons de réglementation, masquer votre IP F.A.I pour éviter la géolocalisation, accéder à un réseau neutre

Si on fait cette liste des autres avantages c’est pour bien montrer aux « Gamers » que payer pour un service VPN leur apportera autres choses.

 

  • IPVanish – Connu pour la qualité de son réseau et la rapidité de ses serveurs. Son logiciel de connexion à une option: Closest server by network latency

IPVanish Closest server by network latency

 

VPN type GPN

Le grand spécialiste est WTFast. L’ inscription est très simple et une offre d’ essai existe sur 30 Jours. Il existe deux plans: Basic et Premium

wtfast_com_Subscription

La liste de Jeux et de serveurs proposés est tout simplement impressionnante. Il vous suffit de mettre le nom du Jeu dans le menu déroulant et de choisir le serveur le plus proche de vous.

WTFast

WTFast War Thunder

En cliquant sur Play le logiciel lance votre Jeu, WTFast travaille en arrière plan. Il ne vous reste plus qu’ à Jouer

WTFast connection reporting

 BILAN

On a testé deux Jeux (WOWWar Thunder) avec ces différents VPN – on a noté le Ping sans VPN et avec. Tous les Tests ont été réalisées sur une ligne optimale.

En plus des autres usages qu’ ils supportent HideMyAss et IPVanish nous ont convaincu.

WTFast affiche des options plus nombreuses, des stats, graphs et autres conseils. On sent que ce sont les grands spécialistes.

WTFast Ping Graph

RESULTATS

WOW

PING DOMICILE MONDE
Sans VPN  40  40
HMA – PPTP – FR  45  45
IPVANISH – OpenVPN (UDP) – FR  50  55
WTFAST  45  50
VPN4GAMERS  50  50
MMOVPN  50  50
PIA  80  200

WARTHUNDER

PING DOMICILE
Sans VPN  53
VPN4GAMERS  56
HMA – PPTP – FR  57
IPVANISH – OpenVPN (UDP)  57
WTFAST  62
PIA  90
Share