Le VPN PureVPN en promotion

PureVPN Summer Splash Offer

PureVPN dont on vous parle moins souvent et qui mérite de s’ y attarder à cause de sa promotion du moment qui offre une deuxième année gratuite après abonnement d’ un AN à $49.95

PureVPN promotion 1+1 Offer

Sur le plan technique PureVPN propose

  • 101 Pays
  • 5 Protocoles: PPTP – L2TP – SSTP – OpenVPN – IKEv2 (IKEv2 est sans aucun doute le protocole le moins connu et le plus sous estimé. Le protocole permet une reconnexion automatique grâce à son option VPN Reconnect. Par exemple en cas de perte temporaire de connexion, ou si les utilisateurs se déplacent d’ un point d’ accès Wifi à un autre, IKEv2 restaure automatiquement le VPN après le rétablissement de la connexion réseau). Ci-dessous on vous montre une connexion IKEv2 sur un serveur UK. L’ option mobilité est réglée par défaut à 30 minutes avec le logiciel de connexion. Pour une durée différente il faudra donc une configuration manuelle.
 PureVPN IKEv2 UK  IKEv2 Mobilité PureVPN
  • 5 connexions simultanées
  • Logiciel de connexion avec une option intéressante: Split Tunneling qui vous permet de sélectionner des logiciels qui ne seront pas tunnelisés par le VPN
  • Applis iOS. Elle est dispo dès l’ iOS 6.1 et est optimisée pour l’ iPhone 5. Ceux qui ont l’ iOS 8 retrouveront avec plaisir le protocole IKEv2 qui est parfaitement adaptée aux connexions mobiles grâce à son option reconnect.
  • Appli Android. Connexion en OpenVPN. Néanmoins pas d’ IKEv2 car StrongSwan VPN Client n’est pas compatible avec PureVPN

Seul petit bémol:

  • Le SmartDNS d’ habitude inclus (et dispo depuis le logiciel de connexion) est en option à $2.99/mois

PureVPN est recommandé pour de nombreux usages:

  • Ceux qui ont besoin d’ un VPN ultra rapide. Les premiers retours d’ un des membres du Blog du VPN sont assez favorables à ce sujet
  • Ceux qui veulent se connecter depuis la Chine. PureVPN propose une installation spéciale Chine pour son logiciel (+ SSTP au cas où)
  • Tout ce qui rapporte à une sécurisation d’ une connexion Wifi, à un usage mobile
  • Visionnage de VOD comme Netflix, Hulu, iTV ou HBOGO – Le catalogue de Netflix est dispo à partir d’ une connexion USA. De même que Hulu fonctionne malgré les restrictions mises en place par cette plateforme
  • Usage de surf classique, de sécurisation
Share

IAPS VPN et IP résidentielle

IAPS offre des IPs locales, des IPs identiques à celles que l’ on utilise lorsque l’ on s’ abonne à un F.A.I

Les VPN ont essentiellement deux capacités

  • Sécurisation des données et des échanges grâce au protocole que le fournisseur utilise
  • Changement d’ IP à cause de l’ utilisation d’ un serveur Tiers

De ses deux capacités découlent des usages possibles:

  • Protection d’ une connexion Wifi grâce au tunnel sécurisé qui se met en place
  • Masquer son IP F.A.I grâce au changement d’ IP
  • Visionner des chaines étrangères comme ITV grâce au serveur UK
  • Une IP USA permet d’ accéder au catalogue complet de Netflix
  • Débloquer certains réseaux sociaux comme Facebook ou Twitter suivant votre lieu de connexion
  • Contourner les Firewall ou D.P.I grâce au protocole utilisé

Utiliser un VPN quotidiennement est quai indispensable aujourd’ hui vu les nombreux usages que l’ on peut en faire. C’est pourquoi les VPN vous en offrent toujours plus:

  • OpenVPN avec option XOR ou OpenVPN avec obfsproxy qui permettent de dissimuler une connexion en OpenVPN
  • DoubleVPN
  • Tor over VPN et VPN over Tor
  • Plus de 190 pays pour HideMyAss – Plus de 100 pays pour PureVPN
  • SmartDNS
  • IKEv2
  • IP Modulating
  • Appli iOS – Androïd + Logiciel de connexion avec toujours plus d’ options

Mais en fait on va vous présenter un VPN qui est à contre courant de toutes ces innovations, un VPN qui a su voire une des failles du système de changement d’ IP

C’est cet aspect de changement d’ IP qui nous intéresse aujourd’ hui !

Dans plus de 95 % des cas les IPs proviennent de Data centers type OVH ou Leaseweb. Les VPN ne possédant pas de serveurs ils doivent les louer à des Tiers. Très rarement ces IPs proviennent du VPN en lui même. C’est le cas d’ IPVanish qui est un des très rares à posséder une partie de son réseau. C’est pourquoi IPVanish s’ attribue le titre de Tier-1 VPN. Par exemple sur la soixantaine de pays que propose ce VPN on en a recensé 17 que IPVanish gère directement

On vous a détaillé les serveurs qu’ utilisaient Private Internet Access à partir de ses adresses de connexion pour vous montrer la diversité des Data centers

Australie aus.privateinternetaccess.com Choopa, LLC
Canada

ca.privateinternetaccess.com

ca-toronto.privateinternetaccess.com

Choopa, LLC

Amanah Tech

France france.privateinternetaccess.com Choopa, LLC – GameServers.com
Allemagne germany.privateinternetaccess.com Leaseweb Germany GmbH 
Hong Kong hk.privateinternetaccess.com Pacswitch Globe Telecom Limited
Israël israel.privateinternetaccess.com Bezeq International
Japon japan.privateinternetaccess.com Choopa, LLC
Hollande nl.privateinternetaccess.com NForce Entertainment B.V.
Roumanie romania.privateinternetaccess.com Voxility Srl
Suède sweden.privateinternetaccess.com Entervpn Network Sweden
Suisse swiss.privateinternetaccess.com Private Layer Inc
UK

uk-london.privateinternetaccess.com

uk-southampton.privateinternetaccess.com

Hosting Services Inc

Redstation Limited

USA us-midwest.privateinternetaccess.com

us-east.privateinternetaccess.com

us-texas.privateinternetaccess.com

us-west.privateinternetaccess.com us-california.privateinternetaccess.com

us-seattle.privateinternetaccess.com

us-florida.privateinternetaccess.com

Choopa, LLC

Choopa, LLC

SoftLayer Technologies

Secured Servers LLC

SoftLayer Technologies

SoftLayer Technologies

Choopa, LLC

Private Internet Access est un très bon exemple de la problématique de l’ utilisation d’ IP serveur

  • Qui gère réellement les IPs
  • La question des Logs ? Le VPN peut très bien annoncé un NO LOGS suivant son pays d’ origine mais qu’ en est-il du Data center ?
  • La qualité du réseau
  • Facilement détectable

D’ ailleurs cette problématique du lien entre VPN et Data center n’est pas occulté par Private Internet Access qui s’ en explique très bien sur ce Topic (Ce qui est une exception car les autres VPN n’ aiment pas trop aborder ce sujet)

La principale faiblesse des ces IPs c’est quelles sont facilement détectables 

Tous les administrateurs réseaux savent détecter une IP Serveur.

  • C’est sur cette simple détection (et sans arsenal technique !) que se base HULU pour interdire son accès aux IP USA provenant de certains Data centers: Based on your IP Adress , we noticed you are trying to access Hulu through an anonymous proxy toll. Lors de nos tests on a été frappé par le nombre de serveurs US qui étaient blacklistés. Par exemple Private Internet Access n’ avait que son serveur au Texas qui me permettait de visionner Hulu. Et ce n’ est pas le seul dans ce cas: IbVPN n’ a aucun serveur qui est accepté par Hulu (alors que son IbDNS fonctionne à merveille). Idem pour Proxy.SH qui a seulement son serveur New Jersey comme valide.
  • Cela explique aussi les confirmations d’ identité sur certaines Boites Mails comme celles de Yahoo!!, les comptes en ligne de Paypal

IAPS VPN à partir de constat très simple a décidé d’ offrir un service VPN complètement différent. Oublié les IPs serveurs, Bienvenue aux IPs résidentielles.

On a testé 3 IPs: France (F.A.I Free) – Angleterre (F.A.I Virgin Media) + Etats-Unis (F.A.I Comcast) et on a été bluffé

Autant vous dire que ces IPs coûtent très chers. $50 chacune. 55 pays disponibles. (Il existe un package All-inclusive qui mélange IP résidentielle et IP serveur à $300 mensuel)

Lorsque l’ on s’ abonne à IAPS VPN c’est pour l’ IP, il faut faire abstraction des autres VPN (Switch et Logiciel de connexion)

L’ abonnement est simple, via Paypal. On a reçu avec plus ou moins d’ attente la confirmation de l’ IP (vous êtes seuls à l’ utiliser). Avec Virgin Media IAPS offrait le logiciel Viscosity. Mais depuis cela a changé vous avez maintenant une version modifiée de l’ OpenVPN Gui.

A l’ usage IAPS confirme ce que les IPs FA.I sont censées offrir:

  • Visionnage de vidéos en ligne sans aucun accro. ITV avec l’ adresse UK de Virgin Media d’ IAPS
  • Accès complet au catalogue de Netflix US + Hulu avec une IP USA d’ IAPS
    • Netflix: Il y a beaucoup de rumeurs concernant Netflix. Certains font état d’ un changement de Privacy Policy qui interdirait aux utilisateurs les VPN. Il n’ en est rien. J’ utilise tous les jours Netflix avec un VPN et je n’ ai jamais eu de compte banni, clôturé. Une chose est sûr: certains VPN ne me permettent pas d’ accéder au catalogue US. La raison ?. Par contre cela fonctionne: HideMyAssPureVPNPrivate Internet Access –  IbVPNLiquidVPN
  • Moins de Captcha, code à confirmer et autres filtres de sécurité – D’ailleurs si vous utilisez constamment votre IP IAPS alors ces codes tendent à disparaître. C’est l’ exceptionnalité ou l’ immensité qui faire réagir la sécurité !
  • Les Newsgroups avec l’ IP F.A.I de Virgin Media a bien fonctionné: news.virginmedia.com . Adresse et usage qui est normalement offert aux abonnés (Par contre Mr Free est un malin car il a limité news.free.fr juste à la hiérarchie Proxad)
  • Poker en ligne. Honnêtement je ne joue pas mais je sais qu’ IAPS met en avant cet usage.

Il existe bien entendu d’ autres usages suivant l’ IP désirée !

Conclusion:

IAPS est le seul VPN à offrir autant d’ IPs Résidentielles qui correspondent à des IP ISP.

Ces IPs ont un aspect professionnel qui m’ ont beaucoup plu à l’ usage. Être vu comme un utilisateur d’ un ISP par les administrateurs réseaux à de multiples avantages, dont le premier est de ne pas se soumettre aux mesures de sécurité des boites mails, site internet de banque en ligne, Paypal, ….

En effet tous ces serveurs sont soumis à de nombreuses attaques, usurpation de comptes, … et le premier filtre est de vérifier l’ origine des IPs qui s’ y connectent. Ce qui renforce la sécurité d’ un côté mais de l’ autre côté vous oblige à confirmer votre identité à la suite de message d’ alerte !

Deuxième avantage: Être sur de la fonctionnalité de l’ IP. A l’ avenir beaucoup de sites vont commencer à filtrer les IPs serveurs pour de multiples raisons: Pression des ayants droits (Hulu – Netflix) – Suspicion autour des VPN (Cas très récent de Hola et 8Chan)

C’est pourquoi ceux qui voyagent beaucoup (avec en priorité un motif professionnel), ont un usage très régulier ont tout intérêt à utiliser ces IPs résidentielles pour contourner le blocage géographique des vidéos et se présenter avec la même IP quelque soit son lieu de connexion.

On a beaucoup beaucoup apprécié de tester IAPS. Les IPs sont chères mais elles ont un réel intérêt, et beaucoup d’ avenir. 

 

Share

Les boîtes noires à l’ épreuve des VPN

La loi sur le renseignement suscite de nombreuse interrogations chez les Internautes et les utilisateurs de VPN, en particulier la fameuse disposition concernant les « boîtes noires ». Ces « boîtes noires » seront installées chez les opérateurs, les hébergeurs internet et seront en charge de surveiller le comportement des Internautes à partir d’ un algorithme pouvant déceler une suite de comportements sur internet, comme des mots-clés tapés, des sites consultés, des correspondances. Ensuite un profil est créé pour lutter contre une menace terroriste.

Le gouvernement pourra demander aux opérateurs de communication et aux fournisseurs d’accès internet de mettre en place un algorithme (un programme informatique capable de détecter une suite d’opérations définies) pouvant déceler « une menace terroriste » par une suite de comportements sur internet, comme des mots clés tapés et des sites consultés. En cas de menace détectée, l’anonymat de ces métadonnées pourra être levé.

Autant vous dire que je suis très curieux de voire cet algorithme (La  « boîte noire » n’ existant pas – Cette expression a été inventée par les opposants). L’ algorithme va devoir être très performant pour éviter des « faux positifs ». Existe t-il déjà ? Une période de test a t-elle été réalisée ?. On est très loin d’ un algorithme commercial basique qui cible la publicité suivant vos dernières recherches ! De plus j’ ai cru comprendre que ces profils seront créés à la volé et sans stockage de données. Il va falloir du matos !

En fait à côté du principe qui est bon, il faut prendre garde aux dérives éventuelles, aux ajouts futurs, au sentiment de surveillance de masse.

Avant de vous donner quelques pistes pour continuer à protéger votre vie privée on voulait savoir si ce type de Loi pouvait vous inciter à utiliser continuellement un VPN ?

La loi sur le renseignement va t-elle vous inciter un prendre un VPN ?

View Results

Loading ... Loading ...

Quels sont nos conseils ?

  • Prendre un VPN NO LOGS pour la confidentialité

Les « boîtes noires » sont très facilement contournables en utilisant un VPN qui va se substituer à votre F.A.I. Toutes vos recherches, vos visionnages de vidéos, votre Surf en général passeront par le VPN. Votre F.A.I verra que vous utiliser un VPN, c’es tout !

Néanmoins on vous conseille de prendre UN VPN No LOGS et qui offre ses propres serveurs DNS (les requêtes faîtes sur le Net doivent obligatoirement passer par des DNS autres que ceux de votre F.A.I sinon ce dernier pourra savoir ce que vous recherchez malgré une connexion à un VPN!)

  • IPVanish: VPN situé aux USA (contrairement à une idée reçu les USA n’ ont aucune loi sur la rétentions de donnée) et NO LOGS. De plus IPVanish gère une partie de son réseau (Australie – Belgique – Brésil – Danemark – France – Allemagne – Hongrie – Japon – Hollande – Pologne – Singapour –  Corée du Sud – Espagne – Suède – Suisse – Angleterre – USA)) et donc est garant de la réalité de ce No Logs. On vous avait déjà signalé la toute relativité du NO Logs si le Data center qui loue les serveurs aux VPN gardaient de leur côté les LOGS. Voire affaire: EarthVPN et NO LOGS. Propre DNS
  • NordVPN. Basé au Panama.  Juridiction que l’ on qualifiera de “Offshore”. Propre DNS
  • Mullvad. Basé en Suède. La fameuse directive (2006/24/EC) qui d’ ailleurs a été invalidée en Avril 2014 ne concerne pas les VPN en Suède. Propre DNS
  • Proxy.SH. Situé aux Seychelles. Propre DNS

Pensez aussi à télécharger les applis (iOS – Android) des VPN ci-dessus. Car une recherche à partir d’ un ordinateur ou d’ un Smartphone c’est toujours une IP qui est derrière et donc un F.A.I. Seuls IPVanish, Private Internet Acces et Proxy.SH en proposent une native. IPVanish propose une appli pour iOS8 (existe aussi sous Android) de très grande qualité en intégrant le protocole IKEv2. PIA ne propose que sous Android mais a le mérite d’ être un bon replica de son logiciel de connexion intégré (avec option de chiffrement). Proxy.SH propose sous les deux OS (iOS et Android) mais le fonction Connect On Demand sous iOS ne marchait pas sous notre OS6.

De toute façon tous les VPN peuvent se configurer sous ces OS. Il y aura au minimum une config manuelle à effectuer mais cela marchera !

Pour l’ instant l’ algorithme ne s’intéressera qu’aux seules données de connexion, c’est-à-dire aux métadonnées, et pas au contenu des communications. Donc pas de D.P.I. Pourtant on va continuer cet article en vous donnant pour nous les VPN qui offrent les meilleurs niveaux de chiffrement pour une sécurité optimale. On l’ oublie trop souvent mais la fonction première d’ un VPN est de contrer l’interception de données par des tiers (protection de vos données personnelles) ou bien de contrecarrer le D.P.I. Les VPN sont aussi une technique de sécurisation des données.

Dans cette liste on a recoupé les meilleurs chiffrements avec les VPN No Logs. C’est pourquoi de très bons VPN question chiffrement comme HideMyAss ou VPN.AC ou AirVPN n’ y figurent pas.

  • Private Internet Access. Premier VPN à avoir laisser le choix à l’ utilisateur de son niveau de chiffrement ! Niveau maximal: AES-256 / SHA256 / RSA-4096. Bon courage pour un D.P.I !!!
  • LiquidVPN. Comme tous bons VPN il y a la présence de l’ AES. Mais aussi de l’ algorithme de chiffrement Camellia (sur les serveurs Allemands). Présence aussi du HMAC: On sait que le mode opératoire CBC ne protège pas l’ intégrité du message (que la confidentialité). Pour ce besoin, on peut utiliser un code d’authentification (HMAC = keyed-hash message authentication code) qui protègera le message chiffré.
  • Proxy.SH. Très bon niveau de chiffrement: AES-256 / SHA256 / RSA-4096. Propose aussi la courbe elliptique secp384r1 à la place du RSA pour l’ Handshake. On reviendra un peu plus loin sur cette courbe qui est associée au patch XOR.
  • IPVanish. Bon chiffrement: AES-256 / SHA256 / RSA-2048
  • Mullvad. Récemment Mullvad est passé à l’ algorithme AES en place du Blowfish. Noter que seul HideMyAss continue à proposer le Blowfish sur l’ ensemble de ses serveurs OpenVPN

On continue notre article en faisant un bond dans le futur. Pour l’ instant en France l’ utilisation des VPN est simple. Seul des Pays comme la Chine ou l’ Iran essaye ouvertement de les contrecarrer. L’ utilisation d’ un VPN ne passe pas inaperçue pour un administrateur réseau. Dans un premier temps il fallait juste passer par le port 443 si une connexion OpenVPN était bloquée. Mais maintenant ces Pays sont capables de détecter une connexion OpenVPN d’ une connexion SSL en Port 443 (Notez que le protocole SSTP est quant à lui encore indétectable car il simule une connexion HTTPS – C’est pourquoi PureVPN qui propose ce protocole est souvent mentionné pour ces pays). On en est encore très loin en France mais voici 3 pistes pour cacher votre connexion OpenVPN et la rendre Stealth et retrouver une entière liberté:

  • La toute dernière nouveauté est le patch XOR. Ce Patch doit être installé sur votre client de connexion et sur le serveur. XOR permet de brouiller, cacher votre connexion OpenVPN. On vous recommande VPN.AC qui est le seul VPN à l’ avoir intégré dans son logiciel de connexion. Proxy.SH le propose aussi mais il faut le configurer manuellement et ce n’est pas simple.
  • OpenVPN avec obfsproxy. obfsproxy (serveur proxy voilé) vient du projet TOR. Comme le Patch XOR, obfsproxy permet de cacher que vous utilisez une connexion OpenVPN. Très complexe à mettre en oeuvre. Proxy.SH est le seul VPN à le proposer mais son tuto n’ est pas clair. Je m’ y suis cassé les dents !
  • Tunnel SSL ou SSH. Il s’ agit d’ encapsuler votre OpenVPN à l’ intérieur d’ un tunnel SSL ou SSH. Ces connexions étant autorisées elles camoufleront l’ OpenVPN. De nombreux VPN le proposent mais seul AirVPN l’ a aussi bien mis en valeur dans Eddie, son logiciel de connexion. Vous y avez tous les types de tunnel, les différents Ports. Un bonheur !

Dans ces listes que l’ on vous a proposé (NO LOGS pour la confidentialité – Chiffrement pour la sécurité – Stealth OpenVPN pour la liberté) vous avez sans doute remarqué que les mêmes VPN revenaient souvent. C’est assez logique au vu de notre parti pris de choisir en priorité des VPN NO LOGS (en étant conscient de la relativité du concept). Il existe beaucoup de VPN mais peu ont des Logs de 0 jours. HideMyAss, VPN.AC, AirVPN, PureVPN, Overplay, AceVPN, Astrill, CactusVPN, IbVPN, StrongVPN, HideIPVPN, SlickVPN, IAPS, … ne sont pas NO LOGS.

On a néanmoins fait une exception pour VPN.AC et AirVPN qui ont des fonctions essentielles pour rendre une connexion OpenVPN « Stealth« .

Après l’ utilisation du VPN comme solution il existe aussi TOR

  • Utiliser le réseau TOR

On vous a déjà proposé un tutorial sur TOR. Le plus simple pour rejoindre ce réseau est de télécharger le package TOR pour rejoindre le réseau TOR (DeepWeb) et de surfer avec une grande confidentialité sur le ClearWeb

Etant orienté VPN on va donc vous proposer une liste de fournisseur qui l’ ont intégré dans leur offre:

  • AirVPN propose le réseau TOR sous deux formes: AirVPN sur TOR et TOR sur AirVPN. Les deux processus sont très bien expliqués et ne nécessitent pas de configuration compliquée. Pour nous c’est AirVPN qui a le mieux intégré le projet TOR à son offre VPN
  • NordVPN. Seul TOR sur VPN est disponible. Très facilement joignable depuis le logiciel de connexion (Entrée se fait en Suède)
  • Perfect-Privacy. TOR sur VPN. A configurer à partir d’ un navigateur Firefox
  • Proxy.SH. VPN sur TOR. Config est manuelle, non intégrée au logiciel de connexion.
Share

Les VPN en pleine mutation

Différents testsVPN ces derniers mois dont on a synthétisé les éléments marquants! Notre dernier article couvrant un essai VPN (celui de Mullvad) date de fin Août 2014 et depuis on s’est attardé sur: LiquidVPN, VPN.AC, Proxy.SH, IronSocket, VikingVPN, Perfect-Privacy, EarthVPN, IVPNOverPlay (SmartDNS) et Unlocator (SmartDNS)

Il faut dire que l’ usage des VPN n’ a jamais été autant nécessaire:

  • Restrictions d’ usages ou de services suivant les pays ! les F.A.I ! les sites !. Les diverses restrictions sont une situation de fait de plus en plus courante. Et elles sont nombreuses:
    • Censure, Filtrage, Surveillance du Web dans de nombreux pays avec l’ exemple frappant de la Chine qui coupe l’ accès à de nombreux sites ou services suivant son desiderata. Le dernier exemple étant le service Gmail subitement coupée le 26 Décembre 2014 comme le montre ce graphique officielle de Google sur les données en temps réel du trafic vers Gmail – Heureusement la France en est encore loin !
    • La géo-restriction. Ceci n’ a rien à voire avec une forme de censure, c’est tout simplement une question de droits d’ auteur à l’ international. Ce sont tous les sites de vidéos en ligne (Replay, VOD) qui l’ appliquent. Mais de nombreux voyageurs ou expats veulent continuer à les visionner, garder un lien culturel avec le pays d’ origine. De même de nombreux Internautes veulent accéder à ces contenus même en étant étrangers aux pays auxquels ils sont destinés. Les cas les plus courants sont Hulu ou Netflix USA qui limitent (théoriquement) le catalogue US aux résidents américains. Le cas de Netflix est assez symptomatique: durant de nombreuses années le catalogue de la plate-forme n’ était pas disponible hors USA mais de nombreux utilisateurs de VPN utilisaient la fonction de changement d’ IP pour y accéder. Mais depuis quelque mois une implantation vers les pays Européens (+ Australie) a été engagée et depuis Netflix laisse planer un doute sur un éventuel blocage des VPN et autres SmartDNS.
  • Internet à deux vitesses: Limitation de bande passante suivant les sites visités. Ce procédé existe depuis longtemps. Il s’ agit de contenir l’accroissement de la demande en bande passante en ralentissant certains usages intensifs. Dans le viseur les sites de vidéo à la demande comme Netflix, Youtube, Hulu (Aux Etats-Unis, YouTube et Netflix accaparent déjà plus de la moitié de la bande passante en période de pointe) et pourquoi pas des plateformes de vidéos X qui génèrent aussi beaucoup de trafic. Conséquence: les plateformes qui refuseront de payer verront leurs vidéos se charger très lentement !!!
  • Surveillance, conservation des Logs. Le cas de la France est assez symptomatique d’ une surveillance accrue: Officiellement depuis Avril 2014 la directive Européenne sur la conservation des données est invalide suite à une décision de la Haute Cour de Justice. Mais les transpositions nationales de cette directive restent valides tant que ces pays n’ abrogent pas les lois qui en ont découlé. Hors entre les pays qui déclarent que cette directive est inconstitutionnelle (Autriche, Roumanie, Slovénie, Slovaquie, Tchéquie, Hongrie, Chypre, Bulgarie), l’ Allemagne qui ne l’ avait pas appliquée dans sa loi, les pays qui annoncent une modification de leur loi (Suède, Finlande, Norvège, Luxembourg) on se retrouve avec une liste des Pays de l’ UE n’ appliquant pas cette directive qui commence à être longue. La France (comme la Lituanie, le Danemark, l’ Italie, l’ Espagne, la Belgique, l’ Irlande, la Hollande (ne s’ appliquait pas aux VPNs), l’ Estonie, la Grèce, la Lettonie, la Pologne, Malte, Portugal et Croatie) fait partie de ceux qui ont choisi de ne pas l’ abroger. Heureusement qu’ elle n’ a pas pris exemple sur le Royaume-Uni ou la Suisse qui ont depuis Avril 2014 encore renforcé leurs législations sur la conservation des données de connexion (Logs). Par contre la France s’ est fait remarquée en cette fin d’ année 2014 avec le décret d’application du controversé article 20 de la loi de programmation militaire (LPM) adopté il y a un an et visant à renforcer la surveillance d’internet. La réalité et les buts de ces décrets sont très simples, la CNIL les a résumé ainsi dans sa délibérationLes finalités pour lesquelles peuvent être demandées les données ont été étendues et la liste des services pouvant requérir ces données a été corrélativement élargie ou encore: la commission relève que les données détenues par les opérateurs qui peuvent être demandées sont de plus en plus nombreuses, sont accessibles à un nombre de plus en plus important d’organismes, sur réquisitions judiciaires ou administratives ou en exécution d’un droit de communication, et ce pour des finalités très différentes. => En fait c’est comme une fuite en avant Juridique, on élargit, élargit les champs (pour des motifs fort légitimes de lutte contre terrorisme, Crimes organisées, …). Mais on autorise de plus en plus de services à y accéder, nous créons de plus en plus de fichiers au risque de ne plus savoir qui les gère, la durée de conservation se rallonge, avec comme danger final de croiser les fichiers… la CNIL a fort raison de s’ inquiéter sur les risques qui en résultent pour la vie privée et la protection des données à caractère personnel

Ainsi les VPN s’ adaptent au marché:

  • Mise en avant des restrictions géographiques (Netflix, …) – Pour nous Français ce sont surtout nos services de replay qui demandent une IP FR. Pas de difficulté pour en trouver une. L’ originalité vient de VPN.AC.
      • VPN.AC offre des IP Françaises venant du F.A.I Free. Assez original et performant car vous êtes sûrs de la géolocalisation FR de ces IPs. J’ ai cru naïvement pouvoir les utiliser pour me connecter aux newsgroups gratuits de Free en utilisant l’ adresse news.free.fr mais je n’ ai eu accès qu’ à la Hiérarchie Proxad !!!. Ces IP de Free sont aussi un bon moyen d’ accéder à tout un ensemble de service (Yahoo, Google, Banque, Paypal, Cloudflare) en ayant une IP qui ne sera pas reconnu comme une tentative d’ intrusion! Le cas de Cloudflare est assez révélateur. De nombreux sites l’ utilisent, il se place entre les internautes et le site web. Il agit comme un reverse-proxy: Toute requête HTTP destinée à votre site passe d’abord par les serveurs CloudFlare qui l’analysent et éventuellement la bloquent. Avec VPN.AC et son IP Fr je n’ ai aucun souci pour me connecter aux sites derrière CloudFlare.
        Petit rappel: vous avez trois sortes d’ Ips.

        • Celles provenant dans 95 % des cas d’ un Hosting Provider (Data Center) type Leaseweb
        • Plus rarement du VPN en lui même comme IPVanish qui gère lui même son réseau, dans ce cas le qualificatif de Tier-1 VPN Network lui est attribué.
        • Dans le dernier cas l’ IP provient d’ un F.A.I. Dans ce cas l’ IP est résidentielle (residential ip address) ce qui signifie que pour un administrateur réseau vous êtes vu comme un abonné de ce F.A.I. C’est l’ exemple de VPN.AC qui offre une IP résidentielle Française. L’ autre VPN qui développe de plus en plus ce concept est IAPS qui offre des IP Résidentielles dans plus de 25 pays dans le monde.
  • Développement impressionnant des SmartDNS. Le SmartDNS consiste à juste changer vos DNS pour contourner les restrictions géographiques. OverPlay est l’ inventeur de ce système, c’est rapide à installer, pas de modification réseau et pas de perte de vitesse dû aux chiffrements. Il existe depuis des services uniquement dédiés à cette technique comme Unlocator à $4.95/mois. Mais ce service a surtout été ajouté gratuitement au service VPN. C’est pourquoi on le retrouve chez OverPlay, PureVPN, Ironsocket, IbVPN, CactusVPN, AceVPN, Hideipvpn et LiquidVPN.
  • Des niveaux de chiffrement de plus en plus variés et performants

Private Internet Acces a été le premier VPN a laisser à l’ utilisateur la possibilité de choisir son niveau de chiffrement. A l’ usage vous pouvez modifier une ou plusieurs étapes nécessaires à la connexion du VPN:

Data Encryption = Algorithme de chiffrement.
Data Authentication = Fonction de hachage.
Handshake = Procédure d’établissement d’une communication.

Depuis d’ autres VPN offrent aussi cette possibilité:

  • Pour son OpenVPN, VPN.AC a décidé d’ utiliser la curve elliptic secp256k1 pour son Handshake (la même courbe utilisée par le Bitcoin). Au final son OpenVPN se décompose ainsi et laisse à l’ utilisateur plusieurs formules:

Data Encryption = 128-bit AES CBC ou 256-bit AES CBC
Data Authentication = SHA512 data authentication
Handshake Encryption = Pour l’ AES (128 et 256 bit) VPN.AC utilise le RSA-4096 ou la curve elliptic secp256k1

Dans le logiciel de connexion vous aurez un menu déroulant qui offre un OpenVPN ECC, OpenVPN 128-bit, OpenVPN 256-bit et OpenVPN XOR (VPN optimisé pour la Chine)

VPN.AC Client Software OpenVPN

  • LiquidVPN est un des seuls à offrir la choix de l’ algorithme pour le chiffrement de ses données. A côté de l’ AES (qui est le cipher le plus utilisé par tous les VPN), LiquidVPN propose le Camellia (Développé par des entreprises Japonaise c’ est un algorithme de chiffrement symétrique par blocs de 128 bits, conçu pour fonctionner avec des clés de 128, 192 et 256 bits. Il est globalement deux fois plus lent que AES mais offre des performances similaires à Blowfish) en 256-CBC

Ceci n’ a rien d’ extraordinaire car il existe beaucoup d’ autres Cipher comme le Serpent, le Twofish ou Threefish. C’est surtout l’ utilisation massive de l’ AES et dans une moindre mesure du Blowfish qui donne ce sentiment d’ un chiffrement AES universel

Data Encryption = 256-bit AES CBC ou Camellia-256-CBC (Seulement sur serveurs Allemands)

Data Authentication = SHA256 data authentication

Handshake Encryption = 4096-bit RSA handshake

Le cipher Camellia est donc sur les serveurs Allemands que l’ on retrouve aisément dans le logiciel de connexion intégré: Liquid Viscosity

 LiquidVPN Germany Camellia  Liquid Viscosity Details

Si vous êtes amenez à tester LiquidVPN vous apprécierez son logiciel Viscocity. Des VPN testés c’est celui qui nous a le plus marqué pour son rapport qualité/prix. Son logiciel a les bonnes options: Port Forwading, Kill Switch, LeakTest (DNS se font via LiquidDNS), et 3 Protocoles: OpenVPN, PPTP et L2TP (SSTP est aussi dispo sur 7 adresses). Si vous voulez un HighID sur Emule alors il faut utiliser les adresses Dynamic (en majorité sur les serveurs Roumains), pas d’ ouverture de port dans votre espace utilisateur car c’est un Port Forwading (par contre ouverture dans votre Box-Modem du Port mis dans Emule)

LiquidVPN Dynamic IP HighID

Une autre option que l’ on a trouvé très originale c’est la capacité d’ intégrer les fichiers .opvpn d’ un autre VPN. Par exemple on a mis les 4 serveurs de VikingVPN dans le logiciel Viscocity !

LiquidVPN ajout OpenVPN

  • IronSocket utilise depuis peu un nouveau réseau de serveurs (Network 2.0) qui propose 3 niveaux de chiffrement suivant l’ adresse de connexion utilisée.

Par exemple pour une connexion sur Amsterdam (S1 ou S2 ou S3 ou S4), l’ OpenVPN supporte trois niveaux (Strong – Light – None). N’ ayant pas de client de connexion « maison » il faut donc télécharger le fichier .ovpn

IronSocket - Configuration profile

Cette absence d’ un client « maison » est le point faible de ce VPN. A l’ heure où tous les VPN en ont UN, cela saute aux yeux. Un client Maison est le TRUC à développer: il doit intégrer l’ aspect technique des VPN: Protocoles, Serveurs, DNS, …. et les options qui s’en rapportent comme un Kill Switch (IP Guard), Test de Ping, Vitesse, …

C’est vraiment dommage car pour tout le reste IronSocket a bien fonctionné. IronSocket ne révolutionne pas le marché dans ce qu’ il propose (OpenVPN, PPTP, L2TP + HTTP/SOCKS5 Proxy + Smart DNS Proxy + 36 Pays) mais le prix est très bon: $49.95/AN.

  • Proxy.Sh offre la possibilité d’ essayer (avec un programme Beta) la curve25519 pour le Handshake Encryption. curve25519 a été développé par Dan Bernstein. Malheureusement cette possibilité est juste un effet d’ annonce. En fait après plusieurs échanges mails on m’ a indiqué que ce n’ était pas possible avant plusieurs semaines !

Pour le reste Proxy.SH est un VPN qui veut se donner des allures techniques et pro-Tor. A côté du très classique OpenVPN, PPTP et L2TP, du logiciel de connexion Safejumper vous avez de nombreuses options (et tutoriaux !!!)

Proxy.sh Safejumper

Certaines options ont un lien direct avec les VPN:

Catégorie Tunnel –>

** OpenVPN over SSL. Ajout d’ une couche SSL à votre connexion OpenVPN pour éviter qu’ elle soit reconnue. Cette configuration s’ obtient uniquement via le VPN CONFIG GENERATOR pour créer à votre guise votre fichier .ovpn

Catégorie Proxy –>

** Proxy HTTP et HHTPS

** CGI Proxy 

** SOCKS Proxy

Catégorie TOR –>

** Possibilité d’ utiliser Proxy.SH comme Exit Node. Comme vous le savez TOR est un réseau dont une des faiblesses réside dans les exit nodes. Ce dernier envoie les données en clair à la destination finale et a toutes les cartes en main pour lire les données de l’internaute. Les développeurs du réseau Tor le soulignent bien dans leur documentation:

Tor anonymise l’origine de votre trafic et chiffre tout à l’intérieur du réseau Tor, mais il ne peut pas chiffrer votre trafic entre le réseau Tor et sa destination finale.

C’est pourquoi Proxy.Sh propose de Configure your TOR client bundle to use Proxy.sh as exit node

** Proxy.sh as a bridge.  Point d’ entrée privée du réseau TOR. A utiliser si vous avez des difficultés pour vous connecter à TOR

** VPN over TOR. Le VPN se superpose à TOR. Idéal pour cacher l’ IP de base derrière TOR ! C’est l’ option la plus intéressante, seul AirVPN le propose aussi.

** OpenVPN + obfsproxy. obfsproxy est un proxy TOR pour rendre une connexion OpenVPN non visible. Malgré ma bonne volonté je n’ ai jamais réussit à le mettre en oeuvre ce stealth mode

D’autres sont dans l’ esprit VPN:

— Connexion NO LOGS sur Cryptocat. Cryptocat utilise le protocole de messagerie crypté OTR pour offrir des communications accessibles à tous. Sachez que la nouvelle version (Cryptcat 2.2) permet désormais de chiffrer vos conversations privées sur Facebook sous condition bien sûr que vos contacts utilisent également cette application.

— Connexion NO LOGS sur Jabber, Système de messagerie instantanée libre, standard et ouvert

DNSCrypt: Permet d’ajouter une couche supplémentaire de sécurité en chiffrant tout simplement le trafic DNS.

— Pastebin anonyme. Version clone et maison du célèbre Pastebin

Honnêtement je n’ ai pas testé toutes les options et autres outils conseillés. Il faut avouer que pour $5/mois (avec 6 pays – $10/mois avec 42 pays dont le Liechtenstein) on vous en donne. Seul le Safejumper me semble un peu en retrait (à part l’ option détection de réseau Wifi). Au final idéal pour les bidouilleurs et ceux qui sont orientés Proxy et TOR

De même certains optent  pour des chiffrements différents, plus puissants, plus novateurs comme le mode d’ opération GCM. C’est pourquoi les révélations « saupoudrées » de Snowden sur les protocoles cassées me laissent très perplexes !!!:

  • VikingVPN va offrir un OpenVPN différent. Vous avez par défaut:

Data Encryption = 256-bit AES CBC ou 256-bit AES GCM

Data Authentication = SHA1

Handshake Encryption = 4096-bit RSA handshake

VikingVPN va offrir la possibilité d’ utiliser un chiffrement 256-bit AES GCM. Explication: Chaque algorithme de chiffrement symétrique (AES, Blowfish, Camellia, …) à une taille de Blocs fixée. Par exemple AES a un bloc standard de 128 bits et Blowfish utilise une taille de bloc de 64 bits. Ainsi pour chiffrer, on découpe les données (Messages, Photos, Vidéos, …) en blocs de taille adéquate suivant le maximum autorisé. Les modes opératoires (CBC – ECB – GCM – CCM – …) vont chiffrer chaque bloc individuellement et ceci avec plus ou moins d’ efficacité. Dans le tableau ci-dessous on a chiffré notre Logo de trois manières différentes (AES-ECB // Camellia-ECB // AES-CBC)

  AES-ECB
Camellia-ECB  AES-CBC

Moi même j’ ai longtemps sous estimé l’ importance du mode d’ opération de chiffrement des blocs. On le voie clairement sur ces images: l’ ECB est à proscrire !!! Et peu importe l’ algorithme qu’ il soit Camellia ou AES. Seul le mode d’ opération CBC donne un résultat. Mais malgré son utilisation quasi systématique le CBC garantit la confidentialité des données (comme l’ image le montre) mais pas l’ intégralité des données. C’est à dire que des personnes pourraient ajoutées du contenu aux données. C’est pourquoi les VPN ajoutent toujours les fonctions de hachage SHA-1 ou SHA-2 pour l’ intégrité des données. C’est sur ce point que le mode d’ opération GCM est excellent. Il est capable de fournir à la fois l’intégrité et l’authenticité des données, ainsi que la confidentialité. VikingVPN nous a dit que le GCM serait dispo dès la version d’ OpenVPN 2.4.0

Il n’ en reste pas moins que pour l’ instant VikingVPN reste quand même très très cher par rapport à la concurrence: $14.99/mois avec un seul mode de paiement: CB (pas top niveau confidentialité). Il existe bien le Bitcoin mais pour une durée minimum de 6 mois et dans ce cas pas d’ offre d’ essai remboursée de 14 jours. Si vous ajoutez à cela qu’ il faut utiliser OpenVPN Gui avec une ergonomie datant un peu. Il n’ en reste pas moins que le Blog de VikingVPN est un des meilleurs: pas d’ autopromotion, d’ articles commerciaux bateaux et grands publics.

  • Une confidentialité (voire une anonymisation) de plus en plus performante.

A côté des moyens de paiement de plus en plus variés les VPN mettent en oeuvre des améliorations techniques, juridiques que je trouve intéressant:

  • Paiement: Bitcoin s’ est largement démocratisé et fait partie des moyens de paiement les plus courants. D’autres paiements « Anonymes » se démocratisent:
  • Juridique: Warrant Canary – Un Warrant Canary est un processus légal qu’ utilise les VPN pour signaler qu’ ils n’ ont pas de reçu de demabdes d’ infos sur un ou des serveurs de la part des autorités. AUX USA il est interdit de signaler qu’ on a reçu une demande d’ infos des autorités. Par contre il est autorisé de dire qu’ on a rien reçu.  Voici le Canary de Proxy.SHCanary d’ IVPN – Canary de LiquidVPN . Cela complète la notion de NO LOGS. A ce sujet au jour du 16 Janvier 2015 voici pour les VPN qui sont réellement NO LOGS: IPVanishPrivate Internet AccessNordVPNMullvadProxy.SHLiquidVPNVikingVPNPerfect Privacy
  • Techniques:
    • Multi-Hop (aka DoubleVPN)Perfect-Privacy le propose (ainsi qu’ IVPN). A partir du logiciel de connexion (Onglet Cascading) vous pouvez choisir jusqu’ à 4 serveurs qui seront en intermédiaire entre votre réseau et Internet. Même si on trouve que cela ralentit beaucoup la vitesse de connexion, on avoue que l’ option est facile à mettre en place et ergonomique. Il vous suffit de vous connecter successivement aux serveurs de votre choix, le dernier connecté étant la connexion finale
Perfect-Privacy Cascading Connexion au Serveur Amsterdam

4 serveurs

Amsterdam=> Paris => Bucarest => Rotterdam

Ce Multi-Hop de Perfect-Privacy représente bien les atouts de ce VPN. Mais ce sont trois autres points dont je voudrais vous parler:

— L’ Option Firewall qui correspond à un Connection Guard a 3 niveaux: Actif lorsque que la connexion est établie – Actif lorsque le logiciel est activé – Activation permanente. Très bien pensé Firewall settings perfect privacy

— Gestion des Ports. A chaque connexion vous avez trois Ports qui sont ouverts (onglet Details) mais vous pouvez aussi en ouvrir UN de votre choix (valable 7 jours). En tout vous avez 8 Ports disponibles ! Autant vous dire que le HighID est assuré

 Perfect Privacy Connection Details  Ports Settings perfect privacy

— Des Proxys (Squid, Local, Socks, TOR) sont disponibles via un logiciel de connexion dédié PP Tunnel Manager Settings

Perfect-Privacy est technique, fonctionnel et complet. Mais son prix est trop élevé. C’est dommage car sur le papier c’est du lourd !

    • Modulating IP Addresse: Cet outil est une exclusivité de LiquidVPN. Le principe est de changer régulièrement l’ IP de l’ utilisateur à intervalle régulier pour éviter qu’ il ne garde la même IP partagée durant sa session. Dans la liste des serveurs proposés certains sont indiqués avec la mention Modulating (Vous aurez trois sortes d’ IPs chez LiquidVPN: Modulating , Shared qui est la plus courante et correspond à une même IP qui est partagée par plusieurs utilisateurs et Dynamic qui est une IP publique et non dédiée mais dont un seul utilisateur se sert)

LuiquidVPN Romania Modulating

 2 remarques:

*** L’ IP modulation n’ a rien à voire avec le Multihop (DoubleVPN) qui est une simple succession de serveurs entre vous le serveur final (Vous -> VPN1 -> VPN2 -> Internet) . Le Multiphop ralentit beaucoup la connexion et augmente considérablement le Ping

*** En fait ne vous attendez pas à changer de serveurs mais seulement d’ IPs (dernier bloc de l’ adresse IPv4) du même serveur et sur le même range.  C’est une très bonne idée technique, à améliorer mais bonne idée !

    • False traffic: VikingVPN avance de générer du faux trafic pour compliquer la recherche du vrai. Une sorte de brouillard technique. Malheureusement c’est très vague.

BILAN:

Les VPN sont définitivement un bon moyen pour retrouver un internet libre et neutre. De plus les fournisseurs VPN tendent à se différencier en offrant des forfaits parfois très différents les uns des autres et techniquement de plus en plus poussés. C’ est cette différenciation qui m’ a marquée. Avant les VPN se démarquaient sur des points précis: Nombre de Pays, protocoles, …. Ces avantages comparatifs semblent mis de côté par ces nouveaux VPN (par exemple LiquidVPN c’est 7 pays – VPN.AC c’est 13 – Proxy c’est 6) qui mettent l’ accent sur les chiffrements, les options, l’ anonymisation , …

Notre classement des derniers VPN testés est:

  1. LiquidVPN – A partir de $6 par Mois vous avez un vrai VPN Généraliste avec un bon logiciel de connexion intégré. Technique avec ces trois types D’ IPs, Anonymant avec son Warrant Canary, ses Gift Cards et son cash …. A $10 par Mois vous avez le TOP avec un SmartDNS. L’ IP Guard n’est pas inclus dans le logiciel mais un Kill switch est disponible dans la section Download: Aucune difficulté de configuration. Choisissez 1 pour l’ activer et 2 pour le désactiver.
  2. VPN.AC – Deuxième la liste. Simple mais efficace. Un VPN dédié au Surf  avec sa bonne IP FR !
  3. Perfect Privacy – Deux très très bons logiciels de connexion. Ce VPN a compris qu’ il fallait laisser à l’ utilisateur un maximum de choix de configs. Le gros bémol est le prix car pour le reste c’est du solide.
  4. Proxy.SH – Beaucoup de choses dans l’ offre de Proxy.SH (VPN + Proxy + TOR). Très novateur aussi (par exemple le processus Anonymous Token qui permet de créer un compte anonyme à partir d’ un compte créé normalement), voire un peu brouillon. Mais le prix est très favorable: Seul l’ accès à 6 pays: USA, UK, DE, RU, FR, NL est une concession à faire si vous voulez payer seulement $40 à l’ année
  5. IronSocket – Un Prix annuel de $49.99 (36 pays, 3 protocoles :OpenVPN, PPTP, L2TP, SmartDNS, Proxy Socks5 et 3 connexions simultanées) mais pas de logiciel de connexion intégré. Sérieux quand même: Serveurs OK, support OK
  6. VikingVPN – Trop cher pour ce qui est offert. Motivé de l’ essayer pour le mode d’ opération GCM mais ce dernier n’ était pas fonctionnel !
  7. EarthVPN – Un très bon prix de base ($39.99 /AN): 32 pays + PPTP / L2TP / SSTP / OpenVPN Protocols + P2P / Torrents Enabled. Mais les options intéressantes sont toutes à $1.99 et peuvent vite faire grimper la facture finale: Static IP + SSH Tunnel + Port Forwading + Top Secret Level 256bit Encryption for AES and SSL + Additional VPN Connection for Mobile Devices. Les options à $1.99 pour le moindre service en plus me laisse perplexe
  8. IVPN – Rien de spécial pour un prix assez élevé

Hors classement pour Overplay et Unlocator car c’ est le SmartDNS que l’ on a testé. Les deux sont très bons et ont toujours marché

Share

La faille WebRTC dévoile votre réelle IP

Cette faille WebRTC  fait l’ effet d’ une bombe. Elle permet de dévoiler votre IP F.A.I même si vous êtes connectés à votre VPN favori.

Mais comment ?

C’est très simple. WebRTC (pour Web Real-Time Communication) implanté dans Chrome et Firefox (uniquement sous Windows) permet de faire de la visiophonie entre navigateurs et sans autres logiciels installés. Sur le principe c’est très bien. Sauf que dans le cas de la VOIP votre ordinateur doit connaître votre adresse IP publique (celle du F.A.I). Pour cela il interroge un serveur STUN qui lui renvoie cette info en vue de l’établissement d’une communication.

Le problème est que le serveur STUN communique aux deux navigateurs l’adresse IP privée et publique.

Faîtes l’ essai en local chez vous. Connectez-vous à un VPN puis ouvrez la console de Chrome (F12 sous Chrome puis onglet Console) ou Firefox et copiez ce script

//get the IP addresses associated with an account
function getIPs(callback){
    var ip_dups = {};

    //compatibility for firefox and chrome
    var RTCPeerConnection = window.RTCPeerConnection
        || window.mozRTCPeerConnection
        || window.webkitRTCPeerConnection;
    var mediaConstraints = {
        optional: [{RtpDataChannels: true}]
    };

    //firefox already has a default stun server in about:config
    //    media.peerconnection.default_iceservers =
    //    [{"url": "stun:stun.services.mozilla.com"}]
    var servers = undefined;

    //add same stun server for chrome
    if(window.webkitRTCPeerConnection)
        servers = {iceServers: [{urls: "stun:stun.services.mozilla.com"}]};

    //construct a new RTCPeerConnection
    var pc = new RTCPeerConnection(servers, mediaConstraints);

    //listen for candidate events
    pc.onicecandidate = function(ice){

        //skip non-candidate events
        if(ice.candidate){

            //match just the IP address
            var ip_regex = /([0-9]{1,3}(\.[0-9]{1,3}){3})/
            var ip_addr = ip_regex.exec(ice.candidate.candidate)[1];

            //remove duplicates
            if(ip_dups[ip_addr] === undefined)
                callback(ip_addr);

            ip_dups[ip_addr] = true;
        }
    };

    //create a bogus data channel
    pc.createDataChannel("");

    //create an offer sdp
    pc.createOffer(function(result){

        //trigger the stun server request
        pc.setLocalDescription(result, function(){}, function(){});

    }, function(){});
}

//Test: Print the IP addresses into the console
getIPs(function(ip){console.log(ip);});

En cas de connexion à un VPN vous obtenez en retour l’ IP du VPN mais aussi l’ IP F.A.I. Ici le test avec VPN.AC

webrtc VPN

Pour s’en protéger il suffit de:

  • Sous Firefox. Dans votre barre d’ adresse tapez: about:config puis mettez l’ option media.peerconnection.enabled sur false
  • Sous Chrome. Installez l’ addon WebRTC Block

Depuis que la faille est apparue en février 2015 certains VPN intègrent une protection à leur logiciel de connexion OpenVPN. C’est le cas de LiquidVPN, meilleur VPN pour le Téléchargement Direct (grâce à son IP Modulating)

Il vous suffit simplement de cocher l’ option WebRTC Protection

LiquidVPN settings

 

Share

Protocole VPN SoftEther

SoftEther (« Software Ethernet ») est un protocole VPN OpenSource qui a été développé par une université Japonaise (Tsukuba). On en a déjà entendu parler lorsque VPNGate a lancé un VPN gratuit qui se base sur ce dernier

SoftEther se veut être une alternative plus performante aux protocoles VPN de Windows (PPTP L2TP – SSTP) et plus rapide que l’ OpenVPN.

Surtout SoftETher se veut meilleur pour contourner tous types de Firewall grâce à la particularité (comme le protocole SSTP) de simuler une connexion HTTPS qui elle est rarement bloquée. Donc tous ceux qui ont des difficultés de connexion avec l’ OpenVPN ont peut être intérêt de tester SoftEther

Il y a quelques VPN qui le propose:

  • CactusVPN – Premier VPN à l’ avoir intégré. D’ ailleurs il le présente comme le meilleur protocole VPN parmi l’ OpenVPN, le SSTP, le L2TP et PPTP. Ceci est discutable car les retours clients sont peu nombreux mais c’est vrai que ce protocole est stable et novateur. Tous les forfaits proposés par CactusVPN intègrent SoftEther.
  • Proxy.SH. Contrairement à CactusVPN, SoftEther n’ est pas mis en valeur sur le site de Proxy.SH. Il existe un tuto d’ installation dans votre espace client mais on a jamais réussit à le faire fonctionner ! Support de Proxy.SH sur le protocole SoftEther fut inneficace.

Caractéristiques de SoftEther VPN:

SoftEther se targue d’ être:

  • Meilleur que l’ OpenVPN

comparison3

  • Plus rapide que l’ OpenVPN et Protocoles Windows

1.3

SoftEtherVPN_Page_03

  • Chiffrement = AES 256-bit // Handshake = RSA 4096-bit

Installation de SoftEther

On a testé SoftEther à partir du VPN CactusVPN.

CactusVPN offre 5 protocoles et ne cache pas l’ intérêt que lui même porte à SoftEther en le qualifiant de meilleurs protocoles VPN !!!

cactusvpn_com comparison protocols

Son installation est assez simple et CactusVPN propose un tuto bien détaillé: SoftEther Installation – Vous aurez besoin, outre de votre login et mot de passe, des adresses des serveurs

CactusVPN Servers

Pensez à redémarrer votre PC à la fin de l’ installation.

Connectez-vous. Remarquez que la durée de connexion est extrêmement rapide.

CactusVPN Softether connected

La connexion est réellement stable. Question vitesse je ne peux pas vous dire si c’est plus rapide que l’ OpenVPN car ma ligne ADSL trop lente pour faire des tests sérieux.

CactusVPN s’ est donc basé sur le client SoftEther pour offrir une logiciel de connexion simple à configurer, sans trop d’ options complexes. On a beaucoup apprécié tester ce nouveau protocole. Même si il s’ adresse encore à des utilisateurs désireux d’ en savoir plus sur les VPN.

On ne peut que saluer cette implantation de SoftEther par CactusVPN. C’est original et assez précurseur. Mais il manque encore beaucoup de pédagogie et de vulgarisation pour que ce protocole se développe partout.

Mais notez-le car il n’est pas compliqué à installer et de nombreuses options (non implantées par CactusVPN) sont disponibles.

 

Share

IKEv2 chez AceVPN

Excellente nouvelle de la part d’ AceVPN qui propose dorénavant le protocole IKEv2 en plus des protocoles PPTP, L2TP et OpenVPN

On vous avait déjà présenté l’ IKEv2 et son Option VPN Reconnect lors de notre Test de PureVPN

IKEv2 est sans aucun doute le protocole le moins connu et le plus sous estimé. Le protocole permet une reconnexion automatique grâce à son option VPN Reconnect. Par exemple en cas de perte temporaire de connexion, ou si les utilisateurs se déplacent d’ un point d’ accès Wifi à un autre, IKEv2 restaure automatiquement le VPN après le rétablissement de la connexion réseau.

De plus ce protocole offre un très bon niveau de chiffrement. Et c’est sur ce second point qu’ AceVPN a mis la barre très haute !!

Cette sécurisation dépend de trois étapes (la longueur des clés est un paramètre sécuritaire important):

  • Data Encryption
  • Data Authentication
  • Handshake Encryption

On vous avait largement présenté ceci lors de notre Test de Private Internet Access qui est à ce jour le seul VPN qui laisse l’ utilisateur gérer ces étapes

C’est au niveau de ces trois étapes qu’ AceVPN se démarque de la concurrence en offrant un chiffrement Suite B – Suite B est un groupe d’algorithmes de chiffrement approuvé par la National Security Agency (NSA). 

Les composants de la Suite B sont les suivants :

  • Data Encryption (Algorithme de chiffrement): AES 256
  • Data Authentication (Fonction de hachage): SHA512
  • Handshake Encryption (Procédure d’établissement d’une communication)384 bits ECC (Equivalent du RSA 7680 bits)

L’ algorithme de chiffrement est classique, c’est de l’ AES 256 (Là ou d’ autres comme HideMyAss utilise du Blowfish)

La fonction de Hachage est en SHA512. Là où les autres très souvent sont à max 256. Donc la taille de bloc est de 1024 bits. Plus la chaine générée est grande, plus celle-ci est sécurisée

Quant à la Procédure d’établissement d’une communication, la Suite B utilise les courbes elliptiques au lieu des systèmes classiques de chiffrement asymétrique.

Share