Protocoles et chiffrement chez Private Internet Access

Protocoles VPN chez Private Internet Access

Private Internet Access est un excellent VPN. Son principal atout est d’ offrir les deux protocoles les plus intéressants: OpenVPNWireGuard. L’ autre atout est sa capacité à moduler le niveau de chiffrement de l’ OpenVPN qu’ il propose.

Pour accéder aux choix des protocoles et aux capacités de modulation de l’ OpenVPN de Private Internet Access il faut cliquer sur Préférences puis connexions.

chiffrement

Chiffrement OpenVPN chez Private Internet Access

L’ OpenVPN est et reste le meilleur protocole de chiffrement. Son développement est en cours depuis plus de 10 ans. Il est constamment audité et amélioré par une communauté de techniciens très expérimentés.

L’ OpenVPN est le protocole que Private Internet Access conseille à ses utilisateurs. PIA intègre toujours les dernières versions du logiciel OpenVPN et se sert toujours des dernières évolutions de chiffrement (GCM – Courbes elliptiques) ou alternatives (Handshake DNS).

Couplé à un NO LOG de niveau 3, à un logiciel de connexion ultra performant et à des serveurs bien situés (45 pays), l’ OpenVPN de Private Internet Access vous permettra de sécuriser un ensemble d’ usages for courants:

Télécharger des Torrents en toute sécurité et en tout anonymat – PIA permet le téléchargement BitTorrent sur les serveurs P2P habituels: Hollande – Roumanie – Suède. L’ avantage c’est que PIA accepte l’ ouverture d’ un Port spécifique. Ainsi le trafic entrant est autorisé sur ce Port. Ce Port est à utiliser dans votre logiciel Torrent comme qBittorrent si vous voulez de meilleurs vitesses de Téléchargement. Vous pouvez aussi utiliser n’importe quel autre client torrent comme Freebox serveur ou Vuze ou uTorrent. Comme le logiciel de connexion intègre un Kill Switch efficace je vous conseille de l’ activer sur Auto. En cas de coupure du VPN, le Kill Switch va instantanément désactiver votre connexion et vos téléchargements. Private Internet Access a acquis une solide réputation pour les torrents.

Télécharger sur eMule – Le téléchargement sur eMule est encore très pratiqué et fort pratique. Il existe encore de nombreux liens sur des sites comme DDL-Island et les vitesses de téléchargement en HighID sont très bonnes, voire supérieures aux Torrents et sans l’ inconvénient d’ obscurs ratios. Private Internet Access a l’ immense avantage d’ autoriser l’ ouverture d’ un Port, ce qui fait que vous êtes en HighID sur eMule.

Faire du Streaming sur des sites généralistes francophones (Films + Séries) – Le Streaming se fait souvent à partir d’ une tablette. Pour les tablettes Android on vous conseille de télécharger directement l’ APK sur le site de Private car cet APK contient MACE (Suite sécuritaire et bloqueur de pubs) que la version de Google Store n’ intègre pas. Les sites de Streaming sont inondés de pubs donc il vaut mieux activer MACE. Comme vous pouvez utiliser la protection de PIA sur 10 appareils de manière simultanée vous pourrez installer partout PIA pour faire du Streaming de films et séries.

Sécuriser un transfert de fichiers – La raison première d’ un VPN c’ est la sécurisation !. De ce point de vu PPrivate Internet Access est LE VPN à utiliser. Si pour des motifs professionnels ou personnels vous avez besoin d’ envoyer des documents confidentiels alors PIA est capable d’ offrir une authenticité et une intégrité inégalables. Son niveau de chiffrement maximum intègre tous les meilleurs chiffrements et modes opératoires.

Installer PIA sur KODI et FireStickPrivate Internet Access sécurise très bien ces deux outils de Streaming. Vous pourrez protéger vos extensions – et applis favorites comme: vStreamEverStreamoviesCatchup TV.

Débloquer en toute sécurité des chaînes TV ou plateformes type Netflix – Les diffuseurs de SVOD (vidéo à la demande sur abonnement) et chaînes TV pratiquent tous la géorestriction. Contourner les barrières géographiques est devenu l’ activité numéro des utilisateurs de VPN. C’ est pourquoi Private Internet Access offre non seulement des IPs compatibles même si ce n’ est pas la spécialité de ce VPN.  Private Internet Access est compatible avec les grandes plateformes comme: Netflix US – BBC iPlayer – iTV – RTS – France TV.

A côté de tous ces usages, Private Internet Access permet de moduler le niveau de chiffrement. PIA est un des rares VPN qui offre un grand nombre de paramètres de chiffrement. Vous avez la possibilité de rendre la sécurité du VPN plus forte (sécurisation extrême de transferts de fichiers) ou plus faible (pour obtenir de meilleures vitesses).

C’est le vrai + et l’ originalité de Private Internet Acces de vous laisser choisir votre type et niveau de chiffrement:

  • Data Encryption = Algorithme de chiffrement. Vous pouvez choisir entre l’ algorithme de chiffrement symétrique AES et rien. Vous remarquez dans cette liste deux choses: un niveau de chiffrement donné par les nombres 128 et 256 qui indiquent la puissance. Et entre parenthèses CBC et GCM. Ce sont les modes opératoires. La façon dont est chiffrée le trafic. Chaque algorithme de chiffrement symétrique (AES, Blowfish, Camellia, …) à une taille de Blocs fixée. Par exemple AES a un bloc standard de 128 bits et Blowfish utilise une taille de bloc de 64 bits. Ainsi pour chiffrer, on découpe les données (Messages, Photos, Vidéos, …) en blocs de taille adéquate suivant le maximum autorisé. Les modes opératoires (CBC – ECB – GCM – CCM – …) vont chiffrer chaque bloc individuellement et ceci avec plus ou moins d’ efficacité. Malgré son utilisation quasi systématique le CBC garantit la confidentialité des données mais pas l’ intégralité des données. C’est à dire que des personnes pourraient ajoutées du contenu aux données. C’est pourquoi les VPN ajoutent toujours les fonctions de hachage SHA-1 ou SHA-2 pour l’ intégrité des données. C’est sur ce point que le mode d’ opération GCM est excellent. Il est capable de fournir à la fois l’intégrité et l’authenticité des données, ainsi que la confidentialité.
  • Data Authentication = Fonction de hachage. Au choix SHA-1, SHA-256 et Absence de fonction de hachage. Cette option est disponible seulement si vous prenez le mode opératoire CBC avec le chiffrement AES. On vous conseille vivement de prendre le mode opératoire GCM.
  • Handshake = Procédure d’établissement d’une communication. Échange de clés Diffie-Hellman avec Certificat RSA (2048 ou 3072 ou 4096bit) ou Échange de clés Diffie-Hellman avec Chiffrement à Courbe Elliptique, dite ECDSA. La courbe conseillée est ECC-256k1. PIA propose aussi les courbes ECC-256r1 ou ECC-521. Récemment de nombreux doutes sont apparus autour de ECC (chiffrement à courbes elliptiques)ECC permet un chiffrement à clés rapide et, surtout, peu gourmand. Concurrent de l’incontournable RSA, il offre, à robustesse égale, des clés de taille inférieure et des calculs plus « légers » que son concurrent. Les doutes proviennent de la courbe secp256r1 certifié par le NIST. Selon plusieurs experts (et des plus sérieux comme Bruce Schneier) la NSA aurait influencé l’institut américain de normalisation, le NIST, pour qu’ il certifie ce générateur de nombres pseudo-aléatoire qui aurait une porte dérobée. En d’ autres termes les chiffres générés n’auraient rien de non prédictible. Un seul point d’entrée (porte dérobée) dans le mécanisme de génération des nombres aléatoires et c’est l’ensemble de la sécurité du système qui est fortement compromis par un attaquant ou un organisme qui surveille. Si vous souhaitez toujours utiliser les courbes elliptiques on vous conseille la secp256k1 (certifiée par Certicom) qui est celle qu’ utilise le Bitcoin pour les signatures de transactions.

On ne peut que se satisfaire de cette transparence offerte concernant le processus en trois étapes d’ une connexion OpenVPN. Et du choix laissé. Les VPN qui donnent toutes ces infos sont plutôt rares. Cela se résume souvent au niveau de chiffrement de 2048bit pour l’ OpenVPN et c’est tout.

Voici les recommandations de chiffrement standard de Private Internet Access:

AES-128 GCM / RSA-2048

On valide complètement cette config donné par défaut. Elle marche impeccable. Avec un tel niveau de protection vous êtes quasi sûr que vos données transitent vite et en toute confidentialité.

La modulation de ce chiffrement a de réelles incidences. Vous pouvez modifier ces paramètres au gré de vos besoins. Voici les deux configs conseillés pour un chiffrement maximum et une config pour améliorer votre vitesse.

Pour une sécurisation maximum on vous propose ces paramètres: Chiffrement des données AES-256 (GCM) + Handshake: RSA-4096

Pour augmenter vos vitesses de connexion on vous propose ces paramètres: Chiffrement des données AES-128 (CBC) + Handshake: RSA-2048

Ces modifications de paramètres ont une réelle incidence sur les vitesses, les débits. Voyez ces résultats de test représentatifs:

Vitesse sans VPN

Vitesse avec chiffrement optimal

Vitesse avec chiffrement optimisé vitesse

Chiffrement WireGuard chez Private Internet Access

WireGuard est un tout nouveau protocole de chiffrement. Son développement est axé autour de deux points:

Rapidité – WireGuard se veut un protocole de chiffrement plus rapide que l’ OpenVPN avec l » algorithme AES. Pour ce faire il utilise l’ algorithme ChaCha20. Il se passe aussi des clés RSA pour privilégier les courbes ECC. Les tests de vitesse proposées par l’ équipe de Wireguard sont en effet assez impressionnants. Mes tests persos sont pour l’ instant beaucoup plus nuancés.

Mobilité – Wireguard reprend un des points forts du protocole IKEv2 qui est la résilience de la connexion entre points de connexion mobile. Chez l’ IKEv2 cette option est l’ AgileVPN. Wireguard se sert du terme Itinérance pour assurer que la connexion VPN sera toujours active entre les différents réseaux: Wifi – 4 G – 5G. Pour l’ instant l’ IKEv2 permet de garder aussi une connexion active sur un temps déterminé et entre entre plusieurs réseaux Wifi différents.

Private Internet Access est un des meilleurs VPN proposant Wireguard. Le VPN l’ offre désormais sur l’ ensemble de son réseau: 45 Pays et plus de 3300 serveurs. Pour utiliser Wireguard il suffit de cliquer sur Paramètres=> Connexion => Wireguard. Ce protocole ne prend en charge que l’ UDP.

Mes premiers retours sont un peu mitigés: C’ est vrai que la connexion aux serveurs est quasi instantané. Mais je ne trouve pas les vitesses si extraordinaires. L’ unique UDP est plutôt gênant pour accéder à certains logiciels de P2P.

Protocoles OpenVPN ou WireGuard

Il faut saluer Private Internet Access pour l’ ajout de Wireguard au protocole disponible dans son logiciel de connexion. Même si ce protocole est en cours de développement il est déjà fonctionnel et aura un avenir certain. L’ intégrer c ‘est déjà avoir un coup d’ avance et suivre les évolutions technologiques.

Aux utilisateurs de Private Internet Access je vous conseille d’ utiliser encore ce bon vieux OpenVPN. Private Internet Access y intègre toujours les dernières technologies et sait l’ entourer des dernières innovations comme les DNS Hanshake. Handshake.org propose un service DNS pair-à-pair (Blockchain). Il expérimente un système plus décentralisé, sécurisé et résilient basé sur de la validation des zones DNS par les participants du réseau.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.