La loi sur le renseignement suscite de nombreuse interrogations chez les Internautes et les utilisateurs de VPN, en particulier la fameuse disposition concernant les « boîtes noires ». Ces « boîtes noires » seront installées chez les opérateurs, les hébergeurs internet et seront en charge de surveiller le comportement des Internautes à partir d’ un algorithme pouvant déceler une suite de comportements sur internet, comme des mots-clés tapés, des sites consultés, des correspondances. Ensuite un profil est créé pour lutter contre une menace terroriste.
Le gouvernement pourra demander aux opérateurs de communication et aux fournisseurs d’accès internet de mettre en place un algorithme (un programme informatique capable de détecter une suite d’opérations définies) pouvant déceler « une menace terroriste » par une suite de comportements sur internet, comme des mots clés tapés et des sites consultés. En cas de menace détectée, l’anonymat de ces métadonnées pourra être levé.
Autant vous dire que je suis très curieux de voire cet algorithme (La « boîte noire » n’ existant pas – Cette expression a été inventée par les opposants). L’ algorithme va devoir être très performant pour éviter des « faux positifs ». Existe t-il déjà ? Une période de test a t-elle été réalisée ?. On est très loin d’ un algorithme commercial basique qui cible la publicité suivant vos dernières recherches ! De plus j’ ai cru comprendre que ces profils seront créés à la volé et sans stockage de données. Il va falloir du matos !
En fait à côté du principe qui est bon, il faut prendre garde aux dérives éventuelles, aux ajouts futurs, au sentiment de surveillance de masse.
Avant de vous donner quelques pistes pour continuer à protéger votre vie privée on voulait savoir si ce type de Loi pouvait vous inciter à utiliser continuellement un VPN ?
[poll id= »15″]
Quels sont nos conseils ?
- Prendre un VPN NO LOGS pour la confidentialité
Les « boîtes noires » sont très facilement contournables en utilisant un VPN qui va se substituer à votre F.A.I. Toutes vos recherches, vos visionnages de vidéos, votre Surf en général passeront par le VPN. Votre F.A.I verra que vous utiliser un VPN, c’es tout !
Néanmoins on vous conseille de prendre UN VPN No LOGS et qui offre ses propres serveurs DNS (les requêtes faîtes sur le Net doivent obligatoirement passer par des DNS autres que ceux de votre F.A.I sinon ce dernier pourra savoir ce que vous recherchez malgré une connexion à un VPN!)
- IPVanish: VPN situé aux USA (contrairement à une idée reçu les USA n’ ont aucune loi sur la rétentions de donnée) et NO LOGS. De plus IPVanish gère une partie de son réseau (Australie – Belgique – Brésil – Danemark – France – Allemagne – Hongrie – Japon – Hollande – Pologne – Singapour – Corée du Sud – Espagne – Suède – Suisse – Angleterre – USA)) et donc est garant de la réalité de ce No Logs. On vous avait déjà signalé la toute relativité du NO Logs si le Data center qui loue les serveurs aux VPN gardaient de leur côté les LOGS. Voire affaire: EarthVPN et NO LOGS. Propre DNS
- Private Internet Access: Eux aussi sont situés aux USA. Leurs serveurs sont en très grande majorité gérés par Choopa. Private Internet Access explique les liens entre eux et ce data center. Propre DNS
- NordVPN. Basé au Panama. Juridiction que l’ on qualifiera de “Offshore”. Propre DNS
- Mullvad. Basé en Suède. La fameuse directive (2006/24/EC) qui d’ ailleurs a été invalidée en Avril 2014 ne concerne pas les VPN en Suède. Propre DNS
- LiquidVPN. Situé aux USA. Propre DNS
- Proxy.SH. Situé aux Seychelles. Propre DNS
- Perfect-Privacy. Située en Nouvelle-Zélande. Propre DNS
- ExpressVPN. Situé aux USA. Propre DNS
Pensez aussi à télécharger les applis (iOS – Android) des VPN ci-dessus. Car une recherche à partir d’ un ordinateur ou d’ un Smartphone c’est toujours une IP qui est derrière et donc un F.A.I. Seuls IPVanish, Private Internet Acces et Proxy.SH en proposent une native. IPVanish propose une appli pour iOS8 (existe aussi sous Android) de très grande qualité en intégrant le protocole IKEv2. PIA ne propose que sous Android mais a le mérite d’ être un bon replica de son logiciel de connexion intégré (avec option de chiffrement). Proxy.SH propose sous les deux OS (iOS et Android) mais le fonction Connect On Demand sous iOS ne marchait pas sous notre OS6.
De toute façon tous les VPN peuvent se configurer sous ces OS. Il y aura au minimum une config manuelle à effectuer mais cela marchera !
Pour l’ instant l’ algorithme ne s’intéressera qu’aux seules données de connexion, c’est-à-dire aux métadonnées, et pas au contenu des communications. Donc pas de D.P.I. Pourtant on va continuer cet article en vous donnant pour nous les VPN qui offrent les meilleurs niveaux de chiffrement pour une sécurité optimale. On l’ oublie trop souvent mais la fonction première d’ un VPN est de contrer l’interception de données par des tiers (protection de vos données personnelles) ou bien de contrecarrer le D.P.I. Les VPN sont aussi une technique de sécurisation des données.
Dans cette liste on a recoupé les meilleurs chiffrements avec les VPN No Logs. C’est pourquoi de très bons VPN question chiffrement comme HideMyAss ou VPN.AC ou AirVPN n’ y figurent pas.
- Private Internet Access. Premier VPN à avoir laisser le choix à l’ utilisateur de son niveau de chiffrement ! Niveau maximal: AES-256 / SHA256 / RSA-4096. Bon courage pour un D.P.I !!!
- LiquidVPN. Comme tous bons VPN il y a la présence de l’ AES. Mais aussi de l’ algorithme de chiffrement Camellia (sur les serveurs Allemands). Présence aussi du HMAC: On sait que le mode opératoire CBC ne protège pas l’ intégrité du message (que la confidentialité). Pour ce besoin, on peut utiliser un code d’authentification (HMAC = keyed-hash message authentication code) qui protègera le message chiffré.
- Perfect-Privacy. Même niveau de chiffrement que Private Internet Access (AES-256 / SHA256 / RSA-4096) et présence du HMAC
- Proxy.SH. Très bon niveau de chiffrement: AES-256 / SHA256 / RSA-4096. Propose aussi la courbe elliptique secp384r1 à la place du RSA pour l’ Handshake. On reviendra un peu plus loin sur cette courbe qui est associée au patch XOR.
- IPVanish. Bon chiffrement: AES-256 / SHA256 / RSA-2048
- Mullvad. Récemment Mullvad est passé à l’ algorithme AES en place du Blowfish. Noter que seul HideMyAss continue à proposer le Blowfish sur l’ ensemble de ses serveurs OpenVPN
On continue notre article en faisant un bond dans le futur. Pour l’ instant en France l’ utilisation des VPN est simple. Seul des Pays comme la Chine ou l’ Iran essaye ouvertement de les contrecarrer. L’ utilisation d’ un VPN ne passe pas inaperçue pour un administrateur réseau. Dans un premier temps il fallait juste passer par le port 443 si une connexion OpenVPN était bloquée. Mais maintenant ces Pays sont capables de détecter une connexion OpenVPN d’ une connexion SSL en Port 443 (Notez que le protocole SSTP est quant à lui encore indétectable car il simule une connexion HTTPS – C’est pourquoi PureVPN qui propose ce protocole est souvent mentionné pour ces pays). On en est encore très loin en France mais voici 3 pistes pour cacher votre connexion OpenVPN et la rendre Stealth et retrouver une entière liberté:
- La toute dernière nouveauté est le patch XOR. Ce Patch doit être installé sur votre client de connexion et sur le serveur. XOR permet de brouiller, cacher votre connexion OpenVPN. On vous recommande VPN.AC qui est le seul VPN à l’ avoir intégré dans son logiciel de connexion. Proxy.SH le propose aussi mais il faut le configurer manuellement et ce n’est pas simple.
- OpenVPN avec obfsproxy. obfsproxy (serveur proxy voilé) vient du projet TOR. Comme le Patch XOR, obfsproxy permet de cacher que vous utilisez une connexion OpenVPN. Très complexe à mettre en oeuvre. Proxy.SH est le seul VPN à le proposer mais son tuto n’ est pas clair. Je m’ y suis cassé les dents !
- Tunnel SSL ou SSH. Il s’ agit d’ encapsuler votre OpenVPN à l’ intérieur d’ un tunnel SSL ou SSH. Ces connexions étant autorisées elles camoufleront l’ OpenVPN. De nombreux VPN le proposent mais seul AirVPN l’ a aussi bien mis en valeur dans Eddie, son logiciel de connexion. Vous y avez tous les types de tunnel, les différents Ports. Un bonheur !
Dans ces listes que l’ on vous a proposé (NO LOGS pour la confidentialité – Chiffrement pour la sécurité – Stealth OpenVPN pour la liberté) vous avez sans doute remarqué que les mêmes VPN revenaient souvent. C’est assez logique au vu de notre parti pris de choisir en priorité des VPN NO LOGS (en étant conscient de la relativité du concept). Il existe beaucoup de VPN mais peu ont des Logs de 0 jours. HideMyAss, VPN.AC, AirVPN, PureVPN, Overplay, AceVPN, Astrill, CactusVPN, IbVPN, StrongVPN, HideIPVPN, SlickVPN, IAPS, … ne sont pas NO LOGS.
On a néanmoins fait une exception pour VPN.AC et AirVPN qui ont des fonctions essentielles pour rendre une connexion OpenVPN « Stealth« .
Après l’ utilisation du VPN comme solution il existe aussi TOR
- Utiliser le réseau TOR
On vous a déjà proposé un tutorial sur TOR. Le plus simple pour rejoindre ce réseau est de télécharger le package TOR pour rejoindre le réseau TOR (DeepWeb) et de surfer avec une grande confidentialité sur le ClearWeb
Etant orienté VPN on va donc vous proposer une liste de fournisseur qui l’ ont intégré dans leur offre:
- AirVPN propose le réseau TOR sous deux formes: AirVPN sur TOR et TOR sur AirVPN. Les deux processus sont très bien expliqués et ne nécessitent pas de configuration compliquée. Pour nous c’est AirVPN qui a le mieux intégré le projet TOR à son offre VPN
- NordVPN. Seul TOR sur VPN est disponible. Très facilement joignable depuis le logiciel de connexion (Entrée se fait en Suède)
- Perfect-Privacy. TOR sur VPN. A configurer à partir d’ un navigateur Firefox
- Proxy.SH. VPN sur TOR. Config est manuelle, non intégrée au logiciel de connexion.