Avez-vous besoin d'un VPN ?

Ce que permet ou non un VPN commercial

Ce contenu a été rédigé par sgble qui a quitté le site.

Avez-vous entendu parler de VPN ? Après avoir entendu tant d’éloges à leur sujet, pensez-vous en avoir besoin vous aussi ou doutez-vous encore de son utilité dans votre cas ?

Il apparaît en effet difficile de ne pas perdre le nord1 face à ces nombreux boniments ornés de jargon technique impressionnant (intimidant ?).

Cet article a un but précis : passer en revue et questionner sur un plan technique et critique les affirmations les plus courantes des fournisseurs de VPN et des influenceurs qui en chantent les louanges. Ainsi conviendrait-il que j’avertisse dès maintenant les lecteurs quant à la teneur technique des propos qui suivent, lesquels pourraient paraître parfois jargonneux et, eux aussi, intimidants. Des efforts ont été faits pour que plusieurs niveaux de lecture soient possibles. Si certains points s’avèrent obscurs malgré ces efforts, je ne peux que vous encourager à poser des questions, voire ouvrir un sujet et ainsi bénéficier de la sagesse de la communauté ;)

Mise en garde technique

Dans l’article suivant, deux présupposés sont faits pour alléger le propos :

  • les couches de sécurité sont implémentées correctement : versions de TLS récentes, vérification des certificats systématique, utilisation de cipher suites et d’algorithmes réputés sûrs ;
  • l’utilisation d’un VPN est jugée « sans fuite » : pas de DNS leaks ou de WebRTC leak.2

  1. 🥁 Aabu
  2. Un vieil article que j’ai écrit explique ce qu’est un DNS leak est comment le mettre en œuvre soi-même : DNS Leak: How it Works and How to Implement It (en anglais).

Qu’est-ce qu’un VPN ?

Cet article s’intéresse exclusivement aux offres de VPN commerciaux grand public dont il est question dans les publicités qui inondent les réseaux sociaux. Ainsi, tenons-nous en à une définition qui se borne à ce qui est généralement présenté.

Un VPN permet d’établir un tunnel entre votre machine et un serveur du fournisseur de VPN. Tout le trafic réseau (tous les paquets IP) passera par ce tunnel si bien que le serveur du fournisseur VPN sera votre point de sortie sur le réseau Internet. Les autres machines du réseau Internet verront donc ce point de sortie comme source de vos connexions, et non pas votre routeur (la « box ») fourni par votre fournisseur d’accès à Internet (FAI). Ce tunnel est chiffré de bout en bout, nous verrons ce que cela signifie en pratique.

Revues technique des louanges

Le VPN protégerait et sécuriserait vos données

Par « protéger » et « sécuriser », entendons-nous sur deux choses : protéger les données signifie qu’il n’est pas possible d’intercepter la communication (les données en transit) pour la lire (confidentialité) et qu’il n’est pas possible non plus de l’altérer pour détourner l’information à des fins malveillantes (authenticité). Les systèmes cryptographiques modernes en œuvre (correctement) dans les VPN permettent effectivement d’assurer la confidentialité et l’authenticité des données en transit dans le tunnel. Mais une question doit impérativement se poser pour apprécier les implications.

Ça protège. Mais ça protège quoi ou de qui ?

Le tunnel vous protège essentiellement de deux acteurs : le fournisseur d’accès à Internet (FAI) qui achemine vos données vers le reste de l’Internet et les autres machines qui pourraient partager le même réseau local (LAN) que votre machine.

Réseau local et partagé

Le réseau local est constitué des tous les appareils connectés (en filaire ou Wi-Fi) à une même box1. À la maison, le réseau local est supposément privé car seuls vos équipements sont sur ce réseau en principe de confiance. Mais la notion de réseau local s’étend aussi dans le cas d’une connexion Wi-Fi partagée au parc ou au café. Vous partagez alors le même réseau local que d’autres utilisateurs, lesquels ne peuvent pas être réputés dignes de confiance. Il en va de même avec l’entité qui possède et gère ce point d’accès (la café, la municipalité qui met du Wi-Fi dans le parc, etc.)

Au sein d’un même réseau local, il est possible de sniffer le trafic et d’intercepter les communications facilement, surtout en Wi-Fi partagé.

Mais d’après notre définition, cela n’est pas un problème avec le VPN : le tunnel sécurisé est établi entre votre machine et le serveur du fournisseur VPN. Les curieux partageant votre réseau local ne peuvent donc pas lire les communications chiffrées, ni les altérer à des fins malveillantes, ni savoir quels sites vous visitez.

Fournisseur d’accès à Internet (FAI)

Au delà de la box et du réseau local, le FAI est le transporteur de vos paquets IP (le trafic) émis ou reçus.

Il y a donc nécessairement accès afin d’effectuer son travail d’acheminement. À ce titre, même s’il n’est pas techniquement nécessaire d’inspecter le contenu des paquets (seules les métadonnées d’un paquet suffisent pour le router), il peut techniquement le faire, on parle alors de Deep packet inspection (DPI), et même altérer les paquets. Le DPI peut être mis en œuvre par un FAI pour diverses raisons :

  • surveillance,
  • ciblage publicitaire,
  • censure,
  • sécurité, etc.

Le tunnel chiffré enrayerait la moindre tentative de DPI.

Et HTTPS dans tous ça ?

Il est vrai qu’une simple couche HTTPS suffit à contrecarrer les attaques évoquées ci-dessus (inspection de paquets, altération des données en transit). Même sur une connexion Wi-Fi partagée on ne peut plus douteuse2, d’autres machines sniffant le trafic ne pourraient lire les données si HTTPS est mis en œuvre, cela valant aussi pour tout autre protocole TCP sur couche TLS3 (dont SMTPS, IMAPS pour vos emails). Cela nous amène donc à une question.

La généralisation de HTTPS (et TLS) rendrait-il l’utilisation d’un VPN superflue ?

S’il est vrai que quasiment tous les grands services sont accessibles uniquement en HTTPS depuis quelques années, il persiste encore quelques petits services en clair, des réfractaires malgré les incitations de plus en plus insistantes de la part des éditeurs de navigateurs Web.

Ici, nous pourrions ainsi penser que le VPN permettra au moins de protéger les données initialement en clair jusqu’à la terminaison du tunnel. Mais pas au delà : une fois sorti par le serveur du fournisseur de VPN, le trafic doit encore continuer sa route jusqu’à sa destination finale (le serveur du site que vous voulez visitez). Si ce trafic est originellement en clair, il le redeviendra aussitôt après avoir quitté le tunnel.

Pour cette raison, l’utilisation d’un VPN n’est pas un prétexte pour se passer des protocoles sécurisés comme HTTPS qui assurent la sécurité de bout en bout : de votre machine jusqu’au serveur final du site que vous visitez. Je ne peux donc que vous encourager à veiller à utiliser des protocoles sécurisé partout, VPN ou non.

Nous verrons dans la section suivante un autre aspect qui pourrait rendre l’utilisation d’un VPN pertinente malgré tout.

Le VPN permettrait de ne pas savoir où vous allez

Les métadonnées des paquets sont essentielles pour qu’ils arrivent à destination, c’est l’équivalent d’une étiquette collée sur un colis, laquelle indique plusieurs informations comme l’expéditeur et l’adresse de réception. Ces métadonnées ne peuvent être cachées, sinon le FAI ne peut simplement pas assurer sa mission. Ce serait comme confier un colis à La Poste sans dévoiler son adresse de destination.

Ces métadonnées sont des données. Elles peuvent être exploitées car elles constituent en elles-mêmes des renseignements, dont potentiellement sur les sites que vous visitez (leurs adresses IP). L’usage de HTTPS n’y changera rien.

Autre élément qui peut trahir vos destinations même en utilisant HTTPS : le DNS en clair. Le DNS est souvent cité comme un exemple de protocole qui n’est jamais chiffré. Cela est vrai dans la plupart des cas aujourd’hui, bien qu’il soit parfaitement possible de faire passer le DNS sur une couche sécurisée comme DNS over TLS ou encore DNS over HTTPS (pris en charge nativement par Firefox). Cela pourrait devenir la norme et des efforts semblent être faits dans ce sens. Espérons-le.

Connaître le contenu de vos requêtes DNS mettent en péril votre vie privée : il est aisé de connaître les sites que vous consultez (voire plus encore) en observant ce trafic-là.

Mais pour peu que les requêtes DNS passent elles aussi par le tunnel VPN, les équipements du réseau local et le FAI ne pourront donc pas savoir quels noms de domaine vous voulez résoudre. Il s’ensuit qu’il ne sera donc pas possible non plus de deviner aisément quel site vous comptiez visiter d’après vos résolutions DNS.

Quand même vous utiliseriez une méthode de résolution DNS sécurisée (disons DNS over HTTPS sous Firefox), il reste malgré tout un trou dans la raquette : le maudit SNI

La section suivante est un peu technique, n’hésitez pas à la sauter si vous ne comprenez pas. Retenez cependant cela : malgré HTTPS (et TLS en général), il est possible de savoir quel site vous vouliez plausiblement visiter même s’il ne sera pas possible de savoir ce qui se dit entre ce site et votre machine par la suite (grâce au chiffrement).

Quand une session TLS s’établit, il y a un handshake qui permet de négocier certains paramètres et de générer les clefs de chiffrement à utiliser. Le client indique en clair le nom du serveur qu’il souhaite atteindre4. C’est le SNI: Server Name Indication. Or, ce SNI est en clair et il n’est pas vraiment possible de faire autrement5.

Regardons l’exemple d’un handshake TLS entre moi et un site Web proposant le HTTPS dans un outil d’analyse réseau (tel qu’un acteur malveillant pourrait utiliser) :

# tcpdump port 443 -v -A -n
12:26:08.645713 IP (tos 0x0, ttl 64, id 34468, offset 0, flags [DF], proto TCP (6), length 569)
    10.8.42.54.38008 > 92.243.7.44.https: Flags [P.], cksum 0x75f3 (correct), seq 1:518, ack 1, win 502, options [nop,nop,TS val 1257528485 ecr 550319964], length 517
E..9..@.@.A.
..6\..,.x........T.....u......
J.\. .7\............ v!.....x.d~.v.d...$......./z.. .;......o..K.c..........N.."Q....".......+./.....,.0.
.   ........./.5.............zestedesavoir.com..........
.............................h2.http/1.1..........3.k.i... fG....y...@..E..Z...E....0..K).....A.Qb....f<.
..'.^#K.....,`...e.>..v..b..P..8..f.y..".c;R.....$.!...+................................-........@....L.............................................................................).K.&. ..r..N6....;.....g..".......T.6}..X..! .D....w.o.O....(.$.$.j....Xs./O.

Regardez bien et apercevez ce zestedesavoir.com en plein milieu. Même si les données qui suivront seront parfaitement chiffrées et inexploitables, ce hadnshake permet quand même aux acteurs (FAI et utilisateur du réseau partagé) de savoir que je vais sur https://zestedesavoir.com/.

Ici, un VPN empêcherait que ce SNI soit visible par votre FAI. En effet, tout le trafic passant par le tunnel chiffré, même ce qui est en clair (dont le SNI) serait protégé. Néanmoins, le même avertissement que tout à l’heure s’applique encore : à la fin du tunnel, ce SNI est en clair à nouveau quand il sort du serveur du fournisseur VPN (et le fournisseur du VPN peut le voir, ce SNI).

Première conclusion

Le VPN peut effectivement protéger vos données vis-a-vis de votre FAI et des autres utilisateurs d’un même réseau local. Y compris ce qui est en clair de base. Il permet, en plus de protéger les communications (ce que faisait déjà HTTPS), de se prémunir contre la surveillance du FAI qui ne peut pas savoir où le visiteur va pendant ses navigations.

Mais gardons ce qui suit à l’esprit :

  • les données sont livrées à elles-mêmes une fois sorties du tunnel VPN. Entre le serveur VPN et le serveur cible que vous voulez visiter, il y a encore un peu de route pendant laquelle des données (dont le SNI) peuvent être inspectées par des opérateurs que vous ne connaissez même pas (c’est le cas aussi sans utiliser de VPN) ;
  • le FAI ne saura pas quels sites vous visitez, certes. Mais le fournisseur du VPN, lui, pourra voir tout ce que le FAI aurait pu voir si vous n’utilisiez pas de VPN. Le fournisseur VPN voit le SNI et les requêtes DNS (si non chiffrées), il voit donc où vous allez et il peut prendre des notes comme l’aurait fait votre FAI ;
  • l’utilisation d’un VPN ne vous dispense pas d’utiliser des protocoles sécurisés tels que HTTPS, SMTPS ou encore IMAPS pour accéder à vos service. Si vous n’acceptez pas que votre FAI puisse lire vos secrets, alors vous ne devriez pas non plus laisser le fournisseur VPN les lire.

Vous avez donc échangé votre FAI contre votre fournisseur VPN. Les pouvoirs de surveillance que vous arrachez au FAI, vous les octroyez aussitôt au fournisseur VPN. Soyez donc bien conscients que vous gagnez au change que si le fournisseurs VPN peut être raisonnablement réputé plus sûr que votre FAI.

Le VPN vous rendrait anonyme

Cela est peu probable.

Il est vrai que, via un VPN, un site Web que vous visitez ne pourra pas connaître votre adresse IP originale, laquelle pourrait servir à vous identifier personnellement.

Mais le fait est que l’on n’a nullement besoin de connaître votre « vraie » adresse IP pour vous identifier. Il y a une panoplie de techniques plus moins simples pour cela : cookies, fingerprinting de votre navigateur ou tout bêtement le fait d’être connecté à vos services habituels pendant votre navigation avec les cookies tiers.

Si vous voulez être anonyme, le VPN ne sera pas la réponse technique adéquate de façon générale.

Le VPN protégerait contre les « hackers », les « brouteurs » et les sites malveillants

Nous venons de voir qu’un VPN pouvait éventuellement protéger la confidentialité vis-a-vis d’un FAI trop curieux. Mais la protection vis-a-vis des acteurs malveillants n’a pas été abordé

Dans le cas général, non hélas. Les attaques de ce genre reposent le plus souvent sur le Social Engineering. Un VPN n’est pas une réponse technique à ce genre de problèmes. De façon générale, il n’y a d’ailleurs pas de solution technique à cela.

Parmi les failles classiques et techniques pouvant impacter l’utilisateur pendant la navigation, citons la faille XSS ou la ré-utilisation de cookie via CSRF. L’utilisation d’un VPN ne changera ici rien au bon déroulement de l’exploitation de telles failles. Les contre-mesures existent mais se trouvent ailleurs.

Le VPN protégerait vos appareils

Non. Ce n’est tout simplement pas le travail d’un VPN. Votre appareil peut présenter une vulnérabilité exploitable indépendamment de l’utilisation d’un VPN.

Ironiquement, il est intéressant de noter qu’une machine connectée à un VPN augmente sa surface d’attaque : une interface réseau en plus, fût-elle virtuelle, c’est une porte d’entrée en plus sur votre machine. Prions pour qu’il n’y ait donc pas de compromission des serveurs de votre fournisseur VPN, ni de mauvais réglage de sa part.

Le VPN permettrait de se connecter avec l’adresse IP d’un autre pays

Oui, c’est vrai. Le VPN permet donc de contourner par exemple le géo-blocage ou la censure. Précisons néanmoins que de tels contournements peuvent parfois aller à l’encontre des CGU/CGV du service mettant en place ces mesures.

Ajoutons aussi à cela qu’il n’est pas spécialement difficile de différencier une connexion « réelle » d’une connexion utilisant un VPN ou un proxy. L’usage des VPN pourrait se populariser au point où les services de vidéo à la demande soient assez motivés pour le contrer. Si cela arrive, il faut rester conscience qu’elles pourront sans doute le faire sans grande difficulté (diverses astuces permettent de deviner de façon plus ou moins fiable cela).


  1. Plus précisément, un même broadcast domain émanant d’un switch qui interconnecte tous les appareil du LAN entre eux. La box fait ici office de switch.
  2. En supposant que l’implémentation soit correcte et que le certificat soit bien valide. Si votre navigateur vous alerte d’un problème de certificat invalide quand vous tentez de vous connectez à un sites en HTTPS alors que vous êtes sur un réseau partagé : N’ACCEPTEZ SURTOUT PAS.
  3. Et TLS en général. HTTPS n’est ni plus ni moins que HTTP sur TLS, et il en est de même pour les autres protocoles TCP. Pour plus d’informations et savoir comment rendre n’importe quel service TCP accessible sur une couche TLS, j’ai rédigé le billet suivant : HAProxy et tout devient TLS ! .
  4. C’est comme l’indication d’un vhost via le header Host en HTTP, mais dans le protocole TLS.
  5. Une alternative avait été proposée et vaguement implémentée : ESNI (Encrypted SNI) mais ça ne semble pas avoir pris. Soyons patients et attendons de voir ce que ECH (Encrypted Client Hello) nous réserve à l’avenir.

Annexe : les VPN en général

Nous n’avons parlé que des VPN racontés selon les influenceurs des réseau sociaux. Laissez-moi, à mon tour vous parler de la véritable puissance des vrais VPN ! :D

Si l’on s’en tient à une définition dérivée du nom VPN, on pourrait dire qu’il s’agit d’un dispositif permettant de créer un réseau de machines sans qu’il soit nécessaire pour autant de mettre en place une liaison physique (filaire ou sans-fil) entre eux. Ce qui nous servira de « câbles virtuels », ça sera une connexion déjà existante. La liaison est donc souvent logicielle (virtuelle). Pour réaliser cette prodigieuse chose, l’astuce est assez simple : encapsuler un protocole (IP ou Ethernet, typiquement) dans une couche transport reposant sur une liaison déjà existante.

Il est bien entendu possible de faire un VPN par dessus un autre VPN, et ainsi de suite. (attention, il y a un peu d'overhead, malgré tout)

Remarquez que je n’ai en aucun cas parlé de sécurité ici. Le chiffrement ou la sécurité en général n’est pas une caractéristique inhérente d’un VPN. Tant que vous fabriquez un réseau en vous appuyant sur un autre réseau sous-jacent, c’est déjà du VPN techniquement, qu’il y ait ou non du chiffrement (exemple : VXLAN, qu’il est alors possible de faire passer sur IPSec ou WireGuard si la sécurité est requise).

L’intérêt est souvent de faire un réseau privé étendu : avec un VPN, on peut faire comme si l’on avait un même réseau local sur plusieurs points séparés physiquement. Par réseau local, j’entends un même broadcast domain. OpenVPN (configuré en layer 2) et VXLAN le permettent, par exemple. Conceptuellement, c’est comme si vous aviez un swicth virtuel branchés à plusieurs serveurs qui seraient absolument n’importe où physiquement. Puissant, n’est-ce pas ?

Un autre intérêt serait de permettre d’avoir un réseau caché et privé, lequel ne pourrait être routé que parmi les machines autorisées. Cela est très utilisé en entreprise où les services internes seront accessibles via le VPN et pas au delà. En bonus, cela permet aussi à des employés d’accéder à ce réseau privé sans pour autant être physiquement sur les lieux. Pour le télétravail, c’est plutôt intéressant. Dans ce cas, c’est comme si le serveur VPN était un routeur virtuel entre les machines.

Enfin, il est tout à fait possible de faire le pont entre un réseau virtuel et un réseau physique. Cela est appelé un bridge et cela permet d’acheminer du trafic sur une connexion déjà existante s’il n’est pas possible de router ses adresses IP directement depuis une certaine localisation. Cette technique est assez utilisées chez des opérateurs Internet qui n’ont pas forcément d’infrastructure physique présente dans une zone, mais qui veulent quand même faire passer leur trafic IP.

À noter que les VPN commerciaux grand publics ne permettent pas tout cela en général. Vous voyez qu’il s’agit ici plutôt de techniques de réseaux. Il faut le faire vous-même ou alors souscrire à une offre professionnelle.

Si l’aventure des VPN vous tente, utilisez le code apt install wireguard ou apt install openvpn et bénéficier de votre propre infrastructure VPN dès à présent ! Sans engagement !


J’espère que cette revue technique des affirmations habituelles vous aidera à faire mieux la part des choses afin de déterminer vos besoins réels.

Ces contenus pourraient vous intéresser

20 commentaires

A propos de l’Annexe : les VPN en général,

Pour avoir travaillé dans ce domaine pendant de nombreuses années, je voudrais confirmer tout ce qui est écrit dans cette section, et fournir quelques compléments.
Al la différence des VPN pour les particuliers qui concernent le niveau3, il s’agit de transporter le niveau 2 de manière (plus ou moins) transparente.

Par exemple, on peut envisager de faire passer du DHCP ou du ARP, des trames avec des VLANs.
Ce modèle est typiquement pertinent en grande distribution, avec des terminaux de caisse légers entièrement gérés depuis un site central.

Dans le contexte d’un fournisseur de VPN d’entreprise, le fournisseur attribue de la bande passante et une adresse à chaque extrémité des tunnels du VPN d’entreprise. Cette maitrise des plans d’adressage créé une dépendance importante de l’entreprise face au fournisseur de VPN.

En particulier, l’accès à l’internet est réalisé via la souscription à un service d’accès propre au fournisseur. En complément, il peut gérer des listes blanches, des listes noires et des services de sécurisation plus sophistiqués pour mitiger des attaques potentielles.

Du côté de l’entreprise, le gestionnaire du réseau peut ainsi rendre compte de la bande passante consommée et la justifier. Il peut aussi interdire ou moduler l’accès par exemple aux réseaux sociaux, aux fournisseurs de streaming, de messagerie, de contenus sensibles, etc.

+0 -0

Du côté de l’entreprise, le gestionnaire du réseau peut ainsi rendre compte de la bande passante consommée et la justifier. Il peut aussi interdire ou moduler l’accès par exemple aux réseaux sociaux, aux fournisseurs de streaming, de messagerie, de contenus sensibles, etc.

etherpin

Comment ? Je veux dire, aujourd’hui avec https, le dns sécurisé, une fois que l’on sort du navigateur, vpn ou pas tout ce traffic est de toute façon chiffré, donc comment le filtrer ?

+0 -0

En bloquant les IPs des services associés je suppose. La passerelle d’un VPN étant souvent unique, elle est facile à contrôler.

+0 -0

Du côté de l’entreprise, le gestionnaire du réseau peut ainsi rendre compte de la bande passante consommée et la justifier. Il peut aussi interdire ou moduler l’accès par exemple aux réseaux sociaux, aux fournisseurs de streaming, de messagerie, de contenus sensibles, etc.

etherpin

Comment ? Je veux dire, aujourd’hui avec https, le dns sécurisé, une fois que l’on sort du navigateur, vpn ou pas tout ce traffic est de toute façon chiffré, donc comment le filtrer ?

La source

J’étais spécialisé dans les switches à la frontière du réseau. De ce fait, je ne connais pas les détails techniques liés aux fonction du niveau service. Je sais juste que ce sont des options de filtrage sont demandées et vendues.
Une partie des façons de faire sont des informations confidentielles. On ne va pas expliquer aux pirates ou même aux bricoleurs comment on procède.
De mémoire, la gestion des PC (y compris les mises à jour) était strictement contrôlée. On ne pouvait pas non plus installer n’importe quoi.

+0 -0

Ces solutions pour entreprises s’appuient souvent sur une configuration précise (avec installation d’autres logiciels et paramétrage qui va bien…)

DNS que les usagers ne peuvent changer et qui permettent de savoir les sites auxquels on tente d’accéder ; navigation qui passe par un proxy qui fait plus que cela en devenant un véritable espion au milieu avec substitution des certificats ; et autres joyeusetés

+0 -0

Qu’est-ce que tu entends par « Ces solutions pour entreprises » ?

SpaceFox

Pardon, c’est par rapport à la discussion sur

A la différence des VPN pour les particuliers […] Dans le contexte d’un fournisseur de VPN d’entreprise, […]

etherpin

Ce que je voulais pointer plus précisément, c’est que lorsque votre employeur dit installer un VPN sur le poste de travail, ça va un peu plus loin que le logiciel pour établir un tunnel et s’inscrit dans un ensemble pour le contrôle de la machine (ne serait pour la gestion des mises à jour et suivi de flotte etc.) et de ce qui passe sur le réseau de l’entreprise (et là, ça peut aller plus loin qu’on le pense malgré l’usage de https…)

+0 -0

Ce que je voulais pointer plus précisément, c’est que lorsque votre employeur dit installer un VPN sur le poste de travail, ça va un peu plus loin que le logiciel pour établir un tunnel et s’inscrit dans un ensemble pour le contrôle de la machine (ne serait pour la gestion des mises à jour et suivi de flotte etc.) et de ce qui passe sur le réseau de l’entreprise (et là, ça peut aller plus loin qu’on le pense malgré l’usage de https…)

Gil Cot

Pas forcément, non, ça peut juste être un VPN pour accéder aux ressources internes de l’entreprise (accès aux serveurs par exemple). Ça ne demande d’ailleurs pas à ce que tout le trafic passe par ce tunnel, seulement celui qui pointe vers ces ressources.

Ce que je voulais pointer plus précisément, c’est que lorsque votre employeur dit installer un VPN sur le poste de travail, ça va un peu plus loin que le logiciel pour établir un tunnel et s’inscrit dans un ensemble pour le contrôle de la machine (ne serait pour la gestion des mises à jour et suivi de flotte etc.) et de ce qui passe sur le réseau de l’entreprise (et là, ça peut aller plus loin qu’on le pense malgré l’usage de https…)

Gil Cot

Ce VPN est une solution pour le télétravail, où il est nécessaire d’accéder aux intranets de l’entreprise.
A un moment, j’utilisais ainsi un VPN dont la sécurité était assurée par un petit générateur de clefs valables 3 minutes. Il fallait entrer l’ID du boîtier et la clé affichée sur un petit écran LCD. Ainsi, l’entreprise pouvait éventuellement interdire l’accès en cas de vol du poste de travail et de la clé.
Dans le locaux de l’entreprise, ce VPN n’était pas nécessaire, car tout le trafic était contrôlé au niveau des équipements de sécurité du site (listes noires, filtrage des protocoles etc) avec bien entendu des journaux (qui consulte quoi).

+0 -0

Est-ce que Tor est plus sûr qu’un VPN en termes d’anonymat? :ninja: Le problème principal de Tor semble résider dans le fait que ses IP se font vite bannir. Est-ce que les IP des VPN sont plus "propres" ou ont-elles tendance à mal vieillir?

J’essaie de peser l’intérêt d’investir dans un VPN, qui est sans doute plus flexible et rapide qu’un réseau comme Tor. Même s’il est possible de restreindre la géolocalisation de Tor manuellement en éditant le fichier torc, pour par exemple accéder à des contenus réservés à certaines zones géographiques, j’imagine qu’un abonnement VPN propose ce type de switch géographique. Désolé pour toutes ces questions. Merci pour un article qui résume bien les "faiblesses" des VPN en termes de protection de la vie privée! :)

Un VPN a souvent une IP sortant fixe, puisqu’hébergé sur un serveur, donc c’est souvent plus simple à bloquer. Et les gros fournisseurs de VPN sont souvent rapidement repérés par certains services comme Netflix & co.

Le réseau Tor fait passer le trafic par plusieurs nœuds, avec une IP sortante qui change régulièrement, donc c’est plus compliqué à repérer pour un hébergeur. Mais ça implique généralement plus de latence, et des outils dédies (comme un navigateur différent).

Après l’anonymat reste de toute façon limité sur Internet : du moment que tu utilises un compte quelque part, tout peut être logué et enregistré sur le service en question, peu importe le réseau par lequel tu passes.

Le réseau Tor fait passer le trafic par plusieurs nœuds, avec une IP sortante qui change régulièrement, donc c’est plus compliqué à repérer pour un hébergeur. Mais ça implique généralement plus de latence, et des outils dédies (comme un navigateur différent).

L’ensemble des nœuds Tor sortant sont connus, comme ceux de l’ensemble des fournisseur de VPN.

Un nouveau mets toujours un peu de temps avant d’être découvert mais il le sera rapidement.

La liste de tous les nœuds Tor

+1 -0

Ah non, non. Tor n’est pas du Web P2P, c’est une surcouche applicative de chiffrement en 3 sauts (le nombre de sauts est un compromis temps / sécurité). Être un nœud de sortie a des implications légales fortes.

Sur le réseau Tor, un nœud de sorti est quelque chose de très dur à mettre en place. J’avais lu le chiffre de 4 ans (largement surestimé à ce que je vois puisque leur blog parle de 2 à 3 mois) d’historique de nœud routeur avant de devenir nœud de sortie publique (on peut bien-sûr faire un réseau Tor privé). J’avoue que j’aimerais avoir un détail chiffre plus précis.

Cela s’explique par le fait que c’est le nœud où le chiffrement s’arrête. Et dont ce nœud est capable de lire les informations qui circulent (ce n’est pas si grave car elles sont généralement chiffrées, mais avec des protocoles non sécurisés ou même HTTP/3 en 0-RTT par exemple, c’est effectivement un problème).

+2 -0

Être un nœud de sortie a des implications légales fortes.

J’avais longtemps un nœud intermédiaire Tor chez moi – j’ai arrêté en perdant mon accès fibre –, mais surtout pas un nœud de sortie. Déjà, à l’époque la documentation disait explicitement :

Si vous voulez créer un nœud de sortie TOR, déclarez-le auprès de la gendarmerie ou des autorités du même style pour éviter d’avoir la maréchaussée qui vous rends visite à 6 h du matin à la première détection par celles-ci d’un accès manifestement illégal à travers votre connexion.

Parce que le nœud de sortie, c’est aussi le nœud avec le quel vont être faite plein de connexions qui passent par TOR, du point de vue des services utilisés.

Ça implique aussi que l’adresse sera bannie de beaucoup de services. Par exemple, l’édition Wikipédia.

J’avoue que j’aimerais avoir un détail chiffre plus précis.

Il n’y en a pas, par conception. D’une part, ça évite les attaques trop faciles. Aussi, le temps est « celui d’avoir prouvé que le nœud est stable et pérenne », selon les éventuelles coupures, ça peut prendre plus ou moins de temps.

J’avais signalé quelques fautes dans cet article.

Première conclusion

Le VPN peut effectivement protéger vos données vis-a-vis

vis-à-vis.


Annexe : les VPN en général

À noter que les VPN commerciaux grand publics ne permettent pas tout cela en général. Vous voyez qu’il s’ait ici plutôt de techniques de réseaux.


Mise en garde technique

🥁 Aabu↩

J’ai trouvé la private-joke légèrement déplacée car peu compréhensible pour les personnes qui ne sont pas sur le Discord officiel.


Le VPN permettrait de ne pas savoir où vous allez

Cela pourrait devenir la norme et des efforts semblent être faits dans ce sens, mais ce n’est pas la norme en 2021.

(Au sujet de DoT & DoH)

Il me semble que c’est la norme désormais en 2023. En tout cas, sur Firefox, c’est par défaut. Les autres navigateurs le supportent tous, je ne sais pas s’ils l’ont activé par défaut.

Voilà, je le note publiquement histoire que ça ne tombe pas aux oubliettes.

+1 -0

Je n’utilise qu’un seul VPN, celui de mon entreprise. Pour mon usage perso, j’ai jamais compris le réel intérêt des VPN grand-public (et je suis radin :D). Quelques réflexes élémentaires pour les données sensibles me suffisent. Passer par un VPN pour se connecter à son compte gmail c’est trop drôle, il faudrait peut-être commencer par utiliser une messagerie plus éthique !

Bref c’est pas le sujet. J’ai des connaissances limitées sur le sujet, cet article remplit son objectif et permet d’avoir des éléments pour se faire une idée. Merci !

Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte