questions diverses sur le VPN

[tony]

bonjour,
je me renseigne sur l'opportunité d'utiliser un VPN pour améliorer la sécurité de la navigation sur le net et il y a plusieurs questions auxquelles je n'arrive pas à répondre..

1- Tout d'abord celle-ci: lu sur le site https://nordvpn.com/fr/blog/vpn-ou-https/ :

Par ailleurs, le HTTPS n’est pas la réponse si vous cherchez comment vous protéger sur les réseaux wifi publics non-sécurisés.

pourtant https code l'information, e.g un mot de passe, un identifiant etc... Un point d'accès wifi public ne fait que transporter cette information qui reste codée, donc protégée. Certes elle peut être facilement interceptée mais sous forme cryptée. Où se trouve la vulnérabilité de ce mode de transmission? Est-ce le cryptage utilisé qui n'est pas suffisamment performant?

2- où se trouve la partie "virtuelle" du VPN?

3- le client, mon pc, va se connecter à travers un tunnel à un serveur situé à .....? et l'utiliser comme une sorte de relai. Le wiki distingue 2 parties lors de l'installation sur mon pc : la partie clent, mon pc, et la partie serveur qui s'installe elle aussi sur mon pc... enfin je suppose. À quoi sert cette partie "serveur" de openvpn, le serveur étant non-local? Je n'ai trouvé aucune explication claire à ce sujet.

[piratebab]

Bonjour,
il faut tout d'abord comprendre que Nord VPn essaie à tout pris de faire culpabiliser les internautes pour qu'il achètent leur produit. Ce qu'ils disent n'est pas faux, mais est présenté de façon a créer le doute, et donc l'achat.
Pour répondre à tes questions
1; oui, en https, l'information entre le client et le serveur est chiffrée et ne peux étre lue par un tiers. attention toutefois. Certains proxie https vont toutefois décoder l'information, puis la réencode pour la faire suivre
(ils se font passer pour le serveur légitime auprès du client)
2: l'utilisation primaire d'un VPN, c'est d'étendre virtuellement un LAN via un réseau intermédiaire non sécurisé. Par exemple si tu possédes 2 LAN sur 2 site différents, tu les relies via un VPN, et il ne seront vu que comme un seul LAN
3: je ne comprends pas non plus pourquoi tu dois installer un serveur

L'utilisation d'un service tel que Nord Vpn ne garanti aucunement la sécurité de la navigation (si le serveur que tu joins est vérolé et infecte ton ordinateur, Nord VPN n'y peut rien). Il ne garanti pas non plus l'anonymat. Avec le fingerprinting, les GAFAM savent parfaitement qui tu es, et quel ordinateur tu utilises.
Défini ton besoin, et tu verras si ce type de solution y répond.

[tony]

l'avantage que je voyais à l'utilisation d'un VPN:
1- sécuriser toutes les connexions sur internet , y compris celles utilisant le protocole http. Ces dernières ne sont pas très nombreuses mais il m'arrive régulièrement d'en rencontrer
2- ajouter une couche de protection supplémentaire aux connexions https, les plus "sensibles".

De plus il y a l'anonymisation de l'IP qui ne doit pas être une mauvaise chose je suppose. Mais quelle protection réelle apporte-telle=? De toute façon j'ai déjà un proxy, Squid, associé à Firefox.

ps: à propos de la partie serveur dont parle le wiki, ne serait-elle pas là pour, par exemple, une entreprise qui voudrait avoir un serveur privé afin que ses employés sur différents sites de travail ou à leur domicile puissent s'y connecter et accèdent ainsi à leur réseau interne en toute sécurité?

[piratebab]

1: la connexion en http restera non chiffrée entre le serveur NorVPN et le serveur final, donc tout aussi vulnérable
2: comme expliqué, un VPN type nord VPN n'apporte aucune protection supplémentaire. De tout façon, la partie entre le serveur nord VPN et le serveur final reste en https .
Comme je te l'ai expliqué, ça fait longtemps que l'adresse IP n'est plus utilisée pour identifier une machine, ou un utilisateur.
Les arguments de Nord VPN (et autre fournisseur) sont purement marqueting, et sont là pour créer un pseudo besoin complètement inutile.
Si ton besoin était de faire croire à un serveur que tu te connectes depuis un autre pays, OK, Nord VPN serait utile (contournement de censure ou de politique d'utilisation). et encore, autant louer un serveur virtuel et se faire son propre serveur VPN (ou utiliser TOR)..
Mais pas pour le besoin que tu cites

[tony]

conclusion: je n'ai pas besoin d'un VPN. J'envisageais openvpn en fait, proposé par Debian, côté client et quad9 côté serveur, ou équivalent.

merci pour ces précisions.

[piratebab]

J'utilise un VPN. J'ai un serveur à la maison (dans mon routeur, derrière la box), et des clients sur mes machine nomades. Lorsque je ne suis pas chez moi, j'ai accès à toutes les machines de mon LAN comme si j'étais à la maison.

[zargos]

Le VPN est un moyen de se connecter à distance sur un environnement local comme si on était connecté en local.
C'est à l'origine la fonctionnalité du VPN et rien d'autre.
Fonctionnellement, on peut donc utiliser cette particularité pour créer une machine intermédiaire, qui servira de "réseau local" à partir duquel on peut sortir sur internet; ayant ainsi au passage l'IP de ce site intermédiaire.
le site destinataire des requête ne pourra pas déterminer l'adresse d'origine de votre connexion.
Mais le site du VPN pourra tracer à loisir votre adresse d'origine ainsi que toutes les requête que vous aurez adressé!!!

Le principe est simple, le site VPN peut utiliser un proxy qui va enregistrer toutes vos données échangées, il pourra enregistrer les requêtes DNS, pour savoir quels site/pages vous visitez.

Et pour le HTTPS il pourra mettre en place un proxy papillon (un nom qui était en usage il y a plus de 20 ans).

Ce type de proxy est simple, c'est un double proxy. le premier fait l'interface avec vous et génère le flux https entre vous et le proxy.
Le deuxième fait l'interface avec internet, c'est donc lui qui génère les flux HTTPS avec le site distant.
Entre les deux proxy les flux sont déchiffrés et permette de voir TOUT ce qui passe.

En clair, même avec un VPN vous n'êtes pas anonyme, à la rigueur vis à vis du site distant, mais du propriétaire du VPN.

Et Tor a été infiltré depuis bien longtemps.

Le seul moyen c'est d'avoir ses propres systèmes, donc la fonctionnalité VPN/Proxy est cachée. Et encore, si vous utilisé des machines virtuelle chez un prestataire quelconque, il pourra tracer les flux entrant/sortant. (un simple ntop-ng suffira pour ce type de trace).

Sinon, le seul moyen c'est d'avoir des systèmes entièrement chiffrés, avec des clefs entièrement contrôlées, et avec de l'offuscation à tous les niveaux.

Et c'est très difficile à faire.

en clair, l'anonymat total sur internet n'existe pas à moi d’être anonymement connecté, ce qui est difficile.

[lol]

Hello,

Comme dans Mr Robot...
C'est possible d'être anonyme, et "pas si compliqué"... Mais pas les fesses au chaud à la maison...
ll faut se connecter dans des lieux publics (Cyber, Cafés... Sans caméras!) avec des système live type Tails, et ne JAMAIS se reconnecter au même endroit...

[zargos]

Pour le reconnecté jamais, c'est possible si on maîtrise le paramétrage de son adresse mac, l'imei coté téléphone (par exemple pour le mien l'IMEI n'est pas accessible quelque soit l'application), la conf dhcp (faut un flush pour nettoyer les ancien leases car le client va essayer de reconnecter avec les même paramètres qu'il a déjà eu), etc...

En gros pas facile si on est pas expérimenté avec le sujet :)

[Blanco]

Je déterre :

un VPN communautaire, gratuit, sympa car rapide : Riseup-vpn → https://riseup.net/fr/vpn

[zargos]

Je déterre :

un VPN communautaire, gratuit, sympa car rapide : Riseup-vpn → https://riseup.net/fr/vpn

Sauf audit clair, aucun n'est probablement meilleurs qu'un autre. Ne reste juste que le prix afférant qui peut être un critère.
Mais vu le peu d'info fiable sur le site, tu peux tout aussi bien confier ton trafic à une équipe russe de désinformation et de piratage qu'à n'importe qui d'autre.

C'est justement le problème avec les VPN. Rien actuellement, à moins d'être directement impliqué dans la mise en place et l'infrastructure du VPN ne permet d'en déterminer la fiabilité et les objectifs.

En clair les seuls VPN utilisable sont ceux que tu gères et que tu possèdes, tous les autres sont suspects.

[Blanco]

Le credo de riseup :

Les buts de Riseup

Le collectif Riseup est un organisme autonome basé à Seattle avec des membres dans le monde entier. Notre but est d'aider à la création d'une société libre, un monde avec l'insouciance et la liberté d'expression, un monde sans oppression ou hiérarchie, où le pouvoir est partagé de manière égalitaire. Nous réalisons ceci en fournissant la communication et des ressources informatiques aux alliéEs engagéEs dans les luttes contre le capitalisme et les autres formes d'oppression.

Nous valorisons, soutenons et nous engageons dans des luttes pour la libération humaine, le traitement éthique des animaux et la durabilité écologique. Nous joignons le combat pour la liberté et l'autodétermination de tous les groupes opprimés. Nous nous opposons à toutes les formes de préjugé, d'autoritarisme et d'avant-gardisme.

Nous nous organisons sur la base de l'autonomie, l'aide mutuelle, le partage de ressources, la connaissance participative, le plaidoyer social, le travail contre les oppressions, la création communautaire et la sécurisation des communications.

Nous travaillons à créer la révolution et une société libre dans le présent en construisant l'infrastructure de communication alternative conçue pour nous opposer et remplacer le système dominant.

Nous promouvons la propriété collective et le contrôle démocratique des informations, des idées, de la technologie et des moyens de communication.

Nous encourageons les organisations et individuEs à utiliser la technologie dans les luttes pour leur libération. Nous travaillons pour soutenir chacunE à surmonter l'oppression systémique incorporée dans l'utilisation et le développement des technologies.

https://riseup.net/fr/about-us

[piratebab]

Les promesses n'engagent que ceux qui les croient ...
De plus

organisme autonome basé à Seattle

, donc de droit américain ou les données persoenelles ne sont pas personelles, mais sont de simples marchandises.
Zargos à parfaitement raison. Si on a besoin d'un VPN pour un usage un peu sensible, il faut le gérer soit même.
Si c'est pour obtenir un billet d'avion moins cher car le prix dépends de la localisation de la connexion, n'importe lequel fait l'affaire du moment qu'on peux choisir la localisation du serveur de sortie.

[Blanco]

Autant ne pas choisir un VPN commercial qui demande de donner ses codes de carte bancaire.

[zargos]

Autant ne pas choisir un VPN commercial qui demande de donner ses codes de carte bancaire.

Donc n'utiliser que sa propre architecture VPN personnelle.

[Blanco]

Et on fait comment ?

[zargos]

Et on fait comment ?

Tout dépend de ce que tu veux faire.
Si c'est pour accéder à tes systèmes, il te suffit d'installer un serveur en frontal internet.

Si c'est pour l'anonymat, c'est plus difficile, car tout dépend de l'utilisation
- Sécuriser ta navigation, ça ne sert à rien, car même avec un VPN, tu ne peux déterminer ce qui se passe à l'autre bout de la ligne: le serveur distant. Tu peux tomber sur un honeypot, un man in the middle qui va espionner tes flux avec un proxy papillon.
- Si pour être anonyme quand tu vas sur un site, vis à vis du site, le VPN peut être utile. Mais n'oublies jamais que tu n'est jamais anonyme vis à vis du serveur VPN (tu as toujours un compte, un paiement le cas échéant, et lui voit ton IP source). Quand à TOR, il faut savoir qu'il est très largement compromis par des agences gouvernementales, et probablement des entités plus délinquantes.
- si tu veux te connecter en anonyme le seul moyen c'est:

• Te connecter sur des accès publics (on laisse de coté des accès piratés)

• Ne jamais se connecter deux fois d'affilé sur le même accès

• utiliser des adresses MAC différentes/aléatoires à chaque fois

• Si tu utilises ton téléphone, n'utilise que le wifi, jamais les datas activées

• Toujours avec un téléphone, utilises un téléphone qui permet de masquer toutes formes de traçabilités et qui peut masquer son IMEI, ce qui élimine la quasi totalité des smartphones du marché sauf des smartphones sécurisés (oublies /e/OS), GrapheneOS est un système qui permet ces fonctionnalités

• Choisi autant que possible une position où tu ne peux être identifié par une caméra

• N'oublie pas que la protection de la vie privée n'implique pas l'anonymat

• N'utilise jamais aucun identifiant, car par définition (c'est dans le mot) tu es identifié

• Utilise pour un PC des systèmes durcis comme QubeOS pour ne pas laisser de traces, y compris dans les logs, les caches etc.. (un cache peut se récupérer avec des outils de récupération de données)

La liste n'est pas exhaustive, et toujours garder à l'esprit: quelle est l'utilité par rapport au risque et aux ressources nécessaire pour le faire. Une paranoïa excessive peut t'amener à passer ton temps à mettre en place des usines à gaz au détriment de ta vrai vie.

[piratebab]

Pour en revenir à la question initiale: comment gérer son propre VPN ?
Il faut louer un serveur (dédié ou mutualisé) chez un hébergeur, et installer une debian qui fera proxy VPN, et tu chiffres la connexion entre ta machine et ton serveur hébergé.
Ce n'est pas parfait, ça dépend de l'hébergeur, des lois du pays ou le serveur est hébergé, mais c'est un bon compromis entre efficacité et complexité.

[Blanco]

Ok merci de ces infos.

[tony]

Jusqu'à présent je n'ai jamais voulu utiliser mon portable en dehors de chez moi à cause des risques présentés par les réseaux Wifi publics. Je viens de voir que Mozilla propose un VPN:
VPN

Le schéma serait donc:

Code : Tout sélectionner

appli Mozilla sur le PC > réseau wifi > serveur VPN [sur une liste établie par]² Mozilla > internet (https) > retour PC.

Dans ce cas la partie la plus sensible serait sécurisée par Mozilla, qui me semble digne de confiance. Pour l'instant ils n'ont que du Ubuntu en magasin, mais si ça rencontre un besoin ça risque de s'étoffer je pense.

ps: [ ]² = correction qui invalide en grande partie le "sécurisée par Mozilla".