FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Aujourd’hui — 2 décembre 2022Flux principal

Paramount+ a une parade contre les VPN : il ne fonctionne qu’en Europe

2 décembre 2022 à 11:38

Le nouveau service de streaming Paramount+ a un comportement très étrange : il ne permet pas de se connecter avec son identifiant français dans tous les pays. Paramount+ explique « n'assurer la portabilité que dans les pays européens ».  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

À partir d’avant-hierFlux principal

Cyber Monday : il ne vous reste plus que quelques heures pour profiter des services de NordVPN à prix réduit [Sponso]

28 novembre 2022 à 08:21

Cet article a été réalisé en collaboration avec NordVPN

Si vous avez manqué l’offre du Black Friday de NordVPN, il n’est pas encore trop tard. Le fournisseur de VPN prolonge ses offres pour toute la durée du Cyber Monday et vous propose son écosystème de cybersécurité avec des réductions allant jusqu’à 68 %.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Cet article a été réalisé en collaboration avec NordVPN

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Offrez-vous un VPN à 1 € par mois ! Prix garanti : 5 ans !

25 novembre 2022 à 00:01
Par : Fx
ivacy offre BF vignette 300x225 - Offrez-vous un VPN à 1 € par mois ! Prix garanti : 5 ans !Ivacy VPN se veut un service orienté liberté sur Internet. C’est pourquoi la société propose de nombreuses fonctionnalités pour donner aux internautes les moyens d’agir à cet égard. Ils peuvent ainsi débloquer l’accès à certains contenus, éviter la surveillance et contourner la censure en toute simplicité. Et pour le Black Friday, le prix des abonnements Ivacy VPN chutent… Ivacy VPN Ivacy VPN existe depuis 2007 et propose l’accès à plus de 5700 serveurs dans plus de 100 pays différents. Ivacy […]

Surfshark Nexus, une nouveauté de plus pour l’excellent VPN

14 novembre 2022 à 08:27
Par : Korben

Surfshark Logo

— Article en partenariat avec Surfshark

Ce n’est pas la première (ni la dernière) fois que je fais un article pour vous parler de Surfshark VPN sur mon site. Mais si c’est le cas, c’est qu’il y a de nombreuses bonnes raisons de le faire. Régulièrement cités parmi les services VPN les plus fiables, ils sont aussi plutôt novateurs et proposent des options qui deviennent régulièrement des standards. L’une des dernières en date étant l’innovation Nexus.

Exclusivité Surfshark, Nexus permet de connecter l’ensemble du parc de serveurs (+ de 3200) en un seul réseau qui couvre quasiment la planète entière. Le premier bénéfice étant de rendre votre connexion plus stable et rapide. Finis d’être connecté à un serveur unique dont les performances vont être dégradées s’il est surchargé. Par effet cascade le second avantage est donc d’améliorer votre confidentialité. Puisque les informations transitent via plusieurs serveurs, cela fragmente la surveillance possible et renforce donc votre protection. Cette nouveauté sera déployée totalement d’ici fin 2023.

Surfshark Nexus

En attendant vous bénéficiez toujours des fonctionnalités déjà présentes :

  • chiffrement de bout en bout (algo AES 256 GCM)
  • utilisation de protocoles sécurisés (WireGuard, IKv2/IPsec …)
  • mode camouflage (cache à votre FAI que vous utilisez un VPN)
  • bouton kill switch (empêche vos données de fuiter lors d’une déconnexion sauvage)
  • le split tunneling
  • la protection lorsque vous vous connectez à un Wi-Fi public
  • rotation d’IP (sans déconnexion)
  • pas de conservations des logs
  • blocage des pubs, cookies et autres malwares
  • etc.

D’autres nouveautés sont encore prévues dans les prochains mois, parce qu’on peut toujours faire mieux. Comme par exemple la génération automatique d’une nouvelle adresse IP pour chaque site que vous visitez (sans devoir déconnecter/reconnecter l’outil). Si la fonction MultiHop est déjà disponible (elle permet de mettre un serveur supplémentaire entre vous et le site auquel vous vous connectez), elle disposera bientôt d’une option pour l’automatiser dans certains cas.

Exemple de MultiHop automatique

Vous voulez tester le service pour pas cher ? Il est encore temps de profiter de l’offre Black Friday 2022 ! Cette dernière dure jusqu’au 27 novembre et vous permet de ne payer que 2.05 € par mois (en prenant l’abonnement 2 ans + 2 mois offert). Pour 26 mois cela ne vous reviendra même pas à 54€ au total, hors TVA, soit 84% de rabais. Ce qui fait toujours bien plaisir en pleine période d’inflation. Un prix quasi imbattable pour un VPN de ce calibre.

Si vous êtes du genre à passer pas mal de commandes sur différents e-commerces, vous pourrez récupérer cette somme assez facilement. Comme vous le savez, les prix de certains produits, des billets d’avions ou de trains, d’un service de location … sont parfois dépendants de votre lieu de connexion. Avec Surfshark il suffit de tester depuis différents pays pour comparer les tarifs et prendre le plus intéressant pour vous. Et avec des serveurs dans plus de 100 localisations, il y a de quoi faire des tests et des comparaisons (sortez votre tableur Excel ;)).

Vous pouvez même partager le prix de l’abonnement avec plusieurs membres de la famille puisque le nombre d’appareils supportés est illimité ! Votre enfant n’a que 8 ans ? Pas d’excuses, il faut lui apprendre les dures réalités économiques. S’il veut continuer à regarder Adibou ou Pokémon, faut raquer ;p. Alors que d’autres solutions vont (parfois) jusqu’à 10 ou 12 appareils, Surfshark vous permet de protéger absolument tout et tout le monde. L’ordinateur fixe, les 2 laptops, les 4 téléphones portables, la console de salon, le routeur et les équipements de la maison (Smart TV & Co) … tout sera pris en charge.

Et surtout, en plus d’être très abordable, Surfshark est un VPN parmi les plus fiables actuellement sur le marché. On ne compte plus les distinctions et prix qu’ils ont reçus ces 2 dernières années. Si vous n’êtes pas encore convaincu, profitez de l’essai gratuit de 7 jours (sur Android, iOS et macOS).

Découvrir Surfshark VPN

Qu’est-ce qu’un kill switch ?

6 novembre 2022 à 16:55

Le kill switch est un bouton d’arrêt d’urgence. Dans les VPN, il ajoute une deuxième couche de protection de l’utilisateur, assurant que son adresse IP ne soit jamais visible, même si la connexion du VPN venait à faillir.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Qu’est-ce qu’un kill switch ?

6 novembre 2022 à 16:55

Le kill switch est un bouton d’arrêt d’urgence. Dans les VPN, il ajoute une deuxième couche de protection de l’utilisateur, assurant que son adresse IP ne soit jamais visible, même si la connexion du VPN venait à faillir.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Bon plan : Surfshark à quasi 2 €/mois pour le Black Friday 2022

28 octobre 2022 à 09:11
Par : Korben

Surfshark VPN

— En partenariat avec Surfshark

Depuis le temps vous devez savoir ce qu’est le Black Friday non ? La grande messe commerciale qui se tient le lendemain de Thanksgiving aux USA et durant laquelle les commerçants de tous poils font des rabais assez imposants. Très logiquement ces « soldes » avant l’heure se sont propagées au web et sont souvent l’occasion pour les boites Tech de proposer des tarifs intéressants, avec en tête de liste les VPNs. Cette année la promo Black Friday de Surfshark a lieu du 27 octobre au 27 novembre 2022.

Interface Surfshark

Surfshark, partenaire de longue date de korben.info (merci à eux !), ne déroge pas à la règle et vous propose chaque année des prix vraiment bluffants et qui valent le détour. Cette année par exemple vous pourrez bénéficier d’un tarif de 2.05 $ par mois (soit environ 2.05 €) sur un abonnement de 2 ans (24 mois) avec 2 mois offerts.

Je n’ai aucun mal à vous recommander Surfshark en tant que solution VPN à utiliser. Pas parce qu’ils sont partenaires, mais parce que la boite est l’une des plus sérieuses depuis son lancement en 2018. Et ne prenez pas mon avis comme argent comptant, je ne suis pas le seul à le dire. Encore dernièrement ils ont par exemple été récompensés lors de la 6e CyberSecurity Breakthrough Awards grâce à leur solution Nexus, reconnue comme étant la meilleure solution VPN du marché.

Surfshark Black Friday 2022

Toute la boite à outils pour protéger votre vie privée en ligne est bien entendu toujours présente. On ne change pas des fondations solides qui ont fait leurs preuves. Cela inclus de : 

  • cacher votre adresse IP (+ rotation régulière)
  • ne pas conserver de traces de votre activité en ligne
  • contourner la censure et les contenus géolimités
  • chiffrer vos informations de bout en bout (algo AES-256-GCM)
  • protection de votre identité
  • bloquer les publicités, cookies & co
  • se protéger des logiciels malveillants
  • protéger vos connexions sur les Wi-Fi publics
  • fonctionnalité Bypasser (leur fonction de split tunneling)

Toutes les fonctionnalités classiques sont de la partie. Et parmi les dernières nouveautés du service, on note qu’ils ont dorénavant un parc de plus de 3200 serveurs répartis dans plus de 100 pays différents ! Les nouveaux pays sont le Ghana, l’Arabie Saoudite et Puerto Rico.

L’interface pour Linux (souvent le parent pauvre des OS) a récemment été retravaillée pour plus de lisibilité et voit l’ajout d’un bouton Kill Switch plutôt pratique. Le mode camouflage est, lui aussi, toujours de la partie. Pour rappel c’est un mode assez sympa qui permet de cacher même à votre fournisseur d’accès Internet que vous utiliser un VPN.

Surfshark dans 100 pays
source : blog Surfshark

Cerise sur la tarte le nombre d’appareils qui peuvent être connectés sur un compte est … illimité. Ordinateur fixe/portable, téléphones perso et pro, téléviseur intelligent, Google Home ou Alexa, routeur … tout est couvert ! Que ces appareils tournent sur Windows, Linux, macOS, Android, iOS, s’utilisent via un navigateur web ou via une console (Xbox ou PlayStation) n’est pas un souci.

Mais si vous voulez jeter un oeil du côté des options payantes (et facultatives) il y a aussi de quoi faire. Un moteur de recherche (Surfshark Search) qui vous permet d’obtenir des résultats non traqués et impartiaux (pas des résultats faussés par votre historique et vos recherches précédentes). Un système de surveillance (Surfshark Alerts) qui permet d’être alerté si certaines de vos informations personnelles sont divulguées. Ou encore un antivirus (plus de détails dans mon article Antivirus Surfshark). Le pack des 3 est dispo pour 1.5€/mois.

Bon à savoir : le prix affiché est de 2.22 $ (ou 2.25 €), mais au paiement ce sera ramené vers le bas autour de 2.05 € (selon le taux de change du jour, pas merci à l’€ de se faire défoncer depuis quelques mois). Peut-être pas forcément le meilleur moment, mais le paiement par crypto est toujours présent.

Dans tous les cas, vous pouvez y aller sans sourciller de l’arcade. Moins de 64 € pour être protégé durant 2 ans ? … par une des références du domaine en termes de sécu ? … et pour toute la famille ? À part une dinde et des marrons, je ne vois pas ce qu’ils pourraient faire de plus 😉

Notez que si vous souhaitez également profiter du pack VPN + Antivirus + Alert + Search, ça vous coutera un peu plus de 110 € pour 2 ans avec la promo de -84%.

Profiter du Black Friday 2022 avec Surfshark

Debian 11 et OpenVPN : comment créer son propre serveur VPN ?

24 octobre 2022 à 10:00

I. Présentation

Dans ce tutoriel, nous allons apprendre à configurer un serveur VPN sous Debian 11 avec OpenVPN, dans l'objectif de créer un serveur VPN sur lequel on va s'appuyer pour naviguer sur Internet. Ce tutoriel est idéal si vous souhaitez mettre en place votre propre serveur VPN, sur un serveur VPS dans le Cloud chez OVHcloud ou autre... Ainsi, une machine cliente à distance pourra se connecter au serveur OpenVPN pour accéder à Internet en exploitant la connexion du serveur OpenVPN, mais aussi à l'infrastructure distante, que ce soit le serveur VPN en lui-même, ou un autre serveur du même réseau. En effet, ce principe repose sur la mise en place d'un VPN "client-to-site".

Pour rappel, VPN signifie Virtual Private Network et l'objectif d'un VPN est simple : le VPN va créer un lien virtuel entre deux points, par exemple entre deux réseaux d'entreprise (VPN site à site), ou entre un PC client et un réseau d'entreprise (VPN client à site). Au sein de ce lien, que l'on appelle un tunnel, les données seront chiffrées et isolées du reste du trafic, c'est là tout l'intérêt du VPN et cette notion de "privé". De nos jours, les VPN pour un usage personnel sont très populaires pour contourner la censure, masquer sa navigation sur Internet, etc.

Pour mettre en place un serveur VPN basé sur OpenVPN, il y a différentes solutions : s'appuyer sur un pare-feu comme Pfsense, utiliser une machine Linux, utiliser une machine Windows, etc... Aujourd'hui, on s'intéresse à la mise en œuvre sur une machine Linux, en l'occurrence sous Debian 11.

Voici quelques informations sur l'infrastructure du jour :

Debian 11 Serveur OpenVPN

Il y a plusieurs architectures possibles, notamment :

  • Le serveur OpenVPN dispose d'une adresse IP publique (cas d'un VPS) donc on se connecte en direct sur son adresse IP publique
  • Le serveur OpenVPN est masqué derrière un routeur / un pare-feu, et donc derrière un NAT. Résultat, on se connecte sur l'adresse IP publique de l'équipement (routeur/pare-feu) et grâce à une règle de redirection de port, on se connecte à notre VPN - Je suis dans ce cas, dans le cadre de cette démo

Une fois connecté au VPN à partir du client VPN, tout le trafic de la machine passe par le VPN et sort par la connexion Internet du serveur OpenVPN.

II. Installation d'OpenVPN Server sur Debian 11

Nous pourrions configurer le serveur OpenVPN manuellement, et pas à pas sur notre serveur Debian 11. Toutefois, nous allons utiliser un script d'installation qui va permettre de déployer un serveur VPN très facilement et rapidement. Ce script, compatible Debian, Rocky Linux, Fedora, Ubuntu, etc... est disponible sur GitHub : vous pouvez réviser son code à volonté.

En quoi consiste cette installation ? Ce script est très pratique, mais que va-t-il faire sur la machine ?

  • Sur une machine Debian, il va installer les paquets suivants : openvpn, iptables, openssl, wget, ca-certificates, curl, unbound
  • Configurer OpenVPN via le fichier de configuration : /etc/openvpn/server.conf
  • Configurer IPtables sur le serveur pour autoriser les flux
  • Activer le routage sur le serveur VPN ("sysctl net.ipv4.ip_forward = 1" dans /etc/sysctl.d/99-openvpn.conf)

Au-delà d'installer OpenVPN Server, le script va s'appuyer sur une PKI locale pour générer un certificat indispensable au bon fonctionnement du VPN.

Avant de commencer, veillez à ce que votre serveur VPN soit bien connecté à Internet et qu'il dispose d'une adresse IP fixe.

A. Télécharger le script d'installation

Connectez-vous sur votre futur serveur VPN, et commencez par mettre à jour le cache des paquets. On en profite aussi pour installer cURL.

sudo apt-get update
sudo apt-get install curl

Ensuite, téléchargez le script d'installation avec cURL :

curl -O https://raw.githubusercontent.com/Angristan/openvpn-install/master/openvpn-install.sh

Dès que le script est téléchargé, vous devez ajouter des droits d'exécution afin de pouvoir l'exécuter par la suite :

chmod +x openvpn-install.sh

Ensuite, exécutez le script pour commencer la configuration pas à pas d'OpenVPN Server :

sudo ./openvpn-install.sh

B. Configurer le VPN

Le message "Welcome ton the OpenVPN installer!" s'affiche et les étapes de configuration vont s'enchaîner. Tout d'abord, il faut indiquer l'adresse IPv4 du serveur VPN, mais la bonne nouvelle, c'est qu'elle remonte automatiquement. S'il s'agit de l'adresse IP locale, cela signifie qu'il y a un NAT et dans ce cas, c'est logique. Sinon, l'adresse IP publique de votre serveur, par exemple de votre serveur VPS, s'affichera ici. Ici, le script remonte bien "192.168.100.51" Validez.

Serveur OpenVPN - Debian 11 - Script d'installation - Etape 1

D'ailleurs, le script détecte la présence du NAT et indique l'adresse IP publique. Il suffit de valider, à moins que vous souhaitiez préciser un nom de domaine spécifique ou corriger l'information remontée par le script (qui s'appuie sur cURL pour récupérer votre IP publique).

Serveur OpenVPN - Debian 11 - Script d'installation - Etape 2

Il est demandé si vous souhaitez activer le support IPv6, vous pouvez indiquer "n" pour refuser.

  • What port do you want OpenVPN to listen to?

Ensuite, il faut choisir le port sur lequel va écouter le serveur VPN. Par défaut, c'est le port 1194, mais je vous recommande d'utiliser un port personnalisé pour masquer votre VPN (vous pouvez utiliser un port utilisé par un autre protocole (exemple : 443/HTTPS) pour passer plus facilement au travers de certains pare-feu).

Pour définir un port personnalisé, indiquez "2" puis indiquez le numéro de port. Par exemple "44912" dans mon exemple.

  • What protocol do you want OpenVPN to use ?

OpenVPN est plus rapide avec le protocole de transport UDP, et d'ailleurs c'est son mode de fonctionnement par défaut. Je vous encourage à rester sur UDP, sauf si vous chercher à passer au travers d'un pare-feu : si vous utilisez le port 443, il est plus cohérent d'utiliser le TCP pour faire comme le HTTPS !

  • What DNS resolvers do you want to use with the VPN ?

Une fois connecté au VPN, quel serveur VPN voulez-vous utiliser pour la résolution de noms. Vous pouvez choisir un serveur personnalisé avec le choix 13, ou en choisir un dans la liste en indiquant son numéro.

Serveur OpenVPN - Debian 11 - Script d'installation - Etape 3

Voilà pour la première série de questions. Passons à la suite.

  • Do you want to use compression ?

Le script nous recommande de ne pas utiliser la compression, car elle est exploitée par les attaques VORACLE. Indiquez "n" et validez.

  • Customize encryption settings ?

Le script est déjà préconfiguré pour utiliser certains paramètres pour le chiffrement du tunnel VPN et sa sécurité dans son ensemble. Vous avez la possibilité de définir vos propres paramètres en indiquant "y", sinon il suffit de faire "n".

Serveur OpenVPN - Debian 11 - Script d'installation - Etape 4

Ci-dessous, voici les différentes options proposées (ainsi que les choix recommandés et correspondants à la configuration automatique) pour ceux qui décident de personnaliser les options de chiffrement.

Serveur OpenVPN - Debian 11 - Script d'installation - Etape 5

La première partie de l'interrogatoire est terminé ! Jusqu'à présent, le script n'a pas encore modifié la machine locale. Par contre, à ce moment précis si vous appuyez sur la touche "Entrée" (ou une autre touche), l'installation du serveur OpenVPN débutera. 

Serveur OpenVPN - Debian 11 - Script d'installation - Etape 6

C. Création d'un premier client

Suite à la configuration du serveur VPN, l'installation via le script se poursuit avec la création d'un premier client VPN. Indiquez le nom du PC qui va utiliser le VPN (histoire de s'y retrouver), par exemple "pc-flo". Ensuite, la question "Do you want to protect the configuration file with a password?" s'affiche, indiquez "2" pour oui afin de définir un mot de passe qui sera nécessaire pour établir la connexion VPN.

Serveur OpenVPN - Debian 11 - Script d'installation - Etape 7

Ceci va générer un fichier de configuration OVPN dans le profil de l'utilisateur en cours d'utilisation. Ici, je suis connecté en tant que root alors la configuration est générée dans "/root/". D'un point de vue du serveur VPN, l'ajout de ce client va générer  deux fichiers :

  • Le certificat du client dans /etc/openvpn/easy-rsa/pki/issued/<nom du client>.crt
  • La clé privée du client dans /etc/openvpn/easy-rsa/pki/private/<nom du client>.key

Note : à tout moment, vous pouvez modifier la configuration de votre serveur OpenVPN en modifiant le fichier de config : /etc/openvpn/server.conf

D. Ajouter un nouveau client OpenVPN

À tout moment, vous pouvez ajouter un nouveau client pur que chaque machine qui se connecte dispose de son propre certificat. Que ce soit pour ajouter ou supprimer un nouveau client, il suffit de réexécuter le script et de faire le choix "1".

sudo ./openvpn-install.sh

OpenVPN - Ajouter un nouvel utilisateur

E. En mode NAT : la règle de redirection de ports

En mode NAT, c'est-à-dire avec un serveur VPN connecté derrière un routeur/pare-feu où le NAT est activé, vous allez devoir créer une règle de redirection de port. Sinon, les flux à destination de votre adresse IP publique sur le port 44912 ne seront pas redirigés vers le serveur VPN.

Ainsi, sur mon pare-feu, je crée une règle pour rediriger les flux UDP/44912 à destination de mon adresse IP publique à destination du serveur VPN (192.168.100.51).

Serveur OpenVPN - Debian 11 - Script d'installation - Etape 8

III. Tester la connexion VPN

Le fichier de configuration généré précédemment (/root/pc-flo.ovpn) dans le profil de l'utilisateur doit être transféré sur l'ordinateur qui doit se connecter au VPN. Si vous êtes sur Windows, vous pouvez utiliser WinSCP ou SCP, et sous Linux vous pouvez utiliser SCP.

A. Sur Windows

Sur Windows, il faudra installer OpenVPN GUI ou OpenVPN Connect. Personnellement, j'utilise OpenVPN GUI donc je dois copier-coller le fichier OVPN dans le répertoire suivant :

C:\Program Files\OpenVPN\config

Ainsi, dans mon client VPN, je vois bien ma nouvelle connexion VPN apparaître qui reprend pour nom celui du fichier OVPN :

OpenVPN - Connexion au VPN avec le serveur Debian

En cliquant sur "Connecter", je dois saisir le mot de passe associé au client "PC-FLO" afin de m'authentifier à l'aide de mon certificat.

Une fois connecté, je peux accéder en SSH à mon serveur Debian 11 grâce à son adresse IP locale, à savoir "192.168.100.51". Je peux également accéder aux autres serveurs de mon infrastructure distante. Si j'accède à Internet, je passe par mon VPN et j'utilise donc la connexion Internet de mon serveur VPN !

Côté Windows, en regardant la configuration IP de ma machine, je vois que le tunnel VPN fonctionne sur le réseau "10.8.0.0/24" puisque je dispose de l'adresse IP "10.8.0.2/24". Ce sous-réseau est définit dans le fichier "/etc/openvpn/server.conf" du serveur VPN via la ligne "server 10.8.0.0 255.255.255.0". Au niveau des serveurs DNS, ce sont bien ceux de Cloudflare qui sont définis (1.0.0.1 et 1.1.1.1) et que j'avais choisis lors de la configuration initiale.

OpenVPN - Configurer un serveur sous Debian - Connexion depuis Windows

B. Sur Linux

Si votre poste client, qui doit utiliser le VPN, est sous Linux, vous pouvez installer OpenVPN via cette commande :

sudo apt-get install openvpn

Ensuite, le fichier de configuration OVPN devra être déposé à cet emplacement :

/etc/openvpn/client/

Pour déclencher une connexion basée sur ce fichier de configuration, il suffira de faire :

openvpn --client --config /etc/openvpn/client/pc-flo.ovpn

C. Les journaux sur le serveur VPN

La connexion du poste client est visible dans les journaux du serveur VPN, en exécutant la commande ci-dessous.

journalctl --identifier ovpn-server

Par exemple, lors de la connexion depuis mon poste client sous Windows, les journaux suivants sont visibles :

SRV-DEB-1 ovpn-server[436393]: MULTI: multi_init called, r=256 v=256
SRV-DEB-1 ovpn-server[436393]: IFCONFIG POOL IPv4: base=10.8.0.2 size=252
SRV-DEB-1 ovpn-server[436393]: IFCONFIG POOL LIST
SRV-DEB-1 ovpn-server[436393]: Initialization Sequence Completed
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 TLS: Initial packet from [AF_INET]89.87.49.50:53471, sid=eb971c1d a6a6884b
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 VERIFY OK: depth=1, CN=cn_uIEY50Oeg1zhnla8
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 VERIFY OK: depth=0, CN=pc-flo
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 peer info: IV_VER=2.5.6
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 peer info: IV_PLAT=win
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 peer info: IV_PROTO=6
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 peer info: IV_NCP=2
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 peer info: IV_CIPHERS=AES-256-GCM:AES-128-GCM
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 peer info: IV_LZ4=1
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 peer info: IV_LZ4v2=1
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 peer info: IV_LZO=1
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 peer info: IV_COMP_STUB=1
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 peer info: IV_COMP_STUBv2=1
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 peer info: IV_TCPNL=1
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 peer info: IV_GUI_VER=OpenVPN_GUI_11
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 peer info: IV_SSO=openurl,crtext
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 256 bit EC, curve: prime256v1
SRV-DEB-1 ovpn-server[436393]: <IP du serveur VPN>:53471 [pc-flo] Peer Connection Initiated with [AF_INET]<IP publique du PC Client>:53471

En complément, vous pouvez visualiser les règles IPtables avec la commande ci-dessous :

iptables -t nat -L -n -v

Cette commande doit vous permettre de voir que la chaîne POSTROUTING contient cette ligne :

 2200 971K MASQUERADE all -- * ens192 10.8.0.0/24 0.0.0.0/0

Une ligne indispensable pour que les flux du VPN soient correctement routés et acheminés.

IV. Conclusion

Ce tutoriel touche à sa fin : nous venons de voir une manière simple de mettre en place un serveur OpenVPN sous Debian 11 à l'aide de ce superbe script d'installation. J'ai pris le temps de vous expliquer ce que faisait le script pour que vous puissiez comprendre ce que vous faites, en même temps. Sachez qu'il existe de nombreuses configurations possibles pour la mise en place d'un VPN avec OpenVPN.

Pour mettre en place un VPN permettant de se connecter à une infrastructure complète, je vous recommande de le mettre en place sur votre pare-feu afin de pouvoir gérer les flux directement à ce niveau-là. Ce sera plus facile pour autoriser uniquement certains protocoles dans le tunnel VPN ou pour autoriser les flux uniquement vers certains hôtes. Par contre, pour un VPN que vous utilisez à usage personnel, pour contourner la censure par exemple, cette solution est idéale.

L'article Debian 11 et OpenVPN : comment créer son propre serveur VPN ? est disponible sur IT-Connect : IT-Connect.

VPN sur iPhone et iPad : le système laisse fuiter des données en dehors du tunnel

17 octobre 2022 à 15:21

Des chercheurs en sécurité ont mis en lumière un problème de sécurité sur iOS 16 qui affecte les VPN sur iPhone. Ce problème de longue date n'est toujours pas corrigé par Apple ! C'est une mauvaise nouvelle, car cela signifie que le VPN peut laisser fuiter des informations en dehors du tunnel sécurisé en lui-même !

Apple effectue régulièrement des efforts pour améliorer la sécurité d'iOS, son système pour mobile. On peut citer par exemple la protection "Isolement " lancée par Apple en juillet 2022 dans le but de protéger les utilisateurs des logiciels espions. Une fonction qui n'a pas d'impact sur la partie VPN, mais qui montre qu'Apple fait des efforts en la matière. En effet, que le mode Isolement soit actif ou non, cela ne permet pas de sécuriser le tunnel VPN (c'est plutôt l'effet inverse).

À ce jour, les problèmes de sécurité liés aux tunnels VPN restent présents ! Les chercheurs en sécurité Tommy Mysk et Talal Haj Bakry sont là pour nous le rappeler, avec une nouvelle démonstration. Lorsque le tunnel VPN est initialisé, les connexions existantes ne sont pas réinitialisées, ce qui signifie que ces connexions continuent d'envoyer du trafic en dehors du tunnel VPN. Le flux en dehors du tunnel VPN peut être non chiffré, ce qui le rend vulnérable à certaines attaques, mais aussi à une éventuelle surveillance...

Toujours d'après ces deux chercheurs en sécurité, le mode Isolement a un effet néfaste et il empire la situation ! Lorsqu'il est activé, le trafic en provenance des notifications est envoyé en dehors du tunnel VPN, ce qui n'est pas le cas lorsque le mode Isolement est désactivé. En complément, lorsqu'un VPN est actif, l'appareil continue de communiquer avec les services d'Apple sans utiliser le VPN. C'est notamment le cas avec les applications Cartes, Plans, Santé, Apple Wallet ou encore l'Apple Store.

Update: The Lockdown Mode leaks more traffic outside the VPN tunnel than the "normal" mode. It also sends push notification traffic outside the VPN tunnel. This is weird for an extreme protection mode.
Here is a screenshot of the traffic (VPN and Kill Switch enabled) #iOS pic.twitter.com/25zIFT4EFa

— Mysk 🇨🇦🇩🇪 (@mysk_co) October 13, 2022

Ce problème de sécurité affecte le système pour iPhone, à savoir iOS, ainsi que le système pour les tablettes iPad, à savoir iPadOS. Toutefois, elle ne semble pas nouvelle, car on en parle depuis iOS 13.3.1 disponible depuis janvier 2020 !

Pour le moment, Apple n'a pas communiqué à ce sujet. Quoi qu'il en soit, le VPN sur iPhone et iPad, c'est à éviter !

Source

The post VPN sur iPhone et iPad : le système laisse fuiter des données en dehors du tunnel first appeared on IT-Connect.

Qu’est-ce qu’un VPN ?

16 octobre 2022 à 16:54

Littéralement, un VPN est un réseau privé virtuel (virtual private network). Il s’agit d’un système étanche, qui permet à deux ordinateurs de communiquer entre eux. Les données qu’ils s’échangent sont isolées du reste de l’internet -- la création d'un « tunnel » chiffré par lequel passent les informations échangées.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Gérer son VPN WireGuard facilement avec Firezone

12 octobre 2022 à 15:06

I. Présentation

Dans le monde des VPN nomades Open Source, OpenVPN s'est tapé la part du lion pendant de nombreuses années. Mais c'était sans compter sur Jason Donenfeld qui développa le protocole WireGuard. Celui-ci propose de plus grandes performances, un code moins lourd et une facilité d'administration, quoi de mieux?

Ce protocole est donc en pleine expansion, Free l'a d'ailleurs implémenté directement dans ses box de dernière génération.

Cela dit, la configuration en ligne de commande peut en rebuter certains, donc pour faciliter encore plus la création et le maintien des tunnels, des aficionados ont eu la très bonne idée de packager WireGuard avec une WebUI pour en faire un soft "user friendly" et utilisable de suite.

De plus, ils y ont ajouté la possibilité d'utiliser un fournisseur SSO compatible OpenID (Google, Azure AD, par exemple) et une gestion facilitée de nftables (attention, pour trafic sortant uniquement!)

Dans ce tutoriel, nous allons donc voir comment installer Firezone et créer nos tunnels VPN.

II. Installation de Firezone

Firezone est disponible sur Github ou sur leur site officiel. Il est compatible avec beaucoup de distributions Linux  vous trouverez donc forcément celle qui vous convient. L'installation se fait simplement en une ligne, les développeurs proposant un script d'installation prêt à l'emploi.

Pour ma part, je vais faire cette installation sur Ubuntu server 22.04, mais vous pouvez prendre n'importe quelle distribution de la liste ci-dessus.

Tout d'abord, les prérequis :

  • Les développeurs conseillent de démarrer avec 1 vCPU et 1 Go de RAM, et d'augmenter ces ressources en fonction du nombre d'utilisateurs.
  • Si vous déployez Firezone en production, il vous faudra un enregistrement DNS ainsi qu'un certificat, il est possible bien sûr d'en installer un de chez Let's Encrypt.
  • Enfin, il vous faudra ouvrir les ports 443 pour la WebUI et 51820 en UDP pour les tunnels.

Bien, passons maintenant à l'installation. Premièrement, on se connecte en SSH et on en profite pour mettre à jour les paquets :

sudo apt update && sudo apt upgrade -y

Maintenant que cela est fait, passons à l'installation à proprement parlé :

sudo -E bash -c "$(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh)"

Vous risquez d'voir une question :

WireGuard kernel module found, but not loaded. Load it now? (Y/n):

Bien entendu, il faut répondre oui ici.

Viennent ensuite les questions de personnalisation :

  • Mail administrateur : rentrez le mail que vous souhaitez utiliser pour vous connecter à l'instance
  • Choisissez si vous souhaitez recevoir des mails de la part de l'équipe de Firezone

Il vous suffira de taper la touche "Entrée "pour lancer l'installation.

Note : vérifiez si vous avez un dossier nommé "cron.hourly" dans votre répertoire "/etc". Si ce n'est pas le cas, créez-le, car l'installateur ne le fera pas et affichera une erreur.

À la fin de l'installation, il vous affichera l'adresse publique de la machine, votre identifiant et votre mot de passe. Bien entendu, vous pouvez tout à fait vous connecter en local, c'est ce que j'ai fait sans problème.

III. Configuration de Firezone

Connectez-vous donc avec vos identifiants (pensez à les noter!!), vous arriverez sur le dashboard de la solution :

Comme vous pouvez le constater, il s'est occupé de nous créer un profil VPN. Celui-ci est immédiatement utilisable, mais pour l'exemple, nous allons en créer un autre.

Pour cela, rien de plus simple : il suffit de cliquer sur le bouton "Add User".

Créer un profil Firezone

Remplissez les informations, attention le mot de passe doit faire au minimum 12 caractères !

Une fois l'utilisateur créé, vous allez obtenir une page récapitulative. D'ici vous pourrez : réinitialiser le mot de passe de l'utilisateur, le désactiver, le promouvoir en admin ou encore le supprimer définitivement. Cela rend la gestion des utilisateurs beaucoup plus simple et intuitive !

Par contre, vous avez peut-être remarqué un bouton :

Ce dispositif permet de monitorer en temps réel qui est connecté et avec quoi. Sur la page de création du périphérique, nous allons pouvoir lui donner un nom, une description, mais également lui spécifier des adresses autorisées, des DNS, etc. À noter que l'assistant de création prend les réglages par défaut de Firezone, nous pouvons donc ici les modifier de manière spécifique pour un  client particulier.

Pour l'instant, laissons tout par défaut et validons.

Note : les développeurs de Firezone préconisent de laisser le client générer sa propre configuration, ceci pour que sa clé privée ne soit affichée que pour lui. L'utilisateur peut donc tout à fait enregistrer son périphérique en se connectant à l'interface.

Une fois la validation effectuée, nous avons la clé privée qui s'affiche, ainsi qu'un QR code et la possibilité de télécharger le fichier de configuration :

Configurer Wireguard avec Firezone

Je l'affiche ici, car je ne réutiliserai pas cette configuration, mais il va de soi que c'est personnel ! Pensez bien à tout récupérer, car il sera impossible d’afficher à nouveau cette page!

Donc là plusieurs solution, si le client l'a généré lui-même, il peut tout à fait scanner le QR code avec son smartphone par exemple, c'est ce que j'ai fait :

Maintenant, si ce n'est pas déjà fait, il faut ouvrir les ports dans votre Firewall et rediriger le trafic vers votre serveur Firezone. Je ne détaillerais pas la manipulation, car elle diffère selon les fournisseurs, je vous laisse donc vous rapprocher du manuel. Pour ma part, je ne compte pas manager les comptes à distance, je n'ouvre donc que le port consacré au trafic de Wireguard à savoir le 51820 en UDP.

Une fois les ports ouverts, nous pouvons tester. Si le tunnel monte, nous verrons apparaître la ligne correspondante dans la section "Devices" sur le serveur :

Ici, je vois donc qui est connecté, d'où et le débit utilisé.

Pour la connexion depuis un poste, l'utilisation du QR code n'étant pas possible, il faut télécharger le client Wireguard disponible ici.

Une fois téléchargé, importez le fichier de configuration précédemment généré puis cliquer sur "Activer" pour lancer le tunnel.

IV. Filtrage des flux

Lors de la création de notre utilisateur, nous avons laissé toutes les options par défaut.

Mais il est possible d'en affiner certaines, dont les adresses autorisées pour les clients. En effet, de base, un tunnel VPN crée une connexion de un vers tous, c'est-à-dire que tous les périphériques du réseau cible seront accessibles. Dans un environnement de production, ce n'est pas souhaitable, car cela peut représenter un risque de sécurité.

Imaginons donc que je ne souhaite rendre disponible que l'interface Web de Firezone et un serveur en RDP.

Sur l'interface de Firezone, cliquez sur "Rules". Leur application est très simple : Allow ou Deny. On peut spécifier une adresse, une plage d'adresse, le ou les utilisateurs concernés ainsi que le protocole de couche 4 et le port, de qui faire quelque chose de très fin!

Donc, commençons par la règle pour l’accès à la WebUI de Firezone :

Créer une règle Allowlist dans Firezone

Bien, maintenant passons à celle concernant le RDP sur le serveur :

Parfait, maintenant, si on teste, on est OK, on a bien accès aux services, mais qu'en est-il des autres services ? Exemple avec mon NAS :

Oups... Et oui, nous avons spécifié des adresses autorisées, mais aucune interdite! Comme je veux qu'aucune autre adresse ne soit atteignable via le tunnel, je renseigne la plage en entier en "Deny" :

Créer une règle Denylist dans Firezone

Bien sûr je spécifie tous les protocoles, comme ça, rien ne sera accessible à part ce que j'ai autorisé.

Si je vérifie maintenant, je n'ai plus accès à mon NAS :

Note : si votre Firezone est sur un hyperviseur, celui-ci restera atteignable, même si vous le spécifiez dans les adresses interdites. Cela est sûrement dû au fait du "partage" de la carte réseau, je n'ai pas encore creusé, mais sachez-le...

V. Split Tunneling

La manipulation précédente est dans le cas où vous souhaitez que tout le trafic des clients passe dans le tunnel, ce qui peut être une bonne chose si vous bénéficiez d'un UTM avec des fonctionnalités de sécurité avancées (Proxy DNS, filtrage web, etc). Par contre, vous souhaitez peut-être que vos clients n’accèdent qu'aux ressources spécifiées via VPN, mais utilisent leur propre connexion pour le reste (Internet par exemple) c'est ce qu'on appelle le split tunneling.

Pour le mettre en place, il faut modifier les adresses autorisées dans les paramètres du site, section "Defaults".

Note : toute modification dans cette section entraînera la nécessité de régénérer les configurations!

Nous allons donc spécifier les adresses accessibles via le tunnel, donc pour moi 192.168.1.34 et 192.168.1.55 :

Si jamais vos utilisateurs utilisent un nom de ressources, n'oubliez pas non plus de spécifier vos DNS internes, sans quoi ils ne pourront pas faire la résolution!

Maintenant que c'est fait, j'ai bien toujours accès à mes ressources, mais en revanche, si je vais sur whatsmyip.org, je constate que mon adresse publique est bien celle de l'endroit où je me trouve, et plus celle du serveur VPN ! Il s'agit donc bien d'un tunnel VPN en mode "split tunneling".

VI. Conclusion

Nous avons vu comment, de manière simple et "user friendly" configurer des tunnels VPN à destination de télétravailleurs ou travailleurs nomades, en utilisant la solution Wireguard au travers de Firezone.

Firezone est prometteur, car il démocratise l'utilisation de Wireguard, augmentant ainsi la sécurité des connexions.

En complément, vous trouverez la doc ici, elle est relativement complète (même si certaines parties mériteraient un peu plus d'explications...).

Pour aller plus loin, si vous ouvrez votre interface Web sur Internet, n'hésitez pas à sécuriser votre serveur avec Crowdsec : les tutos sont disponibles sur IT-Connect !

The post Gérer son VPN WireGuard facilement avec Firezone first appeared on IT-Connect.

Faut-il installer un VPN : Les pour et contre

11 octobre 2022 à 08:25

L’industrie du VPN a su se rendre indispensable grâce à un markéting efficace.
Pour beaucoup d’internautes, l’utilisation d’un VPN rend la connexion internet plus sûr.
Comme souvent, le discours marketing a tendance à exagérer.

Dans ce tutoriel, je vous donne les pour et les contre afin de se faire sa propre idée sur les VPN.
Le but est de répondre à la question suivante : faut-il installer un VPN ? avez-vous vraiment besoin d’un VPN ?

Faut-il installer un VPN

Qu’est-ce qu’un VPN

Un VPN est une solution technique qui permet de relier deux réseaux par un tunnel chiffré.
Le but est de relier deux réseaux de manière sécurisé.
Par exemple, un employé chez lui au réseau de son entreprise ou deux sites distincts.

Schéma d'un tunnel sécurisé à travers un VPN

Les solutions VPN proposées aux publics utilisent ces techniques en connectant leurs connexions internet aux serveurs final (Youtube, Facebook, etc) à travers un serveur VPN.
Ce dernier est censé masquer l’adresse IP pour “soit disant” plus d’anonymat et aussi “sécuriser” la connexion.

Les implications sont les suivantes :

  • Votre trafic internet passe par le serveur VPN
  • Les interrogations DNS sont gérés par le VPN
  • Un client VPN est installé sur votre appareil (avec toutes les implications)

Outre le discours markéting, c’est bien souvent un peu plus complexe que cela.

Faut-il installer un VPN : les pour et les contres

Masquer son adresse IP et anonymisation

Un des arguments principaux des VPN est de masquer son adresse IP pour “plus de continentalité”.
Cela est d’ailleurs mis en avant sur leurs sites en essayant de faire peur aux internautes.

Si l’utilisation d’un VPN est de masquer son adresse IP, cela n’a très peu d’intérêt.
Dans la plupart des cas, vous allez vous connecter à votre compte Google, Facebook ou autres sites.
Il en va de même sur Windows 10 ou Windows 11 où toutes les données, dont les requêtes Bing sont reliés à votre compte Microsoft.
Au final, que vous utilisiez ou non un VPN, votre profile numérique reste le même.

De plus, L’adresse IP n’est qu’un facteur parmi de nombreux autres techniques pour vous pister sur internet.
Pour rappel ce dossier complet sur le site : Le pistage sur internet

Pensez aussi que votre profile réelle est généralement associé à votre compte VPN.
Tout simplement parce que vous avez donné des informations bancaires pour souscrire à l’abonnement du VPN.
De ce fait, vous n’êtes pas anonymes.

De plus, les services VPN utilisent des hébergeurs qui peuvent eux collecter les connexions (dont votre adresse IP) dans leurs journaux.

VPN et anonymisation : les limites

Contourner la surveillance des FAI

Une autre argument qui peut être mis en avant pour vendre des VPN est contourner la surveillance des FAI.
Grâce au tunnel chiffré, les FAI ne peuvent pas voir votre activité sur la toile.
Cela est en partie vrai mais cela ne résout en rien la surveillance, puisque vous la déportez au niveau du VPN.
Ce dernier peut alors connaître toute votre activité sur la toile.
De plus, tout comme votre fournisseur d’accès internet, les serveurs VPN sont hébergés sur des réseaux surveillés par les autorités.

En réalité, cela est même pire avec un VPN car vous installez une application sur votre appareil.
A partir de là, tout est possible du point de vue de la collecte de données.

La question à se poser est : Préférez-vous être surveiller par votre FAI ou une entreprise inconnue ?

Regarder du streaming depuis l’étranger

Le VPN permet de délocaliser en quelque sort sa connexion internet puisque vous pouvez la faire passer par un serveur VPN n’importe où dans le monde.
A partir de là, on peut se connecter à un service de streaming, comme une chaîne de TV pour regarder des films, vidéos ou autres contenus.

Seulement, il est extrêmement simple de bloquer les VPN.
Donc en réalité, cela est beaucoup plus complexe et la plupart des services de streaming bloque les VPN.

Le VPN sécurise votre connexion internet

Là aussi, il y a de vrai et du faux.
Dans le cas classique, c’est à dire un PC domestique connecté à une box internet, cela ne sécurise pas plus la connexion.

Le seul cas véridique où le VPN sécurise la connexion est lorsque vous vous connectez depuis une connexion internet public.
En effet, un Wi-Fi public n’est pas sûr et un VPN aide à protéger votre trafic réseau.

Wi-Fi public : quel est le danger ?

Le VPN peut vous pister ou vous surveiller

Pour commencer comme tout logiciel, les VPN effectuent de la télémétrie en envoyant des données “anonymes”.
Par exemple ci-dessous CyberGhost effectue de la télémétrie à travers la société MixPanel.

CyberGhost enregistre des informations lors des connexions

Puisque tout votre trafic internet passe par les serveurs VPN, ce dernier peut en partie voire les sites visités.
Pas forcément l’URL complète mais au moins les domaines internet visités.

Mais les services VPN s’étendent et tentent de plus en plus à concurrencer les antivirus.
Des solutions de protections sont embarquées dans les clients VPN.

Par exemple la protection anti-menaces de NordVPN (non activé par défaut) effectue du MITM.
Elle installe un certificat d’autorité qui remplace celui des sites. Cela permet de connaître et modifier les sites HTTPS visités.

Certificat VPN dans la protection anti-menaces de NordVPN

De plus, la solution collecte et enregistre les sites visités, cela en partie grâce au client VPN installé sur votre appareil.

La protection Anti-Menaces de NordVPN collecte les sites visités

Ainsi, tout comme les antivirus, le client VPN permet de collecter beaucoup de données.

Conclusion : Dans quel cas installer un VPN ?

L’utilisation d’un VPN peut impliquer les éléments suivants :

  • Toute votre connexion internet passe par le service VPN
  • Le VPN peut vous pister car il peut connaître les domaines internet contactés ou les URL entières depuis le client
  • Un VPN peut altérer votre connexion internet. Par exemple, Hola VPN a été connu pour utiliser la connexion de ses utilisateurs à des fins malveillantes

Comme mentionné précédemment, dans le cas d’un PC de bureau connecté à une box internet, le VPN ne sécurise pas votre connexion internet.

Alors dans quel cas un VPN est réellement utile ?
Voici quelques raisons :

  • Accéder à du contenu géolocalisé, si le VPN n’est pas bloqué par le service
  • Contourner du blocage du Web au niveau des FAI ou certains surveillance. Certains peuvent l’utiliser pour pouvoir télécharger sur P2P sans être inquiété par Hadopi
  • Sécuriser une connexion internet publique / Wi-Fi public

Au final, une utilisation ponctuelle d’un VPN pour répondre à certains besoins peut s’avérer utile mais une utilisation quotidienne est plutôt déconseillée.

L’article Faut-il installer un VPN : Les pour et contre est apparu en premier sur malekal.com.

VPN et anonymisation : les limites

4 décembre 2018 à 18:11

Les services VPN promettent l’anonymisation en masquant votre adresse IP.
Comme c’est souvent le cas avec les services vendues, le discours marketing gonflent parfois la réalité.

Cet article tente d’expliquer les limites sur l’anonymat par ces services VPN.

VPN et anonymisation : les limites

Introduction au VPN

Le VPN à la base est un système qui permet de relier deux réseaux à travers un tunnel sécurisé.
Cela est notamment utile dans le cas d’une entreprise qui a des sites distants ou permettre à des employés de se connecter au réseau de l’entreprise depuis chez eux.

Des solutions sur internet proposent ces services pour masquer l’adresse IP.
Le principe était de rediriger l’intégralité du trafic internet ou à minima celui du WEB vers le serveur VPN.

Il faut donc bien comprendre que tout le trafic passe de votre FAI vers le serveur VPN pour terminer le serveur final (site WEB, serveur de jeux, etc).

Ce dernier sert d’intermédiaire et donc le serveur final ne voit que l’adresse IP du serveur.
Cela peut poser des problèmes de confidentialités.

Pour plus d’informations sur le fonctionnement, lire l’article suivant.

Anonymat vs Pseudonymat vs confidentialité

Il ne faut pas confondre ces deux aspects même si parfois ces aspects peuvent se recouper.

L’anonymat vise à vous masquer les informations personnelles.
Ainsi dans le cas d’un VPN le but premier est surtout de cacher votre adresse IP.

La confidentialité et protection de la vie privée cherche à vous protéger du pistage sur internet.
En effet, un VPN ne protège pas contre le pistage et tracking.
A moins que la solution soit pensée pour filtrer les serveurs utilisés pour pister.

Les limites de l’anonymat des VPN

Les VPN protègent de la surveillance sur internet ?

Dans l’article suivant, j’explique ce que les fournisseurs d’accès internet peuvent savoir de nous lorsque l’on se connecte à internet.

Est-ce que les VPN résolvent ce problème et protège mieux la vie privée ?

La réponse est non.
Comme expliqué en fin d’article, le VPN déporte juste la problématique de la vie privée des FAI sur le réseau du VPN.
En effet, le VPN peut savoir beaucoup de choses sur votre activité sur internet exactement comme c’est le cas du FAI.

De plus :

  • Vous ne savez pas grand chose des sociétés privées qui sont derrière les VPN. Certains sont dans des pays comme le Panama
  • Le réseau du VPN s’appuient sur différents services d’hosting qui peuvent avoir des politiques de vie privée différentes

Télémétrie et collecte de données

Dans l’exemple suivant, le service VPN indique qu’il protège des regards indiscrets et notamment celui de votre FAI.
Cela est vrai puisque le trafic vu par le FAI sera chiffrée et ne pourra pas savoir ce que vous faites, si le service VPN est bien configuré.
Toutefois, au final, vous ne faites que déplacer la problématique puisque le trafic passe par les serveurs.
Techniquement il est donc tout à fait possible que ce service soit capable de vous espionner.

Les limites de l'anonymat des VPN

Cela dépend de la politique du service VPN. Ce dernier pourrait très bien vous pister de manière anonyme pour effectuer de la publicité ciblée.

Vous déplacez votre non confiance envers votre FAI vers la confiance du fournisseur d’accès VPN.

A noter que le client VPN est une application qui tourne sur votre appareil qui peut collecter aussi des données anonymes lors des interactions avec le service VPN.
Là aussi c’est selon la politique du fournisseur de la solution.
Par exemple CyberGhost enregistre vos connexions et le pays source mais pas votre adresse IP.
De plus, il effectue de la télémétrie en envoyant des données “anonymes” via la société MixPanel.

CyberGhost enregistre des informations lors des connexions

HideMyAss lui stocke votre adresse IP, donc oui durant le surf et autre activité sur la toile, ces derniers ne verront pas votre adresse IP.
Mais le service VPN lui les stocke comme ce serait le cas durant le surf.

HideMyAss stocke les IP des utilisateurs
HideMyAss stocke les IP des utilisateurs

Enfin les fournisseur VPN promettent aucun enregistrement, logs et journaux.
Là aussi, il faut se méfier des annonces. Le FBI ayant arrête un utilisateur de PureVPN grâce à des journaux alors que ce dernier promet ne pas en avoir.

Arrestation d'un utilisateur PureVPN grâce à ces journaux
Arrestation d’un utilisateur PureVPN grâce à ces journaux

D’après une étude de thebestvpn 26, 26 sur 115 testés gardent des données collectées.
Voici la répartition des données collectées par type.

Données collectées par les VPN
Données collectées par les VPN

Bug de configuration et implémentation

Dans un autre article, nous avions expliqué que le bug WebRTC pouvait permettre de récupérer l’adresse IP réelle.

D’après une étude d’avril 2018 de VoidSec, 17 VPN sur 83 sont sensibles à cela et peuvent permettre de récupérer la vraie adresse IP.

bug Web RTC et leak de l'adresse IP réelle
bug Web RTC et leak de l’adresse IP réelle

Enfin, une étude de Migliano montre certaines solutions présentes sur Google Playstore contiennent des malwares.
5 VPN sur 27 sont sujets à la fuite de données DNS.

Fuites de DNS
Fuites de DNS

Les journaux des hébergeurs VPN

Un aspect qui est souvent oublié : les services VPN utilisent des hébergeurs et fournisseurs de serveurs.
Même si le service indique ne rien loguer, l’hébergeur lui logue les connexions effectuées vers ces plateformes.
Ce dernier peut notamment voir votre adresse IP source, celle de votre fournisseur d’accès et l’enregistrer dans un journal.

La vidéo suivante montre comment il est facile de récupérer les sites visités.

Il faut aussi penser que ces serveurs sont sous la loi du pays dans lequel ils résident.
Par exemple, un serveur aux USA sera soumis notamment aux lois américaines ainsi qu’à la surveillance de la NSA.

Le VPN ne protège pas du pistage

Le VPN ne protège pas du pistage et collecte de données effectuées par des sites internet.
Lorsque vous utilisez des services, vous vous connectez avec des comptes internet.
Il est donc tout à fait possible de collecter et associer des données à ce compte avec ou sans utilisation d’un VPN.

De plus, le navigateur WEB utilisé peut aussi envoyer des données.
C’est notamment le cas de Google Chrome qui permet aussi de pister les internautes.

Enfin, il existe toute sorte de technique pour pister les internautes sans avoir recours au stockage de l’adresse IP.
De nos jours, les internautes ont plusieurs points d’accès, associer des données à des adresses IP n’est donc pas fiable.
Pour pister, il vaut mieux donc tenter de reconnaître l’appareil avec lequel vous vous connectez.
Plusieurs techniques sont notamment utilisées :

La page suivante énumère la plupart de ces techniques :

Les arnaques avec les VPN gratuits

Il existe beaucoup de VPN gratuits pour Android ou sous la forme d’extension pour Chrome et Firefox.
Ces derniers sont souvent peu fiables et ne sécurisent pas la connexion VPN.
Parfois même on peut se poser des questions s’ils ne sont pas là pour voler des données.

A lire :

Une industrie qui pose question

Il y a très peu d’informations sur les sociétés derrières les VPN.
Mais on trouve toutes sortes de montages souvent pour de l’optimisation fiscales.
Mais certains CEO possèdent aussi des sociétés de datamining.
Cela pose question.

Au final, on trouve toujours les mêmes pays avec en tête : USA, Israel et Chine.

Les VPN et répartitions des éditeurs dans le monde

Enfin il y a d’autres aspects détaillés sur page :

Conclusion

Les systèmes VPN ne protègent pas entièrement du pistage sur internet et ne donnent pas non plus d’anonymat.
Ils permettent seulement de masquer son adresse IP et éventuellement de cacher l’activité aux fournisseurs d’accès.
Ces aspects sont détaillés sur la page : Adresse IP et confidentialité : localisation, informations
Toutefois, cette activité est reportée vers les fournisseurs de VPN auxquels il faut avoir entièrement confiance.

Enfin le choix est crucial puisque vous redirigez tout le trafic internet vers ce dernier qui peut récupérer des informations.
Parfois, le VPN conduit finalement à plus de collectes de données que de protection.

L’article VPN et anonymisation : les limites est apparu en premier sur malekal.com.

Proton VPN évacue aussi ses serveurs d’Inde à cause d’une loi sur les données

22 septembre 2022 à 16:37

protonvpn

Proton VPN annonce le retrait de ses serveurs d'Inde. Le service de VPN dénonce une loi qui exige une conservation très longue de nombreuses données personnelles.  [Lire la suite]

Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

Headscale – Une implémentation open source du serveur de contrôle de Tailscale

31 août 2022 à 09:00
Par : Korben

Vous vous souvenez de Tailscale ? Cet outil open source basé sur le VPN Wireguard permet à tout le monde de se créer un réseau sécurisé entre différents ordinateurs ou serveurs, voire même avec ses instances le cloud, sans avoir à se galérer avec des règles sur les firewalls et du routage.

Alors oui, je vous ai dit que c’était un outil open source, mais c’est inexact. Tout dans Tailscale est Open Source, à l’exception des interfaces clients pour les OS proprio (macOS, Windows, iOS) et du serveur de contrôle.

Alors c’est quoi le serveur de contrôle de Tailscale ? Et bien c’est un point d’échange des clés publiques Wireguard pour les nœuds du réseau Tailscale. Il attribue les adresses IP des clients, limite le périmètre de chaque utilisateur, autorise les utilisateurs à se partager des machines et surtout établit les routes entre les noeuds du réseau. C’est donc un élément essentiel qui est gardé sous verrou.

Mais c’était sans compte sur Juan Font et ses contributeurs qui ont mis au point Headscale, une implémentation open source et autohébergée du serveur de contrôle Tailscale.

Évidemment, Headscale en fait un peu moins que le serveur de contrôle officiel puisqu’il est limité à la gestion d’un seul réseau Tailscale, mais pour une simple entreprise ou un particulier, c’est largement suffisant.

Headscale est codé en Go et fonctionnera sur tous les OS (sauf iOS). Si cela vous intéresse, la page Github du projet se trouve ici.

Enjoy !

Firezone – Serveur VPN et pare-feu open-source performant et léger

31 août 2022 à 07:00
Par : EVOTk
webui 300x212 - Firezone - Serveur VPN et pare-feu open-source performant et légerDécouvert un peu par hasard, Firezone est un moyen simple de créer un serveur VPN WireGuard. Firezone est un projet open source permettant la mise en place d’un serveur VPN, d’un pare-feu ainsi qu’une interface Web de gestion en quelques minutes. Il est très complet et permet en quelques minutes de déployer un serveur Wireguard stable, performant et fonctionnel ! Fonctionnalités de Firezone 🚀 Rapide Le VPN WireGuard permet d’obtenir des performances jusqu’à 6x plus rapide qu’OpenVPN et on profite […]

Surfshark – 3 mois de VPN gratuits pour cette rentrée 2022

30 août 2022 à 10:37
Par : Korben

Surfshark

— Article rédigé en partenariat avec Surfshark —

En vacances comme lors de vos déplacements professionnels, pour protéger vos données personnelles et votre ordinateur, rien ne vaut un bon service VPN.

En effet, les Réseaux Privés Virtuels permettent de se connecter en faisant circuler votre surf Internet au travers de serveurs privés et sécurisés. Cela permet d’utiliser des réseaux wifi publics sans prise de risque.

Des services de VPN, il en existe de très nombreux, et l’une des références en la matière s’appelle Surfshark.

Toute la VOD

Alors évidemment, pour beaucoup de gens, un VPN ça permet d’abord d’accéder à du contenu VOD ou musical d’autres pays sans restrictions géographiques. Et c’est vrai puisque grâce à Surfshark qui n’est pas bloqué par Netflix, YouTube, Amazon, Spotify, vous aurez aussi bien accès à votre série préférée même en vacances à l’autre bout du monde qu’à l’ensemble des 15 catalogues Disney+, des 13 catalogues Amazon Prime Vidéo et des 37 catalogues Netflix depuis chez vous.

Génial pour voir des contenus qui normalement ne sont pas accessibles depuis votre emplacement géographique !

Sécurité et vie privée

Mais un VPN c’est bien plus que ça puisque ça apporte surtout de la sécurité et de l’anonymat. Déjà il faut savoir que Surfshark est disponible sous Windows, macOS et même Linux sans oublier les versions mobiles Android / iOS, ce qui est bien pratique puisqu’on peut ainsi utiliser son VPN sur l’ensemble de ses appareils sans surcoût.

Et niveau sécurité, il y a tout ce qu’il faut ! En effet, avec Surfshark l’ensemble de votre connexion Internet est chiffrée en AES-256-GCM et le protocole utilisé par défaut est IKEv2/IPsec mais vous pouvez également opter pour OpenVPN, WireGuard ou L2TP si vous préférez.

Surfshark propose également pour quelques euros de plus un antivirus certifié par Virus Bulletin (compatible macOS / Windows) et une fonctionnalité CleanWeb qui permet de bloquer tous les trackers et tentatives de phishing sans oublier un moteur de recherche sans pub ni tracking. Surfshark Alert vous permettra également de surveiller vos comptes en ligne pour savoir si des données ont fuité à cause d’un piratage et en être informé rapidement.

Un VPN innovant

Au niveau des fonctionnalités du VPN, Surfshark intègre le support IPv6 ainsi qu’une protection contre le leak DNS et d’autres fonctionnalités comme la connexion automatique, le kill switch (c’est-à-dire la coupure totale d’Internet en cas d’arrêt du VPN) et l’IP rotative qui permet de changer d’adresse IP automatiquement toutes les X minutes. Le MultiHop Dynamique permet également aux utilisateurs de choisir leurs propres emplacements d’entrée et de sortie VPN comme bon leur semble. Par exemple, se connecter au VPN via un emplacement X (Paris par exemple) et ressortir via un emplacement Y (aux États-Unis par exemple).

Si vous vous inquiétez de ce que pensera votre fournisseur d’accès Internet de l’utilisation d’un VPN, pas de stress puisque Surfshark fonctionne avec un mode camouflage ce qui l’empêche de savoir que vous utilisez un VPN.

Et au niveau des performances, sachez que vous ne serez pas déçu puisque les temps de latence (le ping) et les débits montants et descendants sont excellents. Votre utilisation d’Internet ne sera pas ralentie visiblement et vous pourrez faire transiter votre surf au travers de plus de 3200 serveurs répartis dans 95 pays.

Passer par un serveur tiers implique forcément une certaine latence, c’est pourquoi vous devez choisir votre prestataire VPN avec soin. Surfshark dispose de nombreux serveurs à travers le monde (+ 3200 répartis dans 95 pays) et offre un ping et des débits ascendants / descendants excellents, afin de ne pas ralentir votre surf.

En conclusion, Surfshark est un excellent service de VPN qui innove sans cesse et offre un excellent compromis entre accessibilité et performance. Vous ne serez pas déçu et votre sécurité et anonymat en ligne seront préservés.

La bonne nouvelle c’est que si vous prenez Surfshark pour 24 mois, vous obtiendrez 3 mois gratuits. Profitez-en !

Découvrez Surfshark à partir de 2,21 € par mois

Pourquoi avez-vous besoin d’un VPN et comment en choisir un ?

24 août 2022 à 19:50
Par : UnderNews

Surfer sur Internet n’est pas sans risques et adopter un VPN peut facilement vous soustraire de la majorités de ces derniers. Sécurité, anonymisation et liberté sont au programme.Pas forcément intelligible pour un néophyte, voici les raisons qui devraient vous pousser à utiliser un VPN au quotidien, que ce soit sur votre PC ou votre smartphone. […]

The post Pourquoi avez-vous besoin d’un VPN et comment en choisir un ? first appeared on UnderNews.
❌