FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

VPN et anonymisation : les limites

4 décembre 2018 à 18:11

Les services VPN promettent l’anonymisation en masquant votre adresse IP.
Comme c’est souvent le cas avec les services vendues, le discours marketing gonflent parfois la réalité.

Cet article tente d’expliquer les limites sur l’anonymat par ces services VPN.

VPN et anonymisation : les limites

Introduction au VPN

Le VPN à la base est un système qui permet de relier deux réseaux à travers un tunnel sécurisé.
Cela est notamment utile dans le cas d’une entreprise qui a des sites distants ou permettre à des employés de se connecter au réseau de l’entreprise depuis chez eux.

Des solutions sur internet proposent ces services pour masquer l’adresse IP.
Le principe était de rediriger l’intégralité du trafic internet ou à minima celui du WEB vers le serveur VPN.

Il faut donc bien comprendre que tout le trafic passe de votre FAI vers le serveur VPN pour terminer le serveur final (site WEB, serveur de jeux, etc).

Ce dernier sert d’intermédiaire et donc le serveur final ne voit que l’adresse IP du serveur.
Cela peut poser des problèmes de confidentialités.

Pour plus d’informations sur le fonctionnement, lire l’article suivant.

Anonymat vs Pseudonymat vs confidentialité

Il ne faut pas confondre ces deux aspects même si parfois ces aspects peuvent se recouper.

L’anonymat vise à vous masquer les informations personnelles.
Ainsi dans le cas d’un VPN le but premier est surtout de cacher votre adresse IP.

La confidentialité et protection de la vie privée cherche à vous protéger du pistage sur internet.
En effet, un VPN ne protège pas contre le pistage et tracking.
A moins que la solution soit pensée pour filtrer les serveurs utilisés pour pister.

Les limites de l’anonymat des VPN

Les VPN protègent de la surveillance sur internet ?

Dans l’article suivant, j’explique ce que les fournisseurs d’accès internet peuvent savoir de nous lorsque l’on se connecte à internet.

Est-ce que les VPN résolvent ce problème et protège mieux la vie privée ?

La réponse est non.
Comme expliqué en fin d’article, le VPN déporte juste la problématique de la vie privée des FAI sur le réseau du VPN.
En effet, le VPN peut savoir beaucoup de choses sur votre activité sur internet exactement comme c’est le cas du FAI.

De plus :

  • Vous ne savez pas grand chose des sociétés privées qui sont derrière les VPN. Certains sont dans des pays comme le Panama
  • Le réseau du VPN s’appuient sur différents services d’hosting qui peuvent avoir des politiques de vie privée différentes

Télémétrie et collecte de données

Dans l’exemple suivant, le service VPN indique qu’il protège des regards indiscrets et notamment celui de votre FAI.
Cela est vrai puisque le trafic vu par le FAI sera chiffrée et ne pourra pas savoir ce que vous faites, si le service VPN est bien configuré.
Toutefois, au final, vous ne faites que déplacer la problématique puisque le trafic passe par les serveurs.
Techniquement il est donc tout à fait possible que ce service soit capable de vous espionner.

Les limites de l'anonymat des VPN

Cela dépend de la politique du service VPN. Ce dernier pourrait très bien vous pister de manière anonyme pour effectuer de la publicité ciblée.

Vous déplacez votre non confiance envers votre FAI vers la confiance du fournisseur d’accès VPN.

A noter que le client VPN est une application qui tourne sur votre appareil qui peut collecter aussi des données anonymes lors des interactions avec le service VPN.
Là aussi c’est selon la politique du fournisseur de la solution.
Par exemple CyberGhost enregistre vos connexions et le pays source mais pas votre adresse IP.
De plus, il effectue de la télémétrie en envoyant des données “anonymes” via la société MixPanel.

CyberGhost enregistre des informations lors des connexions

HideMyAss lui stocke votre adresse IP, donc oui durant le surf et autre activité sur la toile, ces derniers ne verront pas votre adresse IP.
Mais le service VPN lui les stocke comme ce serait le cas durant le surf.

HideMyAss stocke les IP des utilisateurs
HideMyAss stocke les IP des utilisateurs

Enfin les fournisseur VPN promettent aucun enregistrement, logs et journaux.
Là aussi, il faut se méfier des annonces. Le FBI ayant arrête un utilisateur de PureVPN grâce à des journaux alors que ce dernier promet ne pas en avoir.

Arrestation d'un utilisateur PureVPN grâce à ces journaux
Arrestation d’un utilisateur PureVPN grâce à ces journaux

D’après une étude de thebestvpn 26, 26 sur 115 testés gardent des données collectées.
Voici la répartition des données collectées par type.

Données collectées par les VPN
Données collectées par les VPN

Bug de configuration et implémentation

Dans un autre article, nous avions expliqué que le bug WebRTC pouvait permettre de récupérer l’adresse IP réelle.

D’après une étude d’avril 2018 de VoidSec, 17 VPN sur 83 sont sensibles à cela et peuvent permettre de récupérer la vraie adresse IP.

bug Web RTC et leak de l'adresse IP réelle
bug Web RTC et leak de l’adresse IP réelle

Enfin, une étude de Migliano montre certaines solutions présentes sur Google Playstore contiennent des malwares.
5 VPN sur 27 sont sujets à la fuite de données DNS.

Fuites de DNS
Fuites de DNS

Les journaux des hébergeurs VPN

Un aspect qui est souvent oublié : les services VPN utilisent des hébergeurs et fournisseurs de serveurs.
Même si le service indique ne rien loguer, l’hébergeur lui logue les connexions effectuées vers ces plateformes.
Ce dernier peut notamment voir votre adresse IP source, celle de votre fournisseur d’accès et l’enregistrer dans un journal.

La vidéo suivante montre comment il est facile de récupérer les sites visités.

Il faut aussi penser que ces serveurs sont sous la loi du pays dans lequel ils résident.
Par exemple, un serveur aux USA sera soumis notamment aux lois américaines ainsi qu’à la surveillance de la NSA.

Le VPN ne protège pas du pistage

Le VPN ne protège pas du pistage et collecte de données effectuées par des sites internet.
Lorsque vous utilisez des services, vous vous connectez avec des comptes internet.
Il est donc tout à fait possible de collecter et associer des données à ce compte avec ou sans utilisation d’un VPN.

De plus, le navigateur WEB utilisé peut aussi envoyer des données.
C’est notamment le cas de Google Chrome qui permet aussi de pister les internautes.

Enfin, il existe toute sorte de technique pour pister les internautes sans avoir recours au stockage de l’adresse IP.
De nos jours, les internautes ont plusieurs points d’accès, associer des données à des adresses IP n’est donc pas fiable.
Pour pister, il vaut mieux donc tenter de reconnaître l’appareil avec lequel vous vous connectez.
Plusieurs techniques sont notamment utilisées :

La page suivante énumère la plupart de ces techniques :

Les arnaques avec les VPN gratuits

Il existe beaucoup de VPN gratuits pour Android ou sous la forme d’extension pour Chrome et Firefox.
Ces derniers sont souvent peu fiables et ne sécurisent pas la connexion VPN.
Parfois même on peut se poser des questions s’ils ne sont pas là pour voler des données.

A lire :

Une industrie qui pose question

Il y a très peu d’informations sur les sociétés derrières les VPN.
Mais on trouve toutes sortes de montages souvent pour de l’optimisation fiscales.
Mais certains CEO possèdent aussi des sociétés de datamining.
Cela pose question.

Au final, on trouve toujours les mêmes pays avec en tête : USA, Israel et Chine.

Les VPN et répartitions des éditeurs dans le monde

Enfin il y a d’autres aspects détaillés sur page :

Conclusion

Les systèmes VPN ne protègent pas entièrement du pistage sur internet et ne donnent pas non plus d’anonymat.
Ils permettent seulement de masquer son adresse IP et éventuellement de cacher l’activité aux fournisseurs d’accès.
Ces aspects sont détaillés sur la page : Adresse IP et confidentialité : localisation, informations
Toutefois, cette activité est reportée vers les fournisseurs de VPN auxquels il faut avoir entièrement confiance.

Enfin le choix est crucial puisque vous redirigez tout le trafic internet vers ce dernier qui peut récupérer des informations.
Parfois, le VPN conduit finalement à plus de collectes de données que de protection.

L’article VPN et anonymisation : les limites est apparu en premier sur malekal.com.

❌