La vérité sur les VPN

Article réservé aux grands paranoïaques

Je voudrais clarifier certaines choses sur les VPN et l'anonymat, car il y a beaucoup d'idées reçues de la part de gens qui n'y connaissent rien, alors qu'en réalité le problème est bien plus compliqué que ça.

Tout d'abord, aucun état ne peut restreindre ou surveiller l'accès à Internet de ses citoyens sans solution de contournement, même la Chine, les gens qui veulent vraiment accéder à un Internet libre et être anonyme, ne pas montrer qu'ils utilisent ces solutions, y arriveront. À moins d'avoir seulement une dizaine de sites, de contrôler strictement les frontières du pays et les bandes de fréquences, un trafic simple, comme en Corée du Nord, et encore dans ce cas c'est un intranet aux fonctionnalités très restreintes avec un régime n'autorisant même pas les gens à circuler librement dans le pays.

En réalité, même en Corée du Nord il pourrait y avoir un accès libre à Internet pour ceux qui veulent contourner la censure, avec des relais fonctionnant sur des fréquences Hertziennes ou à l'avenir des satellites, comme Starlink, Eutelsat...

Choisir un VPN

BREF

Donc imaginons que vous voulez être anonyme, peu importe la raison. Il faut garder à l'esprit que nous ne pouvons jamais savoir si à l'instant t un VPN est véritablement no logs, et que même s'il l'est véritablement, quels sont les journaux conservés ?

On va partir du principe que les VPN s'en tiennent à leur politique de confidentialité, je pense que pour la plupart ils sont honnêtes par rapport à ça, mais il ne faut pas oublier de lire les petites lignes. La plupart des VPN grand public ne stockent pas l'activité en ligne de ses utilisateurs, ça ne veut pas dire qu'ils ne stockent rien du tout, par exemple ils pourraient conserver pendant quelques temps l'heure, l'IP et la durée de session ses utilisateurs à l'un de leur serveur pour des raisons techniques ou afin de lutter contre des abus.

Il y a plusieurs cas qui peuvent se présenter dans le cas où une agence comme le FBI ou autre viendrait à enquêter sur un utilisateur de VPN ou autre logiciel d'anonymisation, la plupart de ces cas ne sont pas hypothétiques et c'est comme ça que certaines personnes ont pu être identifiés.

Cas réels

Un étudiant envoi une alerte à la bombe à son université, en passant par le réseau Tor. De ce point de vue, les chances que l'on puisse parvenir à l'identifier sont très faibles. En réalité, le FBI va tout de suite et logiquement soupçonner l'auteur de l'alerte à la bombe d'être un étudiant de l'université. Mais l'étudiant a commis une erreur, c'est d'utiliser le réseau de l'université.

Le FBI va s'orienter vers l'université visé pour obtenir les logs de son réseau, et sans que le réseau Tor en lui-même ne soit compromis, les logs montrent qu'à la date où le message est envoyé, une seule connexion chiffrée est active sur le réseau de l'université, et les dates de début et de fin de connexion coordonnent. Il y a donc de forts soupçons contre cet étudiant, et la suite de l'enquête permettra d'établir sa culpabilité. Car même si votre FAI ne peut pas savoir ce que vous faites sur Tor ou un VPN, vous ne lui cachez pas que vous l'utilisez. C'est aussi pourquoi on dit que plus de gens utiliseront le réseau Tor (ou des services VPN), plus il sera sûr, car il ne peut pas être possible à l'échelle nationale de faire coordonner des connexions au réseau.

Cela ne veut pas dire que sur un petit réseau, ou même sur un grand réseau où vous seriez le seul à utiliser des techniques d'anonymisation (dans un pays totalitaire comme la Chine), il n'est pas possible de cacher que vous utilisez une connexion chiffrée (la stéganographie, j'en parlerais plus tard) Le VPN livre des journaux de connexion temporaires (en temps réel).

Choisir un VPN

Un cyberharceleur a été condamné aux USA à 17 ans de prison après qu'il ait harcelé et stalké sa colocataire pendant plus d'un an par le biais d'Internet. Il utilisait pourtant PureVPN, mais le FBI a réussi à remonter jusqu'à sa trace en demandant à PureVPN assez rapidement (pendant une session) de lui remettre toutes les informations qu'il avait à sa disposition sur cette IP. Notez aussi que si dans ce cas et étant donné la gravité du harcèlement PureVPN s'est montré collaboratif, un serveur peut être perquisitionné selon les juridictions où il est établi. Certains VPN distribuent des warrant canary, c'est-à-dire que la loi peut dans certains pays comme les USA leur interdire de dire qu'ils sont perquisitionnés ou doivent répondre à une perquisition, mais pas de le dire de façon indirecte, comme en distribuant un warrant canary. Les seules informations remises étaient les journaux de connexion en temps réel, car il est impossible pour un VPN de masquer l'IP source des paquets qui transitent en temps réel.

Choisir un VPN

Plusieurs utilisateurs utilisent le même VPN en même temps, mais il n'est pas possible à partir de cette seule connexion de savoir qui pourrait être l'auteur derrière l'une de ces IP, sans avoir d'IP suspectes préétablies. Le FBI suspectait visiblement son colotaire, puisqu'il a confronté les IP entrantes en temps réel avec l'IP du FAI de la victime. Et c'est comme ça qu'il s'est fait attrapé. Le datacenter est compromis.

Même si des VPN peuvent aller jusqu'à faire des audits sur leurs serveurs pour montrer à quel point ils sont fiables, n'oubliez pas que les datacenters aussi peuvent récupérer des données qui peuvent être utilisés en justice. Par exemple, une solution anti DDoS d'un datacenter aurait visiblement gardé des journaux indiquant l'IP et l'heure ayant effectués une connexion à ses serveurs sur plusieurs semaines, et c'est ainsi que le FBI a réussi à établir l'identité de quelqu'un.

Cas hypothétique maintenant (jamais vérifié par une procédure judiciaire, mais techniquement possible). Si vous n'utilisez qu'un VPN, sans aucune autre technique d'anonymisation, et que l'on venait à confronter, à chacune de vos nouvelles connexions (identifiées par exemple par un pseudo utilisé sur Internet) une adresse IP, sans aucune information de navigation détaillé, on pourrait, par élimination, vous retrouver Le VPN respecte sa politique de confidentialité, qui ne joue pas du tout en votre faveur malgré les apparences commerciales. Lulzsec, l'équipe responsable du hack de Sony qui a fait grand bruit dans les médias il y a quelques années, en ont fait les frais. Ils discutaient, pour se coordonner via leurs attaques, sur un IRC

Choisir un VPN

Pour discuter sur cet IRC, ils passaient via le proxy navigateur de Hidemyass, c'est-à-dire pas le logiciel, mais ceci https://www.hidemyass.com/fr-fr/proxy Le problème, c'est que la politique de confidentialité de Hidemyass prévoit de garder des logs complets lorque la navigation est réalisée directement sur le site. Hidemyass a donc directement collaborré avec le FBI en conformité avec leur politique de confidentialité. The Guardian a même publié l'entièreté des logs de l'IRC, montrant leur discussion https://www.theguardian.c[...]om/technology/2011/jun/24/lulzsec-irc-leak-the-full-record

Choisir un VPN

Donc que faut-il en conclure ?

Les VPN s'en tiennent généralement à leur politique de confidentialité, à chaque fois que j'ai vu quelqu'un se faire attraper en utilisant par un VPN, c'était à cause d'un manque de prudence ou de connaissance de cette politique de confidentialité et des façons de faire le lien avec lui. Par exemple, le hack d'un serveur de NordVPN cette année n'a pas révélé de journaux conservés. PIA VPN n'a pu remettre aucune donnée pertinente au FBI, malgré ses réquisitions.

Le serveur d'ExpressVPN, saisi en Turquie par la justice dans le cadre de l'assassinat de l'ambassadeur Russe, n'a remis aucune donnée pertinente aux enquêteurs. Cependant, vous ne pouvez jamais affirmer avec certitude qu'un VPN est ou sera bien toujours no logs, hacké, qu'à un autre point du réseau vos données pourraient être compromises, ou que l'on procédera par élimination à chaque session VPN selon les IP entrantes détectées, trouvé dans les "journaux" en temps réel ou bien à posteriori, même s'ils ne contiennent pas d'informations précises sur votre navigation.

C'est pourquoi il est primordial de ne pas se reposer sur un seul VPN, mais de combiner des techniques d'anonymisation. La vie privée est importante, personne, ni même la justice, ne devrait avoir accès à vos données, et dans des pays totalitaires cela peut sauver des vies. L'anonymat en ligne est important dans une société, libre ou totalitaire, malgré ses dérives.

Maintenant, voilà la solution que je recommande

VPN 1 -> VPS via RDP over Tor ou NoVNC -> VPN 2 Payer le VPS via VPN + Tor : BTC -> XMR -> BTC (deux exchanges différents nécessaires pour la conversion) Dans le cas où le pays interdit les VPN, que les routages vers les FAI du pays sont étroitement contrôlés par le gouvernement ou que la surveillance de destination des paquets est généralisée Stéganographie + cryptographie à destination d'un serveur anodin pour atteindre le premier nœud, VPN 1 (-> VPS -> Tor -> VPN 2) Dans un protocole de streaming par exemple https://www.researchgate.[...][...]net/publication/220792802_Steganography_in_Compressed_Video_Stream DOI: 10.1109/ICICIC.2006.158 (Sci-Hub)

Choisir un VPN

Mais ça après, c'est à vous de mettre en œuvre ces techniques de stéganographie, qui ne sont pas répandus mais pourtant redoutables pour des pays totalitaires. Car même le pire des régimes ne pourra pas savoir ce qui se cache derrière un stream, et il ne faut pas confondre la stéganographie avec les techniques d'obfuscation utilisées par Tor ou d'autres VPN, qui consistent à utiliser des IP non répertoriées pour le premier nœud NoVNC ou RDP over Tor vous permettra de vous connecter à votre VPS via Tor dans votre navigateur Par exemple, noVNC est open source, vous pouvez faire une démo rapidement et gratuitement : https://www.dwine.de/vnc/ Vous cliquez sur le gros bouton vert et hop, votre VPS dans votre navigateur Au bout du compte de ce schéma, votre IP sera "clean", c'est-à-dire qu'elle ne sera pas associée au réseau Tor, bien que vous passez par ce réseau Vous n'aurez donc pas de problèmes de captcha, de restrictions... Votre débit en sera même meilleur, vous pouvez ouvrir des pages web, télécharger plusieurs GO très rapidement, tout simplement car Tor se recontente seulement de transmettre les informations visuelles et de contrôle à votre VPS, ce qui prend relativement peu de débit par rapport à une navigation web classique. Il ne faut pas oublier que les erreurs humaines ou de manipulation restent une cause très fréquente, y compris lors de l'utilisation de solutions d'anonymisation, et que si vous n'êtes déjà pas capables de vous sauver vous-même, ils ne vous sauveront pas non plus dans le cadre d'une enquête poussée.

Choisir un VPN

Nous recommandons ces VPN

Soutenez-nous si vous le voulez

Notre travail d'information ne nous rémunère pas (ou peu). En faisant un don, aussi minime soit-il, sachez que votre argent permettra de donner de l'emploi à des jeunes, et qu'une autre partie de votre don sera retransmis à des associations qui aident les jeunes en situation de handicap psychique et/ou dépendance.

Soutenez adopteunvpn sur Tipeee