fbpx

VPN : Un système vraiment anonyme ?

Si vous avez habité dans une grotte ces dernières années, il est peut-être nécessaire de vous rappeler ce qu’est un VPN. Un VPN (Virtual Private Network), est un service permettant de masquer votre adresse IP en faisant transiter vos flux de données par un serveur tiers. Ainsi c’est l’adresse IP de ce serveur qui est vue lorsque vous êtes en ligne et connecté au VPN.

De plus, un VPN, chiffre lesdits flux de données, dans les deux sens, entre le serveur auquel vous êtes connecté et votre appareil local.

Petits rappels VPN

Pour faire simple, on peut donc résumer un VPN à deux réseaux locaux (le vôtre et celui du serveur VPN) qui sont reliés entre eux par ce que l’on appelle un tunnel chiffré.

Un VPN peut servir à débloquer des services réservés à une zone géographique particulière, il suffit de se connecter à un serveur VPN situé dans cette zone. Ainsi, certains utilisateurs, situés, disons en France (toute ressemblance avec un lecteur de ce blog serait purement fortuite…), peuvent accéder au catalogue américain de Netflix en utilisant un serveur VPN localisé aux USA.

De la même manière, il est possible de contourner certaines lois grâce à ce service. Ainsi, un grand nombre d’utilisateurs de VPN téléchargent illégalement du contenu multimédia. Pour cela, il leur suffit de se connecter à un serveur VPN situé dans un pays où le téléchargement de ce type est toléré, comme les Pays-Bas, certains pays de l’Europe de l’Est, le Luxembourg… Du côté serveur, c’est donc toléré, et une fois les données en France, comme les échanges sont chiffrés, il n’y a pas de moyen de savoir ce qui transite sur votre ligne.

Si les services de VPN sont vendus, comme pouvant vous aider dans tout un tas de tâches, il est évident que l’un des arguments de poids est l’anonymisation de l’utilisateur sur Internet.

Ce qu’il faut comprendre dans l’utilisation d’un VPN, c’est que là où sans ce service, l’utilisateur est inquiet de savoir ce à quoi son FAI peut avoir accès, avec une connexion VPN, cette crainte devrait se reporter sur le prestataire VPN. En effet, toutes vos données transitent, une fois la connexion établie par les serveurs du fournisseur VPN.

>>Plus d’infos pour débutant sur les VPN et leurs fonctionnement<<

Un manque d’anonymat à cause du chiffrement ?

Une crainte qui revient souvent quant à la fiabilité de l’anonymisation par l’utilisation d’un VPN, c’est que le système de chiffrement puisse être mis en défaut.

Il faut tout de suite mettre les choses au clair, sous certaines conditions, c’est impossible, c’est d’ailleurs bien ça qui chagrine certains états.

La première de ces conditions est d’utiliser un service VPN payant. En effet, parmi les prestataires gratuits, sans affirmer que c’est absolument le cas de tous, il y en a un très grand nombre dont le modèle économique est basé sur la revente de vos données. Et oui, cela peut être surprenant, et c’est pourtant la stricte vérité.

La seconde condition est d’utiliser un protocole de chiffrement fiable, n’ayant jamais été corrompu. Par exemple, le protocole PPTP n’est absolument plus recommandé depuis quelques temps. Au contraire, si vous utilisez de l’OpenVPN ou de l’IKEv2 par exemple, il ne devrait pas y avoir de souci.

La dernière condition, si le protocole est inviolable (dans l’état actuel des connaissances techniques), c’est qu’aucune institution ou tiers ne dispose d’une porte dérobée. La fameuse back door, qui permet à celui y possédant un accès, de contourner toute la sécurité mise en place. Alors, reste à savoir si une back door existe et si elle est accessible à des tiers. Levons tout de suite le voile, quand on parle de tiers, on parle d’états.

Il est impossible d’avoir une certitude absolue concernant ce point, mais si le siège social du prestataire VPN se trouve sur le sol d’un pays faisant partie de ce que l’on appelle les Fourteen eyes, alors le doute est plus que permit.

Pour rappel, ces pays sont : l’Australie, le Canada, la Nouvelle Zélande, le Royaume-Uni, les Etats-Unis, le Danemark, la France, les Pays-Bas, la Norvège, l’Allemagne, la Belgique, l’Italie, la Suède et l’Espagne.

Souvent les données sont chiffrées en utilisant l’algorithme AES-256. Pour que cela vous paraisse plus claire, il faut savoir que trouver la clé de déchiffrement prendrait, à l’un des super ordinateurs les plus puissants du monde 3.67×1052 années. En d’autres termes, c’est impossible, et c’est pour ça que certains pays sont très frileux avec les VPN : c’est trop efficace.

Pour info : le chiffrage AES-256 est de niveau militaire et est encore utilisé aujourd’hui pour transmettre des communications « secrètes » par de nombreuses armées (ça rigole pas !).

Un manque d’anonymat à cause des journaux ?

Déjà qu’est-ce qu’un journal. Dans le sens où il faut l’entendre ici, il s’agit d’un fichier de log qui trace certaines informations. Déjà, il y a un journal de connexion, qui va enregistrer votre adresse IP, celle du serveur auquel vous vous connectez, et l’adresse IP qui vous est donnée par ce serveur.

Ensuite, il y a le journal de vos activités, en gros, les sites que vous avez visités (ou autres activités en ligne), l’heure d’accès etc…

En recoupant ces deux fichiers de log, on comprend tout de suite que l’utilisation d’un VPN devient complétement inutile, puisque, si le prestataire le désire il peut alors tout à fait savoir ce que vous avez fait en ligne.

Beaucoup, pour ne pas dire tous, les fournisseurs de service VPN mettent donc en avant le fait qu’ils ne conservent aucun journal. Mais là encore, il convient d’être mesuré et méfiant. Déjà, ce n’est pas parce que c’est dit, que c’est vrai. Ensuite, quelque soit ce que dit le fournisseur, dans certains pays, ces entreprises ont l’obligation de conserver ces données pour une durée déterminée. Ainsi, ensuite, sur commission rogatoire, ils ont l’obligation de fournir ces informations aux autorités.

Il est donc important, si la confidentialité est particulièrement importante pour vous, de choisir un fournisseur qui ne soit pas soumis à ces règles. C’est généralement assez obscur, et ce sera à vous d’aller fouiller pour savoir où se trouve réellement le prestataire.

Bien que je ne sois pas dans le secret des dieux, je ne pense pas que ces journaux soient distribués aux institutions de manière automatique. Donc si vous n’êtes pas un dangereux criminel, vous devriez tout de même être tranquille. Mais certains utilisateurs, même avec de nobles intentions, sont particulièrement vigilants sur ce point.

Un manque d’anonymat à cause d’autre chose que le tunnel VPN ?

Venons-en au point le plus important, est-ce que, même avec un service VPN payant, sans journaux et en utilisant un protocole fiable, le système VPN permet une totale anonymisation.  La réponse est malheureusement, non.

Nous devrions dire, quand on parle de VPN, que ce service permet de cacher, efficacement son adresse IP réelle, mais pas de profiter d’une anonymisation permettant d’éviter la fuite de nos informations personnelles. Je m’explique :

Déjà, la plupart des services que vous utilisez nécessitent l’usage d’un compte dédié à ce service. Par exemple, une fois que vous êtes connecté à Facebook (prenons volontairement un exemple bien flagrant), ce dernier se moque un peu de votre IP. Facebook sait que vous êtes Jean Dupont, et connait également le reste de vos infos.

On le voit, dans le cas des services nécessitant un compte, l’adresse IP n’a pas d’importance. Mais de plus en plus, pour les autres services, cette adresse n’est plus importante non plus.

Il existe de nombreuses techniques de tracking qui peuvent permettre d’obtenir des informations sur vous sans avoir besoin d’obtenir votre adresse IP, et qui fonctionne même avec l’utilisation d’un VPN.

Par exemple, nous pouvons parler du browser FingerPrinting. Pour pister un utilisateur, il faut le reconnaitre, pour le reconnaitre, le plus simple et d’utiliser son adresse IP, mais comme ce n’est pas possible avec un VPN, il faut utiliser d’autres biais. Avec le FingerPrinting, le service qui cherche à connaitre vos habitudes de navigation, d’achat en ligne etc. va chercher à vous reconnaitre, en utilisant votre navigateur.

Comment ça fonctionne ? Pour remplacer l’adresse IP, ont créé un identifiant unique pour le navigateur. Pour ce faire, car vous n’êtes pas le seul à utiliser, disons Firefox, tout un tas de paramètres vont être compilés pour vous rendre unique. Votre navigateur, bien entendu, le système d’exploitation sur lequel il est installé, les extensions qui y sont installées, la langue d’affichage, sa version exacte, votre fuseau horaire, la résolution de votre écran (les navigateurs sont souvent placés en plein écran), la police d’écriture installée dans le navigateur…

Bref, en compilant un énorme nombre d’informations concernant votre navigateur, il est alors possible de le rendre quasi unique, et donc, de vous pister comme si vous n’utilisiez pas de VPN.

Honnêtement, c’est assez difficile à contrer, vous pouvez faire tourner votre navigateur dans une machine virtuelle, sans que le navigateur soit en plein écran, en coupant totalement le javscript… mais tout cela aura un fort impact sur votre navigation.

Certains navigateurs, comme Firefox permettent de bloquer le fingerprinting, dans ce cas, en adéquation avec un bon VPN, le système est anonyme, du moins jusqu’à ce que le monde de la pub trouve un autre moyen.

Pour résumer, si vous pensez qu’en prenant n’importe quel VPN et en l’utilisant seul et n’importe comment vous êtes anonyme, c’est faux. Et même autrement, cela est difficile. C’est un peu un jeu géant du chat et de la souris qui se joue entre les utilisateurs et les régies publicitaires, ou les autres entités qui en veulent à vos données. Le VPN est une brique importante de votre anonymat, mais il ne doit pas être la seule.

  • Updated juin 29, 2020
S’abonner
Notifier de
0 Commentaires
Inline Feedbacks
Voir tous les commentaires
0
Nous voulons connaitre votre avis, commentez !x