La différence entre un #VPN et Garcimore

Suite à ma récente condamnation par la Cour d’Appel de Paris (appel formé par le parquet suite à ma relaxe en première instance), pas mal d’articles circulent sur Internet et je vois revenir des éléments techniques parfois mal interprétés (et souvent proches du raisonnement de la cour d’appel). En plus du classique débat sur l’authentification à la racine de l’extranet, le cas assez emblématique est celui du VPN.

Un VPN est un réseau privé virtuel. Il permet de se connecter d’un point A à un point B de manière souvent chiffrée.

L’une des citations largement reprise, c’est celle ci :

Il y avait trouvé et téléchargé huit mille documents, par l’intermédiaire d’un réseau privé virtuel (VPN) vers une adresse IP située au Panama, ce qui explique que l’opération soit passée inaperçue

… Là, par exemple ce qui est en gras est un non-sens.

Les petits dessins

vpn1

Un VPN sert aussi bien à dissimuler son identité qu’il répond au besoin contraire, c’est à dire se connecter de manière sécurisée et parfaitement authentifiée, sans craindre l’interception de données par des tiers, par exemple pour se connecter à son compte bancaire ou à l’intranet de sa rédaction, quand on est un journaliste qui couvre les jeux olympiques d’hiver à Sotchi. La vocation première d’un VPN, c’est la protection de vos données personnelles et de votre identité sur Internet. Un VPN aujourd’hui devrait être une norme, proposée sans supplément par vos fournisseurs d’accès Internet.

Un internaute sans VPN, c’est ça :

ConnexionInternetNonSecure-413x550

Mythbusting

Je précise que sur la machine et le système (Debian GNU Linux) qui nous intéresse, le VPN se lance au démarrage de ma machine, l’adresse IP panaméenne m’est donc attribuée mais je peux choisir un point de sortie localisé dans un autre pays (Suisse, USA, Suède…), ou mieux si j’avais vraiment voulu brouiller les pistes, par un bridge TOR qui change mon adresse IP visible toutes les 10 minutes et spécialement dédié à renforcer l’anonymisation des connexions (mais pas de les rendre invisibles).

Si les enquêteurs sont remontés jusqu’à moi, c’est bien parce qu’ils m’avaient identifié, grâce à un tweet parfaitement public où j’appelais des journalistes à nous aider à comprendre les documents, ou peut-être justement parce que l’objet de la plainte, c’était un article sur Reflets.info… bref le VPN n’a rien à voir dans cette histoire.

Mais alors pourquoi c’est passé inaperçu ?

Tout simplement parce qu’il n’y a eu ni intrusion pour y accéder et donc justifiant de faire hurler un pare-feu, ni comportement déviant caractérisé par un téléchargement des contenus du répertoire, qui, encore une fois, ne comportait que des documents bureautiques et aucun fichier système pouvant mettre la puce à l’oreille que le repertoire n’avait pas à être public). Les octets naissent sur le papier libres et égaux en droits, et quand ils croisent le douanier du firewall de l’ANSES, ce dernier fait son travail correctement :

Accès régulier et usage régulier = rien à signaler.

Il aura fallu que l’ANSES constate un article publié sur Reflets et utilisant ces documents pour se rendre compte que ces documents, au bout du compte, c’est peut être pas normal qu’ils soient accessibles… c’est amusant car la vérification aurait par exemple pu être faite avant de porter plainte pour « piratage » non ?

Conclusion ?

Je ne suis pas Garcimore 🙁


Les Visiteurs Du Mercredi Garcimore par SUN42

18 réponses sur “La différence entre un #VPN et Garcimore”

  1. Je suis ultra fan des deux images qui montrent la différence entre VPN/PASVPN
    Tu crois qu’on peut en faire un troisième avec le DPI des FAI et Autres entreprises Françaises sympathiques pratiquantes ?

    Courage Blue.

  2. Certes, m’enfin la plupart des lecteurs de ce blog savent surement déjà a peu près tout ça. Pourquoi c’est pas le tribunal qui en à été informé au moment voulu plutôt ?
    M’enfin bref, bon courage et bonne chance pour la suite.

  3. Je ne suis pas du même avis sur la fourniture d’un service de VPN par la même entreprise ou association que mon FAI. Je trouve que c’est un dangereux mélange des genres.

    Le FAI pourrait techniqument en profiter pour altérer, déchiffrer à la volée les paquets chiffrés et ainsi rendre caduque l’intérêt de ce tunnel chiffré vers le reste de l’Internet. (En espérant avoir bien compris.)

    Ou peut-être que je suis paranoe ?

    /naïve

  4. « Le FAI pourrait techniqument en profiter pour altérer, déchiffrer à la volée les paquets chiffrés  »

    Ce n’est possible que s’il déploie un VPN de merde configuré avec les pieds. Sur le VPN commercialisé par Toonux, il faudrait casser le chiffrement session par session (pki x509 à confidentialité persistante : pas de clé pour déchiffrer tout le trafic).

    Après effectivement, en ce qui me concerne, ce n’est pas à mon FAI que je m’adresserai.

  5. Tu sauras quand si tu es recevable en cassation ? Est-ce que tu envisages d’autres recours ( Cours Européenne par exemple) ?
    Encore une fois, bonne chance

  6. Hello Bluetouff. J’ai bien sûr suivi – et même à la télé (wouaouh une star !) – tes démélés ubuesque avec l’administration imbécile qui s’étouffe sous son propre poids de certitudes désolantes… Faut pas que ca vienne étouffer tes propres velléités, cette histoire qui aurait du être anodine, de fichier pseudo-piraté. Tu fais les frais de la connerie, c’est la valeur la plus généralisée de cette bande de crétins. J’aimerais pas me retrouver dans ta situation, ça casserait la qualité de mon sommeil à coup sûr… Avec toi de tout coeur ! Je sortirais bien une veille quenelle mais ça fait mauvais genre depuis quelques temps 🙂

  7. bonjour Bluetouff,
    je découvre cette histoire aujourd’hui de retour de voyage.
    assez consterné bien sûr.
    si tu décides de lâcher l’affaire sur le terrain judiciaire (pour de bonnes raisons pragmatiques), j’aime l’idée de lancer une campagne de crowdfunding pour financer des cours d’internet 101 aux magistrats à hauteur de 3000 EUR. si cette initiative va dans le sens de tes choix personnels, contacte-moi en mp (ou mets la en pratique directement si tu préfères).
    D2B

  8. C’est nul !
    Notre vie privée est de plus en plus en danger, comment faire pour se défendre ? Moi je ne fais rien de mal sur le web, je ne comprends pas pourquoi il faut que je sois systématiquement surveillé, en vérité ça ma gave grave.
    Courage Bluetouff avec ton histoire de VPN.

  9. Bonjour Bluetouff,

    « L’une des citations largement reprise, c’est celle ci ». Pourrez tu nous indiquer par qui cette citation est reprise et dans quel contexte ?

    « La vocation première d’un VPN, c’est la protection de vos données personnelles et de votre identité sur Internet. »
    Il me semblait que la vocation première d’un VPN était de créer un « tunnel » entre deux machines situées sur des réseaux distants logiquement.

    1. 1° il s’agit d’une citation reprise par des articles de presse sur le sujet, et sorti du contexte, 8000 documents, c’est tellement énorme que c’est forcément téléchargé dans une intention délictuelle. Dans ce cas prcéis c’était uniquement pour que ma machine les indexe avec leur contenus et que je puisse faire des recherches dedans en utilisant le moteur et l’indexation de mon os.

      2° En principe, quand on crée un tunnel, qui plus est chiffré, c’est pour garder les données qui y transitent à l’écart des regards indiscrets, c’est pas pour le plaisir, ni parce que ça va plus vite.

      1. 1 Un exemple ?

        2 Le principe du VPN n’est même pas lié forcément à internet. La vocation première d’un VPN n’est ni de protéger les données personnelles, ni de protéger son identité sur le net. C’est pas parcequ’on établit une communication avec quelque chose que c’est forcément chiffré, sécurisé ou autre (je suis connecté à ton site sans aucune sécurité). Le chiffrement des VPN est juste une option tellement pratique qu’on les dissocie que très rarement.

        1. L’auteur du com’ supra serait-il un troll ? Du style qui chipote systématiquement ? Certains articles ne sont pas difficiles à trouver, d’autres peuvent être derrière un paywall.
          Voici en tout cas ce que GG donne (Pwapwal sait-il utiliser un moteur de recherche ? A mon tour de faire le troll 😉 :
          http://www.nextinpact.com/news/85772-documents-trouves-via-google-3-000-euros-damende-pour-bluetouff.htm
          https://www.contrepoints.org/2014/02/11/156279-telecharger-cest-tromper

  10. Il est bien cet article! Des informations sur l’usage et la nécessité des filtres sont toujours indispensables. Heureusement que des techniciens ont eu l’ingénieuse idée d’inventer ces outils.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.