Anonymat – Acte 1 : VPN et HADOPI… et vous vous pensez anonymes ?

Ce billet est le premier d’une petite série sur le thème de l’anonymat, des VPNs, et par extension, des attaques possibles. Pour un plus grand confort de lecture, ce qui ne devait faire qu’un seul billet va du coup en faire plusieurs, ils auront un caractère plus ou moins technique. Le premier est une (longue) introduction aux bases de l’anonymisation IP… bonne lecture.

/Greetz wizasys /-)

Fallait pas me chercher…

VPN par ci, VPN, par là, je commence à être blasé d’entendre ce mot utilisé n’importe comment et à toutes les sauces, et surtout d’entendre tellement de contre-vérités sur leurs vertus « anonymisantes ». Comme promis, voici quelques réflexions sur les VPNs, motivées par une recrudescence de spams sur ce blog liés à l’exploitation du bruit autour d’HADOPI. Si certains, plutôt courtois me proposent d’essayer leurs solutions, d’autres viennent carrément pourrir systématiquement tous les billets où ils décellent le mot « HADOPI » pour venir coller un lien sur leur site web qui prétend vendre de la sécurité à 5 euros par mois. Mais le plus dérangeant dans tout ça, c’est surtout les idées fausses qui sont véhiculées sur de nombreux sites ou wikis, et tendant à dire qu’un VPN est l’arme absolue pour vous mettre à l’abri de l’inspection en profondeur de paquets (DPI) et préserver votre anonymat.

Qu’est ce qu’un VPN ?

Un réseau privé virtuel ou VPN est un tunnel chiffré dans lequel on fait passer ses communications dans le but de les sécuriser. Ainsi, on entend contrôler les routes empruntées par les informations afin d’éviter la captation par des tiers non autorisés.

Si les VPNs sont pour l’instant une réponse très relativement efficace pour passer sous les radars de Trident Media Guard (je dis bien pour l’instant car sur certains protocoles de P2P, ça risque de ne pas durer, et pour le reste…), ils ne sont pas la panacée, et ne suffisent pas à garantir votre anonymat. Que ce soit sur les réseaux P2P ou sur de simples sites web, il existe, même derrière un VPN, plusieurs techniques permettant de révéler votre véritable adresse IP. Les pièges sont nombreux, ils émanent autant des sites que vous visitez que de votre propre fait, il est donc primordial d’en avoir conscience.

Les racines du mal

En pondant un texte aussi peu inspiré qu’HADOPI, notre bon législateur s’est involontairement exposé à une menace bien réelle dont on peut observer quelques effets indésirables dans d’autres pays. De nombreuses sociétés se sont engouffrées dans ce nouveau marché de la surveillance de masse et du contrôle généralisé, d’autres tentent d’y apporter des parades. Notre Ministre de l’industrie a de quoi se frotter les mains, il va ici voir emerger un nouveau pan de l’économie hexagonale, bien nauséabond, celui de la course à l’armement numérique. Sur Internet comme dans la vraie vie, les marchands de canons peuvent être des personnes très sympathiques, c’est de la protection qu’ils vous vendent sur le papier, mais la mort reste leur fond de commerce. Fabrice Epelboin en parlait très bien dans sa publication sur les révélations d’un CTO de réseau pédopornographique, ses prémonitions sont en train de se concrétiser. Jusque là, les gens qui avaient besoin d’assurer leur parfait anonymat étaient soit des professionnels dont la confidentialité des échanges est nécessaire de par la nature de leurs fonctions, soit des gens dont la nature illicite et criminogène des activités nécessitaient d’éviter de se faire pincer. En ramenant le besoin d’anonymat à des comportements d’ordre délictuels du type téléchargement de MP3 copyrightés, il ne faut pas s’étonner de voir certains réseaux mafieux se frotter les mains en se disant qu’ils vont pouvoir s’attaquer à des marchés plus grands publics. Leurs infrastructures sont là, elles n’attendent plus que les bons gogos… et ces gogos, c’est nous tous !

Ceci est très dérangeant et paradoxal car l’anonymat et la vie privée (ou la protection de la confidentialité) est un besoin légitime, la sécurisation des échanges l’est aussi. Les démarches administratives (impôts, URSSAF…), les opérations bancaires ou financières(…) nécessitent des échanges sécurisés.

On peut donc remercier nos élus d’avoir fait pour l’Internet ce choix de société, souvent par manque de courage politique, quelques fois par e-gnorance, mais aussi et surtout par jemenfoutisme. Vous trouvez que j’y vais un peu fort ? Dans ce cas, respirez un grand coup avant de lire la suite car je n’ai pas terminé… l’échauffement.

Internet est un réseau public

Internet n’a pas été pensé pour l’anonymat ou la vie privée, il s’agit d’un réseau public, les informations de routage sont donc publiques et les données ne sont à l’origine pas chiffrées. Internet permet naturellement le chiffrement mais ce dernier ne cache pas l’identité de l’émetteur ni du destinataire (le chiffrement cache le payload mais pas les informations de routage ni les métadonnées).

L’Internet est constitué d’AS (systèmes autonomes) qui appartiennent à des fournisseurs d’accès, les AS communiquent via des IX (Internet Exchange). C’est dans les AS (je n’ose imaginer que des ayants-droit ou des officines privées accèdent un jour aux IX) que des personnes qui veulent vous « sécuriser » iront, si on les laisse faire, placer leurs dispositifs d’écoute… tout simplement car c’est là que passent le plus de communications. Ce ne sera pas un problème pour Orange ou SFR (qui utilisent déjà le Deep Packet Inspection pour détecter les DDoS, Spam, Botnets et autres attaques virales) que de faire directement de l’écoute sur leur AS, en revanche sur les IX, d’autres FAI pourraient voir ça d’un très mauvais oeil. Mais aux USA, il est par exemple admis que la NSA puisse réaliser ses écoutes directement au niveau des IX. En France, on imagine bien que la DGSE puisse pratiquer elle aussi de telles captations sur un IX, mais Jean-Marc Manach vous en parlerait sûrement mieux que moi.

Toujours est-il que les FAI (beaucoup) conservent les logs au niveau des AS et sont en mesure de vous dire qui a communiqué avec qui à une date donnée. Je suis un peu plus circonspect concernant la production et la rétention des logs sur les IX, c’est un sujet que je ne maîtrise pas spécialement, mais selon les politiques de surveillance des agences gouvernementales de certains pays, certains IX font l’objet d’une capture de l’intégralité du trafic. A contrario, en Russie par exemple, où il existe peu d’IX, tout est extrêmement surveillé.

Les bases de l’anonymat

Je n’ai certes pas la prétention de donner un cours exhaustif sur l’anonymat mais ayant conscience de ce qu’il implique, je me permettrai simplement, je l’espère, de briser un mythe qui consiste à vous faire gober que des « solutions » simplistes répondant à peine à 10% des problématiques de l’anonymat sont des solutions pérennes pour la protection de votre identité sur les réseaux. Tout ceci est bien plus complexe qu’on aime à vous le dire.

Un VPN (réseau privé virtuel), propose la création d’un tunnel, généralement chiffré entre votre ordinateur (ou dans certains cas votre routeur) et le fournisseur du service. Dans la majorité des cas, tout ce qui passe entre le fournisseur du service et le contenu que vous ciblez passe en clair sur le réseau. Peu de services proposent un chiffrement « end to end » (de bout en bout) , c’est là la première vulnérabilité des solutions de VPN. Si tout passe en clair entre votre prestataire et le contenu que cible votre visite, généralement sur un serveur distant, au fond à droite des Internets, vous avez intérêt à avoir sacrément confiance en lui. Prenez bien conscience qu’en choisissant un fournisseur de service VPN, vous lui confiez la même chose que ce que vous confiez à votre fournisseur d’accès Internet, la moindre des précautions est donc de connaitre la législation en vigueur dans le pays de ce fournisseur de service.

Au chapitre des erreurs, la plus communément observée est l’amalgame fait entre la protection du contenu (ie chiffrement) et la protection du contexte (ie anonymat), entre chiffrement et processus visant à réduire les risques de captation de données. Si on devait résumer ça simplement on dirait que :

  • Les contenus définissent l’information
  • Le contexte définit l’environnement et les modalités d’accès à l’information.
  • On protège les contenus par le biais du chiffrement.
  • On protège le contexte par une série de méthodes et techniques adaptées, et sûrement pas par un produit, qu’il soit matériel ou logiciel.

Si le contenu ou le contexte est compromis, c’est votre anonymat qui est compromis.

Il convient également de faire la différence entre protection de la vie privée et anonymat :

  • Anonymat : la faculté de ne pas se faire identifier par un tiers ;
  • Protection de la vie privée : la faculté de protéger ses communications de la captation par des tiers non autorisés… Autrement dit, d’empêcher des tiers de savoir ce que vous dites ou ce que vous faites.

Si vous m’avez bien lu, vous devez donc comprendre par exemple qu’un réseau chiffré n’est pas forcément garant de votre anonymat. Et inversement, TOR protège le contexte… mais pas le contenu (mais nous allons y revenir dans un prochain billet de cette même petite série).

Qui écoute quoi et où ?

Vous avez tous entendu une phrase stupide, même sortant de la bouche de personnes connues comme Mark Zuckerberg (le fondateur de Facebook) du type : « si on a rien à se reprocher, on a rien à cacher« . Il doit s’agir de personnes qui n’ont jamais par exemple effectué un achat sur Internet ou qui n’ont jamais échangé un mail ou des photos avec leur famille…

En France, la captation de données informatiques, particulièrement quand il s’agit de données à caractère personnel, est très encadrée, elle nécessite l’intervention d’un juge, une enquête judiciaire…

Oui mais voilà, si l’internet s’arrêtait aux frontières françaises, on appellerait ça le Minitel… ou l’Internet par Orange. Vos communications, même nationales empruntent des routes qui ne sont pas toujours sur le territoire national, et donc non soumises aux mêmes contraintes juridiques, un fournisseur de services peut très bien décider de capter ces données pour une raison x ou y… comme par exemple le Patriot Act aux USA. Du coup, si vous en venez à passer par un fournisseur de service VPN aux USA, il ne faudra pas vous étonner si vos communications sont interceptées par les services américains, c’est la loi américaine qui est ainsi. Son pendant européen est la loi sur la rétention des données. Le choix de l’implantation des serveurs du provider dans telle ou telle juridiction est particulièrement important. Fournir des solutions d’anonymat ou du VPN demande une vraie maitrise juridique car c’est un paramètre crucial.

Est-ce que vous confieriez vos données personnelles à ….

Allez, fermez les yeux, et imaginez un instant que je travaille pour Universal Music, comment je procéderai à votre avis si je voulais faire la chasse aux petits resquilleurs ? Bingo, je monterai un service de VPN plus ou moins clairement brandé « contourner hadopi », je l’appellerai par exemple Hadopi en verlan…. ça fait djeuns, ça fait rebelz, et c’est surtout un super moyen de diriger (et même capturer) tout le trafic des gros téléchargeurs vers chez moi afin de mieux les identifier… et en plus, pour une fois, ils sont assez gogos pour payer.

La suite dans : Anonymat – Acte 2 : Les solutions d’anonymat tiennent-elles réellement leurs promesses ? (to come soon)

89 réponses sur “Anonymat – Acte 1 : VPN et HADOPI… et vous vous pensez anonymes ?”

  1. Salut et merci pour ces explications un peu trop technqiues et complexes pour moi cependant
    Oui je télécharge et j’aimerais continuer à le faire mais sur le fond ce qui me dérange le plus c’est le flicage qu’il y a derrière toutes ces lois et toutes ces mesures : argent argent argent …
    Bon, vivement la suite qu’on puisse se protéger et vulgariser autour de nous des méthodes simples et efficaces qui nous permettent de continuer à télécharger !
    A plus et encore merci.

  2. Merci pour cet excellent billet, j’attends la suite avec beaucoup d’impatience…
    D’ailleurs depuis que j’ai découvert ton blog (suite au stupide DDoS dont tu a été victime et qui a fait couler pas mal d’encre sur la toile) je lis chacune de tes interventions avec intérêt, j’apprécie beaucoup ta façon de traiter l’actualité et tout ce qui touche à la sécurité informatique en général.

  3. Votre blog est très satisfaisant, des billets qui tiennent la route avec une information clair et détaillé.

    je continuerais de vous suivre avec un œil attentif

  4. IPODAH devenu ensuite IP jetable c’est Universal ?…Oh les cons… putain j’imagine la gueule des abonnés qui vont lire la chute de cet article 😉

    1. Tien je savais pas que IPJetable était l’ex Ipodah, j’ai loupé un épisode, notez que ce n’est pas du tout ce que j’affirme, je dis juste que c’est exactement comme ça que je m’y prendrai pour piéger les internautes.

      1. oui, IPJetable est bien le nouveau (depuis quelques mois quand même) nom d’IPODAH.

        Maintenant, ceci étant établi, ton hypothèse, aussi distrayante et aussi peu finement amenée soit-elle, relève carrément de la rumeur et du décollage de buzz, volontaire ou non (je pense que non, mais c’est pas plus malin pour autant)

        Bien sûr que si, que quelqu’un *un tant soit peu* cultivé techniquement parlant *aurait pu* penser à ce genre de plan, *en amont*, et je dirais même plus, s’assurer que *tous* les consultants officiels passent pour des buses, afin d’assurer la réussite de ce plan, vu qu’on est tous sûrs, certains, juré craché que ce sont des brêles finies…

        Argh, mais dis donc, ils nous manipulent depuis le début, alors???

        Euh, non, en fait, ce sont vraiment des pinces… et toi, tu paranoïd un poil, relax max 😉

        no offense, j’aime vraiment tes posts, mais là, la théorie du complot, faut pas trop quand même…

        Peace (avec vigilance quand même 😉

      2. Heu là pour le coup, je suis clairement la buse ça j’avais pas suivi le changement de nom du projet, encore une fois c’est vraiment pas dirigé contre vous. Le truc, et je pense être amené à en causer, c’est qu’il existe sur ce marché des entreprises pour le moins douteuses.

        Ensuite je tente surtout de replacer le débat sur les fondamentaux :

        1° qu’est ce que ça sécurise ?
        2° comment ça le sécurise ?
        3° quelle confiance porter à ces dispositifs ?

        Et le 3° est ultra important car la confiance est le fondement même d’une politique de sécurité.

        Sinon côté buzz, il y a des trucs plus sexy que le VPN non ?

        😉

        1. oui, sorry, réaction un peu épidermique de ma part, et je tiens à préciser que je ne fais pas partie du staff d’IPJetable (mais j’en suis utilisateur)

          Allez, juste pour rire:

          Imaginons un instant que les super technicos embauchés dans les majors viennent de se rendre compte que le VPN (bien qu’imparfait il est vrai), soit une plaie à contrôler actuellement (vu la peine qu’ils ont à essayer de mettre la paluche sur les coms en clair, ils doivent déjà en avoir une vague idée).

          Moi, si j’étais eux, j’aurais aussi l’idée du siècle: faire courir le bruit que certains (flou artistique de rigueur ici) VPNs sont controlés/surveillés/subventionnés par les puissances ocultes…

          Ca coûte pas cher (moins qu’Hadopi en tout cas), et ça foutra certainement les jetons à un population qu’Hadopi a loupé au niveau anxiogène, que du bonus.

          Tout ça pour dire que je suis d’accord avec toi, et qu’on devrait en rester à un niveau purement technique, même si c’est de la vulgarisation, attention aux interprétations, et encore plus attention à ne pas filer de bonnes idées/arguments au côté obscur de la force…

          Merci pour ton travail

          P.S. au fait, HADOPI, en verlan, ce serait plutôt quelque chose du genre PIDOHA, les d’jeuns, il savent pas épeler, alors inverser les lettres 😉

          1. N’y a-t-il pas une contrainte commerciale/juridique dans ce cas : je paye pour garantir mon anonymat (où le chiffrement des données, je ne suis pas sûr de saisir la nuance évoquée par Bluetouff !) mais si mon identité est révélée, je dois alors pouvoir me retourner contre mon prestataire. Non ?

            Genre « non respect de la clause de non-divulgation » ou similaire…

      3. Toutefois, une telle démarche de la part des ayant-droit se heurte à une limite juridique.

        En effet, en participant à la mise à disposition des contenus, ils rendent le téléchargement licite, puisqu’ils détiennent les droits pour ce faire, contrairement à l’internaute lambda.

        En outre, un tel procédé pourrait aussi être considéré comme déloyal ce qui est une autre raison qui invaliderait l’action en justice.

        Mes 0,02€,
        p @ T

  5. « Allez, fermez les yeux, et imaginez un instant que je travaille pour Universal »

    Des soupçons à partager avec tes lecteurs ?
    Utilisant parfois OpenVPN avec un provider étranger ça m’interesse…

    1. Je n’ai pas d’élément pour étayer mes propos en France, mais je risque d’être amené à causer de providers douteux dans un prochain billet de la série

  6. Ce billet est ma foi intéressant, j’ai quelques remarques supplémentaires toutefois:

    1. Les Systèmes Autonomes ne communiquent pas qu’au sein des IX mais aussi par des liens de peering privés. ( clients fournisseurs de transit, pour du multihoming par ex; bien peerings inter-opérateurs,…). Pour moi la vrai définition de l’Internet Exchange c’est comme la partouze, soit 3 acteurs ou plus (qui ne sont pas obligés de peerer ensemble toutefois)

    2. écouter sur un IX, même en ayant l’autorisation pour, c’est pas si facile. Logger systématiquement tous les paquets qui transitent sur les équipements c’est absolument désastreux pour le throughput. le but étant de faire commuter les paquets le plus rapidement possible d’un port à un autre, on se fout généralement de savoir ce qu’il y a dedans. A matériel équivalent un switch L4 commutera 10 à 20 fois moins de PPS qu’un switch L2-3 . pour un équipement L7 c’est encore bien pire ( principal probleme technique qui évite la généralisation du DPI ) Reste le mirroring de ports mais c’est encore encore pire: ca bouffe des ports et du fond de panier sur les équipements.

    my 2 cts,

    W.

    1. Pour le 1 effectivement les IX c’est bien quand on a plusieurs AS

      Pour le 2, j’ai pu constater il y a peu l’existence de routeurs de services qui de classe terabit http://www.alcatel-lucent.com/wps/portal/newsreleases/detail?LMSG_CABINET=Docs_and_Resource_Ctr&LMSG_CONTENT_FILE=News_Releases_2008/News_Article_000946.xml

      Ce n’est déjà pas récent et la prochaine génération de cartes modulaires pour ces équipement vont accueillir de très grosses puissances de calcul, voir https://bluetouff.com/2010/08/25/la-deep-packet-inspection-mpls-alcatel/

      Donc oui , ce n’est pas simple, oui ça coûte cher, mais je crois que c’est bien comme ça que les agences gouvernementales opèrent. Ensuite ces routeurs de service analysent des hash, si un hash match alors ils épluchent le paquet.

  7. Pour ma part, je me contente de dire à mes amis : Le VPN permet simplement d’être hors juridiction des agents de la TMG, IP française transformé en IP, allez au pif, hollandaise. Et hop.

    Après il faut pas être gogo et prendre un VPN US.

    Par contre j’ai hate des explications sur les méthodes pour trouver l’adresse ip d’origine caché derrière un VPN (comme le petit problème avec ceux qui sont en IPV6)

    1. J’ai pas très bien compris ta phrase :
      « Après il faut pas être gogo et prendre un VPN US. »

      1 – Il ne faut pas être Gogo en prenant un VPN US
      2 – il ne faut pas être Gogo en prenant un VPN Hollandais mais en trouver un aux US ?

      Les gentils policiers américains ont les droits complets pour aller voir ce qu’il se passe à l’intérieur, ensuite, faut pas oublier que la plupart des ayant droit sont ‘ricains aussi, et que si ils ont besoin de venir voir ce qu’il se passe, ils le feront.

      Une méthode simple, valable entre autres sur certains VPN Hollandais est la suivante :
      Se connecter sur le même VPN que le tien, ensuite, en théorie on est sur le même réseau, donc on peut faire pleins de choses intéressantes comme exécuter des requêtes de type ARP, lire des trames IP qui contiennent des informations particulières etc etc…

      1. C’est interessant ce que tu dis. Je me suis toujours demandé ce que pouvait voir au juste un espion qui serait connecté au même serveur vpn qu’un utilisateur donné.

        Ceci dit, la méthode que tu évoques ne marche pas toujurs: Certains provider notamment hollandais, empêchent le vpn d’établir une connection avec une adresse située dans le même datacenter. Ce qui a bien sur un inconvénient: Si tu utilises un vpn hébégé dans le même datacenter qu’un certain tracker torrent, tu ne peux plus utiliser ce tracker (ou alors, il faut, par dessus le vpn, utiliser un proxy, ou une application style ultrasurf, ou jondonym, ou tor). Idem pour les sites hébergés par le datacenter: Impossible de s’y connecter. C’est un handicap, Mais ces désagréments sont compensés par une sécurité plus grande.

        IL y a aussi le cas des vpn qui attribuent directement une ip publique (c’est le cas de Ipredator si je me souviens bien). Dans ce cas, je n’ai pas l’impression que la technique dont tu parles puisse marcher.

  8. J’essayais d’expliquer ça a une journaliste il y a peu. Reste l’option de mettre les VPN en cascade. Celui du bout voit ce qui s’échange, celui de devant voit qui échange, mais personne n’a toutes les cartes en main . . . Pour peu qu’on utilise pas un client bittorent crétin qui balance l’IP publique à tous vents.

  9. Merci.
    Il me semble important de démontrer que l opposion a l Hadopi n est pas pro piratage mais surtout et proliberté et que le remède sera (est?) pire que le mal. Plus besoin de steganographie pour donner lavrecette de la bombe aux fraises tagada ou des photos de gosses. S il s agissait vraiment de sécurité nationale ( qui prime a mon avis sur la sécurité des golden parachutes et des amis) la mule était un
    Excellent moyen pour les agence gouvernementales de contrôler son territoire. Bref tt ca pour dire que critiquer les wawazoulous ou les gogos ne pouvants pas se payer une sceance ciné en famille,est une bonne voie pour nous recrediter. Par nous j entend les 4 Gus dans un garages. Merde. On serait une dizaine m annonce t on a l instant.

  10. On avait déjà abordé le sujet là dedans :  » Hadopi.fr : un intérêt manifeste ».

    Le truc c’est que la plupart des gens pensent avoir des solutions miracles, car un tel a dit que le VPN ici, que Tor là bas…

    Pour reparler de Tor, il faut savoir que le pool de connexion aux grilles du réseau en oignon se trouve aux Etats-Unis, et pour revenir à ce que Bluetouff a dit, chez l’oncle Sam, ce qui se passe doit être visible pour les autorités.

    Au sujet du contenu, en France, pendant longtemps, les clés de cryptage pour les particuliers étaient limitées à 128bits (voire 256 – source à vérifier). Aujourd’hui, leur taille est illimitée.
    Mais au rythme où vont les choses, il faut s’attendre à une régression et à une remise en place de cette limitation.

    Au sujet du VPN, si on s’arrête au simple fait que les IP sont quand même listées par les renifleurs en tout genre, on peut très bien imaginer qu’un range IP revienne de manière récurrente.
    Par exemple, beaucoup de VPN sont hébergés en Hollande et donc couvrent un range IP donné. Or, il est très facile de retrouver la source.
    Donc si un service VPN doit tomber, nos chers dirigeants ont juste à passer un coup à leurs homologues hollandais voire européens pour accélérer la procédure. J’entends par là, arrêt des services, saisie des serveurs, logs de connexions et comptes bancaires utilisés pour les paiements… même une adresse paypal n’est pas suffisante pour garantir l’anonymat, car à ce compte là, la procédure remontera jusqu’à paypal.

    1. Je ne pense pas qu’il y’ai une coopération européenne à ce niveau là, car ça implique que la magistrature européenne communique, or on voit que dans des cas criminels ce n’est pas simple, personne n’engagera du temps et de l’argent pour faire fermer un vpn hébergé à l’étranger, encore plus vrai lorsque le siège est hors europe.

      1. Bah…
        Ce qui m’inquiète là dedans, c’est que ce sont des requins comme Universal, Sony et j’en passe qui sont derrière cela,
        ce sont des requins, et un requin ne s’arrête pas tant qu’il sent l’odeur du cents…
        Bref, au niveau de l’entente européenne, l’Acta est en route, et même si nos euro-députés sont contre à la base, il y en a beaucoup qui vont se faire acheter au passage et la tendance changera.

        J’aimerai bien savoir combien certains du gouvernement français ont touché pour prendre des décisions anti-démocratiques.

    2. Pour les comptes bancaires, de plus en plus de vpn offrent des solution plus réellement anonymes que Paypall, comme les cartes prépayées (Ukah, pyssafecard) ou KashU. La tracabitilé est difficile, surtoutsi tu as achetéless pays safecard loin de chez toi,à l’occasion d’un déplacement.

      C’est le cas notamment de Jondonym, et d’aures vpn

  11. Excellent billet comme d’habitude.

    Sur le coup j’ai regretté que tu annules la première version, mais c’est vrai que c’est bien meilleur maintenant. 🙂

    Penses-tu approfondir les propos de Bernard Barbier sur l’identification par recoupement d’informations dans leurs « bases de méta-données » ? Ca me semble un des points cruciaux de la difficulté à être anonyme sur le net, comme tu le laisse entendre en début de billet.
    Et ça ne s’applique pas qu’aux agences gouvernementales, mais à une autre échelle, c’est aussi possible pour certaines compagnies privées.

    Bon courage pour la suite (que j’attends avec impatience).

  12. Il faut juste BIEN être conscient de ce contre quoi un VPN protège, et/ou à quoi il peux servir.

    Là, on dit : « Contre la méthode utilisé par TMG, un VPN (basé à l’étranger, ca va de soit) fonctionne. »

    Rien de plus. Il est possible que un jour TMG change de méthode, que Univer-sale étende sa « prestation » en dehors de France… c’est clair. Et un VPN pourra, ou ne pourra plus être la solution.

    A l’heure actuelle, avec la méthode actuelle, un VPN avec une IP de sortie dans un pays « ami des internautes » est une solution. Qui comporte des risques (trafic en clair de sortie donc fishing, …)

    C’est comme tout il faut savoir l’utiliser: On ne va pas cliquer sur un fishing dans un mail sous prétexte que « je suis protégé, ya le VPN ».

    Ensuite, les VPN peuvent aussi servir a autre chose, par exemple contourner les restrictions géographiques de certains site, vu qu’ils sont assez con pour ca.

    Perso j’ai plusieurs VPN, selon ce que j’utilise:
    Pour Hulu.com, j’en ai un aux US, et pour d’autres chose, j’ai des points de sortie (voire même des machines virtuelles) dans des pays ou non, « il ne suffira pas de passer un coup de fil à leur homologues européen ».

    De mon point de vue le but VPN, c’est pas *forcément* de se rendre anonyme:
    C’est d’augmenter drastiquement le coût manuel de recherche de la personne physique.
    En cas de crime grave, ce coût ne représente rien: Un coup de fil en anglais, un papier d’un juge, et en avant.

    Mais pour une répression de masse comme actuellement, le but des VPN est JUSTE de compliquer sérieusement l’identification *automatique* des gens.

    Certes on aura peut-être des « rogue VPN », qui se feront un plaisir de vendre un service VPN d’un coté, loguer soigneusement le trafic et puis vendre ensuite au plus offrant ces logs juste avant de disparaître et de recommencer: On a pu voir qu’il y a toujours des corbeaux qui ne s’embarrassent ni de morale ni de justice quand il s’agit du business, l’affaire récente du cabinet d’avocat le montre.

    Mais le principal est d’avoir UN GRAND NOMBRE de VPN, un peu partout dans le monde. Autrement dis que les gens ne choisissent pas tous les mêmes.

    Enfin, il faut voir un truc : Les services de VPN qui se montent actuellement font souvent une simple revente (avec marge…) de services qui existent déjà: Lors du choix d’un VPN, il est bon de voir ceux qui existent depuis longtemps, les avis des utilisateurs, et de chercher un peu pour pas prendre le 1er lien que renvoie Google….

  13. En tous cas pour l’instant il n’y a pas d’écoute judiciaire sur les IX. Les écoutes Internet sont pour l’instant au stade expérimental et impliquent la mise en place d’un matériel sur la ligne adsl de l’abonné.

  14. tout à fait d’accord avec Obinou sur le but du VPN vs Hadopi pour le moment. C’est clair que ce n’est pas la solution ultime, mais y-en-a-t-il ?
    Une petite question : je serais curieux de savoir comment récupérer l’adresse IP « d’origine » derrière un VPN.
    Autre point : la plupart des fournisseurs de VPN déclarent ne stocker aucun log de connexion : si on suppose qu’ils disent vrai, est-ce suffisant ?

    ps : premier commentaire sur ce blog que je suis depuis plusieurs mois et dont je partage très souvent les points de vues pertinents !

  15. <>

    Sur le principe oui, mais combien y’en a qui vont utiliser ça pour continuer à DL comme des fadas aussi…
    C’est là où ça me dérange :
    Ok, faut emmerder l’hadopi, TMG et tout ça, mais si ce n’est que pour continuer à faire ce qui était fait avant, je suis complètement contre, ce n’est pas une solution.

    1. Oups, je répondais à cette phrase :

      « tout à fait d’accord avec Obinou sur le but du VPN vs Hadopi pour le moment. »

  16. Que le VPN ne garantisse pas l’anonymat, c’est entièrement vrai. En revanche, on ne peut pas dire que le VPN ne protège pas de l’inspection de paquets (si on se focalise sur le plan technique uniquement), c’est justement son utilité !

    Si je passe par un VPN islandais pour télécharger « blockbuster.avi » sur le PC de machin, big brother verra que « blockbuster.avi » circule entre le PC de machin et le VPN. Il verra également que mon PC communique avec le VPN mais ne saura pas quelles informations sont échangées. Après les informations de connexions (« mon PC demande à se connecter au PC de machin via le VPN ») passent en clair, mais il me semble que ce problème ne concerne que les proxys, et qu’il est possible de pour l’utilisateur de contourner ce problème (http://15minutesoffame.be/nico/blog2/index.php?article12/securiser-et-rendre-anonyme-sa-navigation). Enfin d’après ce que j’ai compris (dis-moi si je me trompe).

    Ensuite il se pose le problème de la confiance. Le responsable du VPN/proxy va-t’il conserver et communiquer les logs ou pas ? On retombe dans le problème de la minitélisation du net, qu’expérimentent déjà les adeptes du direct download. La rétention et l’utilisation malveillante des données n’est pas un problème spécifique au direct download : celui-ci se pose dès qu’on utilise du SaaS, et le VPN/proxy fourni par une organisation extérieure, dans le principe, c’est du SaaS.

    Mais si j’ai bien compris, il existe des solutions à ce problème. Tout d’abord, on peut minimiser les risques en faisant appel à plusieurs services. C’est par exemple le principe de TOR : je passe par X nœuds en me disant que dans les X administrateurs des différents nœuds, il y’en aura au moins un d’honnête. Bon, TOR ne permet pas le P2P, mais les darknets le permettent, et fonctionnent sur le même principe. (je serais d’ailleurs curieux de savoir s’il existe des réseaux de VPN indépendants reliés entre eux, à la TOR)
    Si minimiser les risques n’est pas suffisant, on peut faire comme on fait toujours lorsqu’on a besoin du cloud computing mais qu’on ne veut pas du SaaS : on crée son propre service chez soi. On achète un local dans un pays libre (ou pas) dans lequel on place son propre serveur OpenVPN dans lequel on conserve les logs (ou pas).

    Voilà tout ça pour dire que je ne comprends pas bien, Bluetouff, pourquoi tu décries autant le VPN (à part pour les spams que tu reçois). À l’heure actuelle ce système me paraît quand même une assez bonne défense contre le DPI.

    1. Il ne décrie pas le VPN, il dit simplement que ce n’est pas la panacée… la différence entre anonymat et chiffement (donc, impossibilité d’analyse du payload) est importante, effectivement. Quelque soit ce qu’on fait sur internet, on a le droit (et même si on est « honnête ») d’être anonyme. Je n’ai pas envie que mon provider sache que je suis amateur de grand meres en string, ou que je collectionne les pingouins en plastique.

    2. Au passage GNUzer, non, les VPN ne te mettent pas _du tout_ à l’abris du DPI, ils te mettent au mieux à l’abris de certaines techniques de reconnaissance de contenus.

  17. Hey Bluetouff!!

    Merci pour ce magnifique billet qui introduit un vaste thème de grand interet pour tout internaute un minimum éveillé!

    On attends les prochains avec impatience!

  18. T’as oublié un autre point, plus politique: le VPN participe à une tendance selon laquelle l’utilisateur s’éloigne d’Internet, y devient moins visible. Son accès devient une espèce de « terminal » injoignable.

    On assiste à une « fuite » des utilisateurs, qui (déjà depuis des années) préfèrent avoir une IP dynamique, apprécient le fait d’être derrière un NAT, ont peur d’IPv6, et maintenant trouvent souhaitable de rajouter une couche de VPN entre eux et Internet.

    Tout ça pour tipiaker, c’est un peu dommage..

  19. « si on a rien à se reprocher, on a rien à cacher  »
    Ceux qui tiennent ce discours sont en général des bien-pensants qui ont énormément de choses à se reprocher mais qui sont assurés, de par leurs relations, que cela restera bien enfoui.
    C’est un discours purement de droite qui dissimule le caractère très policier de celui qui le profère.
    Le quidam a mille voire un million de fois moins de raison de cacher quoi que ce soit qu’un politicien ou un patron du CAC40.
    En revanche il a un million de fois plus de souci à se faire quant à l’utilisation à son détriment des informations glanées sur lui : données fesse-bouc lors d’un recrutement, données commerciales lors d’une demande de crédit, données politiques lorsqu’il s’agit de faire pression, etc.
    Il y a une règle d’or dans ce bas monde : « pour vivre heureux, vivons cachés. »
    Ou encore : « moins les autres en savent sur nous mieux on se porte. »

    db

  20. Il y a une règle d’or lorsqu’on utilise un moyen d’anonymisation, quel qu’il soit (de courriel, de transit, un proxy http, un VPN, etc).
    C’est AVANT TOUTE CHOSE de le valider contre soi-même.
    Par exemple, lors du choix d’un proxy soit-disant anonyme, monter rapidement un petit serveur Web chez soi et utiliser le proxy (ou le réseau de proxies) en adressant ledit serveur web afin de vérifier, dans les journaux, que le fameux proxy ne laisse effectivement aucune trace (notamment en repérant les entêtes Via-).
    Même chose lors du choix d’un VPN : le tester contre un service aux journaux duquel on a accès afin de vérifier que le VPN ne laisse effectivement rien transparaître du réseau d’origine.
    Une mauvaise configuration est si vite arrivée.
    En revanche, rien ne peut être vérifié lors qu’un fournisseur de produits affirme qu’il ne conserve pas les journaux.
    Dans l’immense majorité des cas, il se met en porte-à-faux avec sa réglementation locale.

    De manière générale les services de concentration devraient être évités : ils sont très facilement localisables et s’ils font l’objet d’une injonction c’est toute la base clientèle qui est révélée.
    C’est la raison pour laquelle les réseaux décentralisés restent LA solution ultime pour lutter contre la chasse des ayant-droits.

    db

  21. J’ajoute un point positif concernant le P2P : il exploite bien mieux l’infrastructure par nature décentralisée d’Internet que tous les usages de concentration que l’on observe depuis quelques années : video, DL, etc.
    C’est en partie à cause de ces usages fortement centralisés (mais en partie décentralisés quand même pour des raisons de déchargement de la bande passante : 1Tbit/s c’est difficile au niveau de Mountain View) que les fournisseurs peuvent, aujourd’hui, gloser en défaveur de la neutralité du Net.
    db

  22. @Gourmet:

    Sauf qu’il y a un certain paradoxe à, d’une part, cacher sa propre connexion à Internet (alors qu’Internet n’est pas franchement conçu pour ça), vouloir être un « internaute anonyme » d’un point de vue technique, et d’autre part s’étaler sur Facebook, échanger des mails en clair, discuter sur MSN, utiliser Skype, ou tout autre usage franchement pas génial pour la vie privée, en passant par des services tiers.

    Si on veut protéger sa vie privée sur (par exemple) le Web, filtrer ses cookies, bloquer Flash et le javascript, est largement plus efficace qu’une IP dynamique ou un VPN.

    Signé: l’internaute qui habite sur 80.67.176.109, et qui n’a pas honte de son IP. Avez-vous honte de votre numéro de téléphone?

    1. Donne moi ton numéro de téléphone pour que je t’harcèle et tu vas comprendre pourquoi de nombreux français sont sur liste rouge et n’aime pas les démarches commerciales.

      1. Je serais idiot de me plaindre de harcèlement, si je publiais sur Internet une annonce du genre « Téléphonez moi au 0X XX XX XX XX pour avoir des DivX gratuits. »

    2. @Grunt
      C’est un manque (ou un défaut) de conscience.
      S’il y a tant de gens sur fesse-bouc c’est que l’immense majorité n’imagine pas un instant que :
      – elle n’est plus l’unique propriétaire de ses infos (c’est con pour les photos des gamins) ;
      – on puisse utiliser ses informations contre elle.

      J’ajouterai que l’immense majorité des fesse-bouquetins ne parle pas à ses voisins (géographiques), ne répondrait absolument pas voire porterait plainte immédiatement si un inconnu venait à lui demander une photo.
      Mais sur les réseaux électroniques, tout à coup, la distance est levée, les barrières s’abattent et tout le monde devient gentil.
      Extraordinaire non ?

      En fait, pour en revenir au sujet, il ne s’agit pas de cacher sa connexion à Internet. Il y a une grosse confusion entre ne pas apparaître aux yeux des lobbies d’ayant-droits et se cacher. Comme si la seule solution pour ne pas apparaître aux uniques yeux des ayant-droits s’était se cacher de tous.
      Cette confusion est entretenu par le démarchage de certains concernant les VPN.
      Il y a bien d’autres solutions couvrant la problématique :
      – bloquer toutes les adresses françaises mais uniquement au niveau du protocole P2P ;
      – utiliser d’autres réseaux difficiles à surveiller comme FreeNet, Ant, Mute (bon il n’y a pas grand chose à grailler sur ces réseaux) ;
      – utiliser de la simple encapsulation ipv6/ipv4 dans ipv4 (avec une adresse ipv6/ipv4 allouée dynamiquement depuis un fournisseur étranger) ; cela est un VPN au sens strict mais ce n’est pas ainsi que les démarcheurs entendent le terme VPN désormais (ils y ajoutent implicitement la confidentialisation).

      Tiens, tant que j’y pense, une remarque au sujet de la confidentialisation. Cela rejoint Blutouff du reste.

      Le fait de marteler que le tunnel est confidentialisé avec du chiffrement fort (certains parlent de 256 bits [d’autres se vautrent allègrement en parlant de 2038 bits sic]) rassure le client. Si c’est confidentiel alors c’est vachement bon !

      Sauf que ce n’est pas la confidentialité du tunnel qui compte mais la confidentialité de la bouche de sortie du tunnel ! Si elle cause trop, on a beau avoir un tunnel hyper-protégé, ça ne sert pas à grand chose.
      La problématique est différente pour les états totalitaires (comme la France) où c’est le tunnel qui est écouté et l’objectif du VPN est de sortir du pays sans être vu et qu’on y reviendra pas.

      Bref, concernant les offres de VPN on assiste au marketing classique de masse en tentant coute que coute d’accrocher le chaland. Et l’aspect sécuritaire fonctionne plutôt bien ces temps.
      db

      1. « S’il y a tant de gens sur fesse-bouc c’est que l’immense majorité n’imagine pas un instant que :
        – elle n’est plus l’unique propriétaire de ses infos (c’est con pour les photos des gamins) ;
        – on puisse utiliser ses informations contre elle. »

        Pour le premier problème, il me semble qu’apprendre à lire aux gens devrait suffire. Les conditions d’utilisation de Facebook expliquent ça très bien. On devrait rendre l’école obligatoire et y donner des cours de français.

        Pour le deuxième problème, si les gens croient vivre sur la planète des bisounours, tu veux y faire quoi?

        « Il y a une grosse confusion entre ne pas apparaître aux yeux des lobbies d’ayant-droits et se cacher. »

        Il n’y a pas de confusion: ce que tu fais publiquement, est public, donc accessible aux ayants-droits. Si tu ne veux pas cela, alors il faut faire les choses de façon privée.

        « Il y a bien d’autres solutions couvrant la problématique : »

        Hé, t’en as oublié une: respecter les droits d’auteurs. C’est la plus simple.

  23. Bonjour,
    Pardonnez mon ignorance, mais il y a un détail qui m’échappe conçernant les VPN. Effectivement, et comme le démontre l’article, l’utilisation d’un vpn ne nous protège pas du fait que Hadopi sache que l’on utilise des réseaux P2P. Mais cependant, il sera impossible de savoir si j’ai utilisé le réseau p2p à des fins légales où non ?
    Pour être plus clair : si j’utilise mon vpn et un réseau P2P pour partager mon montage vidéo, vais-je reçevoir un courrier ?

    1. Merci d’avoir posé cette question (que je me pose également).

      En effet, quand j’utilise un p2p pour télécharger de la musique électronique, faite par des passionnés non représentés par telle ou telle maison de disques, j’échange quand même des données sur le réseau p2p.

      Suis-je condamnable, bien que ne téléchargeant pas de fichiers protégés par copyright ?

        1. Il serait interressant d’avoir accès à un listing des fichiers surveillés…
          De plus, cela boosterait le marché de l’auto-production et courcircuiterait le business des majors.

  24. Gourmet: « Dans l’immense majorité des cas, il se met en porte-à-faux avec sa réglementation locale. »

    C’est vrai. Par contre il est exceptionnellement rare que la réglementation impose, comme en France aujourd’hui, un accès « automatique » et déshumanisé aux logs, via un système d’information prévu pour.

    Dans les autres pays, il FAUT adresser une requête judiciaire, traitée manuellement & humainement.
    C’est ce qui permet de traiter les cas graves, et ne pas franchir la ligne jaune de la répression de masse.

    « J’ajoute un point positif concernant le P2P : il exploite bien mieux l’infrastructure par nature décentralisée d’Internet que tous les usages de concentration que l’on observe depuis quelques années : video, DL, etc. »

    Tout à fait d’accord, même si a mon sens il manque encore une petite couche au niveau de la localisation des noeuds: Par exemple, avec un système qui essaye d’abord de pomper à l’intérieur d’un AS (si possible) avant d’aller taper les autres. Histoire de libérer les liens couteux entre les AS pour des trucs plus interactifs.

  25. Finalement hadopi n’est pas une loi voulue par les lobbys de « l’industrie culturelle » mais par les vendeurs de VPN !!! {en tout cas elle est taillée sur-mesure pour eux}

  26. @flyod

    Heum, je ne partage pas ton point de vue qui est trop orienté « marché français ». Les fournisseurs VPN n’ont pas attendu que le gouvernement français pète les plombs pour se lancer. Des fournisseurs comme StrongVPN existe depuis plus de 10ans… Non, le marché des VPN est bien ailleurs qu’en France. Il est surtout dans les pays où la censure est très forte. Et comme par hasard il y a la Chine dans ces pays. Hors le marché chinois représente à lui tout seul bien plus que notre petit pays avec sa loi Hadopi.

    Le marché des VPN est ailleurs, c’est bien pour cela que presque aucun fournisseur VPN ne propose de site en français. Et c’est bien pour cela également qu’aucun fournisseur VPN ne met en avant tous les aspects de vie privée. Ils communiquent plus sur le fait de contourner les restrictions pays, entreprise, hôtel et bien sur des médias.

    De façon plus générale, sur ce post qui est très intéressant, je pense que le débat est ailleurs. Les « pirates » n’ont pas besoin des VPN. Pour télécharger, ils utilisent déjà beaucoup d’autres réseaux/moyens comme les newsgroups, les seedbox, les http://ftp...

    1. 9avril80: « De façon plus générale, sur ce post qui est très intéressant, je pense que le débat est ailleurs. Les « pirates » n’ont pas besoin des VPN. Pour télécharger, ils utilisent déjà beaucoup d’autres réseaux/moyens comme les newsgroups, les seedbox, les http://ftp.. »

      Tout à fait. Et c’est pour ça que ce buzz autour des V*N (allez, bientôt 200 occurences dans cette seule page….) est révélateur d’une incompréhension/méconnaissance totale de la situation. Dans la problèmatique actuelle d’HADOPI, ne pas passer par les réseaux P2P suffit (comme si c’était la seule « source » disponible…).

  27. Sa fait bientôt 1 ans que je vous ( te ? ) lis , je suis un novice en informatique mais , la construction de votre site et de vos article son claire et m’apporte un peu plus a chaque billet écrit donc MERCI et bonne continuation !

  28. Le problème de la vie privée sur le net m’intéresse depuis pas mal de temps, et ma tête explose quand j’essaie de lister tous les moyens qu’ont les différents acteurs (FAI, moteurs de recherche, régies de pub, officines de renseignement, …) de capter, stocker, coreller et exploiter les informations qu’on génère involontairement avec notre activité sur les réseaux. Je commence à penser qu’il n’existe pas de solution technique parfaite pour s’assurer du respect de ce droit.
    Votre FAI sait que vous utilisez un VPN, quand vous l’utilisez, les volumes transférés. Votre fournisseur de VPN sait qui vous êtes (si vous le payez autrement que par billets glissés dans une enveloppe), au moins votre adresse IP d’origine, et voit tout votre trafic. Il existe de multiples moyens pour faire révéler à une machine cachée derrière une adresse de VPN une identité exploitable (l’inciter à communiquer via IPv6 quand ce protocole n’est pas lui même tunnelé, les cookies HTTP, les requêtes DNS, …) Et je ne parle pas de ce qu’il est possible de faire avec des sondes et du tatouage de flux à la Riguidel …
    Malgré tout çà, je ne suis pas de ceux qui prônent l’abdication devant la complexité et qui se résignent en devenant des « rien-à-cacher » inconscients, à la limite de l’exibitionisme. Il ne faudrai pas non plus se couper de l’utilisation de nos outils numériques, figés par la paranoïa. Il y a quand même des moyens de résister et de rendre nos traces moins lisibles, plus difficiles à exploiter, de les noyer dans la masse à défaut de les rendre invisibles. Je crois qu’il y a aussi un gros boulot d’information à faire auprès des utilisateurs sur les traces. On doit pouvoir savoir qui sait quoi et agir en conséquence. Merci pour cet article qui va tout à fait dans ce sens !

  29. Pour se protéger d’HADOPI, quand on télécharge les merdes mainstream, il y a quand même plus simple.

    1. Un PC contient généralement une carte son et une carte vidéo.
    2. Des sites de streaming proposent l’écoute de morceaux entiers, gratuitement.
    3. J’enregistre donc ce qui sort de ma carte son. C’est largement de la qualité de ce qui est diffusé.

    Bien sur, la parade existe : interdire l’utilisation des PC. Mais ça, même en Chine ils n’ont pas osé.

    Quand à la vie privée, c’est un autre pb. Internet n’a pas été conçu pour ça. On peut toujours chiffrer ses mails (contenus ET en-têtes), jouer à la triple enveloppe, etc. mais il y a toujours le pb de l’implémentation. Il y a quand même des tentatives : http://adullact.net/plugins/mediawiki/wiki/milimail/index.php/Trustedbird_Project/fr

  30. Un autre aspect de la loi HADOPI est intéressant : les mêmes personnes qui ne sont pas prêtes à payer pour télécharger du contenu sont prêtes à prendre un abo VPN, Rapidshare, Usenext ou Megaupload.

    Vivendi devrait commencer à se poser des questions : est-ce qu’il ne vaudrait pas mieux refourguer Universal et investir dans le stockage ? Pourquoi est-ce ces c.o.ns de consommateurs ne veulent pas payer ma merde Drmisée et compliquée à utiliser, mais veulent bien payer des boîtes qui la leur servent sur un plateau…

  31. La technique du « Honey Pot » a toujours de beaux jours devant elle 😀
    Et faire un pot de miel avec un VPN c’est encore mieux qu’avec un pauvre proxy, on y récupère beaucoup plus d’infos.
    Il y en a qui vont se régaler à glaner des données (et en plus se faire payer pour ça) et d’autres qui vont avoir des surprises…

  32. Peut-être qu’au final il faut fuire ces solutions VPN de masse… et faire son petit marché de dédiés pas cher, dans des pays moins cons et dont la legislation soit quand même un minimum encadrée.

    En Europe, il y a l’Espagne qui donne ouvertement le droit au partage sur internet… et chez ran.es, un dédié virtualisé de base c’est 9€/mois, tarif pour lequel on a de base un SSH et au delà on peut y installer une solution VPN que l’on maitrise sur son dédié… et y faire tourner d’autres services (client BT, site web…) ou un peu de stockage.

    C’est plus cher qu’un VPN de base à 5€/mois, mais cela offre aussi d’autres possibilités… On peut immaginer le partager entre plusieurs utilisateurs proches et de confiance plus facilement, afin de répartir les couts. Accessoirement, ça rends encore plus compliqué d’éventuelles investigations.

  33. Je te vois en tant qu’expert sur le sujet. Pourrais-tu donc répondre à cette interrogation :

    1- Est-ce que le VPN protège d’un éventuel traçage suite à des téléchargements sous FTP privé ou via des liens rapidshare / hotfile / megaupload ?

    Merci d’avance,
    Yoann

  34. Bonjour Bluetouff,

    Habitant en Chine (et oui, les aléas de la vie, du boulot, etc), je me retrouve à utiliser assez souvent un VPN, notamment pour des usages aussi débiles que me connecter sur facebook et avoir des nouvelles des potes, suivre quelques personnes sur twitter, voire même écrire dans mon blog (toutes choses qui sont, selon l’humeur du gouvernement local, plus ou moins bloquées – la France n’en est pas encore là, même si l’internet civilisé de notre Guide Suprême est conceptuellement assez proche de l’internet harmonieux du PCC). A tout hasard, the pirate bay ou isohunt sont aussi censurés (pardon, harmonisé), mais les entreprises locales sont leaders dans le streaming en P2P.

    Mon fournisseur de VPN me permet d’avoir une bouche de sortie dans différents pays (US, Royaume-Uni, Allemagne) – je choisis le serveur au moment de la connection. Qu’en est-il alors du régime des logs? Doivent-ils être conservés selon les lois du pays du serveur ou selon celles du fournisseur de VPN?

    Merci d’avance,

    Manu

  35. Article intéressant mais qui pour moi tend trop vers le technique, le… pointu, alors que ce n’est pas vraiment à l’ordre du jour (peut être à celui de demain avec acta&co mais comme on dis, à chaque jour suffit sa peine.)
    Faut pas se détourner de l’idée de base qu’est la machine hadopi : une machine qui est d’abord là pour faire peur. Spammer un max de guguss en leur expliquant qu’il on été pris en flagrant délit et qu’il ont intérêt à pas recommencer.
    Alors les VPN ne sont surement pas infaillibles (et là l’article est très bien documenté et expliqué) mais tant que les lobbies et gouvernement seront dans cette optique de dissuasion massive par la peur via des dispositifs comme hadopi, pas la peine de chercher à faire compliquer quand on peu faire simple.. un (bon) vpn et basta..
    Je rejoint en revanche l’auteur sur la partie « intégrité » des service vpn : faut bien comprendre que c’est comme confier son transit de données a un deuxième fournisseur d’accès intermédiaire en plus de celui de base. Après, un vpn qui s’amuserait à intercepter les données personnelles de ses clients à des fins malhonnêtes je pense que ça se saurait rapidement.. les réputations se perdent encore plus vite qu’elles ne se forgent..

    Je vois que ça gamberge beaucoup aussi niveau anonymat dans les commentaires… moi je voit ça de manière plus simple. Imaginons que je veut mettre en ligne des documents secrets/compromettants/calomnieux??oO (rayer la mention inutile), ou encore publier un article sensible.. bon bah hop un petit portable dont on va soigneusement changer l’adresse mac des périphériques réseaux, un bon wifi macdo ou particulier-pigeon sous wep rapidement approprié.. un peu de TOR pour pimenter le tout et c’est parti mon kiki.. (penser à payer en liquide votre milkshake si vous choisissez l’option macdo :D). Le reste du temps pour une utilisation normale quotidienne je dirais qu’il faut faire en adéquation avec la sécurité propre a sa connexion et réguler son usage de manière intelligente..

    Perso j’attends de voir un peu quel rendement hadopi va arriver à avoir et la « fréquence » de réception des mail pour réguler ma consommation illégale ! 😀
    Mais messieurs les majors et autres mafias en tout genre, vous pouvez me menacer, me priver de connection, m’affamer, me torturer, je n’achèterai plus jamais chez vous, vous n’aurez pas un seul centime de ma part, c’est finit depuis bien longtemps. Allez bruler en enfer !! J’espère que vous disparaitrez dans d’atroces souffrances !!
    (ouh sa fait du bien ça)

  36. J’ai été un peu décçu par cet article -relatuvement à ce que je peux lire habituellement sur ce blog. Mais ce n’est peut-être qu’une introduction.

    Il y a quand même quelques points qui méritent d’avoir été soulignés. Tout a fait d’accord avec la différence contenu/contexte. Le cryptage sert prioriairement à la confidentialité, pas à l’anonymat.

    D’accord aussi concernant les spams agaçants qui vantent les mérites de tel ou tel VPN sorti de l’oeuf.

    Mais par contre déçu concernant l’exposé des dangers du vpn. Le seul danger présenté -mais il est vrai qu’il est de taille- c’est que le vpn soit un honeypot… On peut pas dire que l’argument soit une trouvaille. Il y a quelques années, j’entendais dire par exemple que Relakks (que je ne conseille pas particulièrement) était un Honeypot à la solde de je ne sais plus quel major. Le problème, c’est que malgré tout le trafic généré par ce réseau, depuis des années, on ne peut pas dire que les arrestations pleuvent toutes les semaines. Ce serait pourtant facile, si les accusateurs voient et logguent tout. De plus comme le remarque un intervenant, si un major participe à l’échange des fichiers dont il détient les droits, alors il acquiesce à cet échange, et comme il est justement détenteur des droits, l’échange, effectué en accord avec l’ayant droit, devient licite (l’argument marche aussi au cas ou, vpn ou pas, des majors mettraient leurs propres oeuvres en partage, toujours à titre de honeypot).

    Ceci dit, c’est vrai qu’il faut avoir conscience qu’avec un vpn, l’ensemble de notre trafic internet passe par le serveur du vpn, et que l’admistrateur (ou toute personne ayant compromis le vpn) à la fois coponnait notre identité numérique (ou du moins notre ip) et voit tout ce qu’on fait sur internet.

    Plutôt que de dire haro sur la « solution » vpn (qui en effet ne sont pas la panacée absolue que certains avancent), je préfère envisager des améliorations possibles. Par exemple, des applications tunnelisant seulement certaines applications que l’utilisateur choisirait (un peu comme les tunnel ssh, sauf que les tunnels ssh ne tunnelisent que le TCP).

    On peut aussi envisager des solutions permettant non pas de chainer (ça ne servirait à rien), mais d’encapsuler des vpn. La façon la plus hérmétique de procéder est d’utiliser un premier vpn, de lancer une machine virtuelle, puis un second vpn à l’intérieur.

    Une autre façon de faire (du moins il me semble) est beaucoup plus élémentaire. Elle consiste à lancer une connexion vpn pptp ou l2tp/ipsec, et par dessus, lancer une connexion open vpn. Sauf erreur, le serveur du pptp connait alors l’ip fai de l’utilisateur, mais ne comprend pas son trafic. Et le serveur de l’open vpn peut lire le trafic, mais ne connait pas l’ip fai de l’utilisateur. On peut arriver à ne pas perdre trop de BP par rapport à l’utilisation d’un seul vpn.

    Bien sûr cette solution un peu rock’nroll n’est certainement pas très robuste, et il doit y avoir des failles. Mais c’est aussi parce que tout ça n’a pas spécialement été prévu pour. Les vpn n’ont pas spécialement été faits pour être encapsulés l’un dans l’autre. Mais si une demande potentielle forte apparait, on peut espérer voir émerger des solutions « robustes » d’encapsulation.

    Le schémas de principe se rapproche alors de celui de Tor. avec les même interrogation sur la fiabilité des nodes, mais peut-être un peu moins pressantes concernant un vpn: Il est plus simple de monter un exit node Tor espion, que de se colleter la mise en place, marketing compris parce que sinon ça vaut pas la peine, d’un serveur vpn. Surtout qu’à la moindre alerte (genre: un de vos clients s’est fait perquisitionner, il est pas content et le hurle sur tous les forums) vos clients vont voir ailleurs, et vous perdez d’un coupune grose par du bénéfice et du crédit accumumulé (risque qui n’existe pas pour l’espion dans le cas où il est un simple exit node Tor).

    1. Hello,
      Ce n’était en fait que le premier billet, et comme tu le souligne, je suis encore loin d’avoir fait le tour de la question.
      Je tenterai de mettre en perspective des VPN, une véritable solution pensée pour l’anonymat dans un billet à venir.
      En attendant je ne sais pas si tu as vu, mais un début de suite est déjà disponible ici : https://bluetouff.com/2010/10/17/anonymat-acte-2-les-solutions-danonymat-tiennent-elles-reellement-leurs-promesses/

      1. Oui, j’ai vu après coup qu’il existit une suite. J’insiste sur le que quand j’ai dit avoir été un peu « déçu » c’est en référence aux articles que je lis ici habituellement. Ce que sait de mal habiter les lecteurs en mettant la barre trop haut 🙂

        Sinon, ton billet m’a donner envie de fouiller un peu la question du « est-on facile à découvrir derrière un vpn? ». La réponse bien sûr, dépend sûrement des vpn, mais pour certains, il semble bien que le niveau de protection soit assez élevé.

        Voir par exemple à titre de « crash test » un article sur le démantellement du botnet Mariposa: Il a fallu une étroite collaboration entre Panda Security, Defense Intelligence, le FBI et la Guardia Civil espagnole, et encore, l’un des admins n’a pu être démasqué que parce qu’à un moment, sous l’effet de la panique, il s’est connecté à ses bots sans passer, comme il le faisait d’habitude, par un vpn. Si on en croit TheRegister, tant que l’admin restait derrière son vpn, le FBI n’arrivait pas à remonter jusqu’à lui.
        http://www.theregister.co.uk/2010/03/03/mariposa_botnet_bust_analysis/

        Ca ne veut pas dire que tous les vpn offrent 100% d’anonymat, mais que pour les « bons » vpn, l’anonymat doit être proche de 90%. Donc, c’est pas une solution à jeter à mon avis. A améliorer, oui, à jeter, non.

      2. Je pense que les problèmes ne viennent pas tant des VPN que des gens qui les utilisent sans trop savoir ce qu’ils font.
        Pour l’histoire de Mariposa, je pense (à vérifier) que le gars s’était surtout monté un réseau de zombies avec des openvpn en mode anonymous un peu partout et qu’il savait très bien ce qu’il faisait.
        Ce que je tente surtout d’expliquer c’est que :
        1° le VPN ne suffit pas, seul, à préserver ton anonymat
        2° que de nombreux acteurs survendent un peu les vertus anonymisantes des VPN
        3° qu’HADOPI est une providence pour ces gens là
        4° qu’en s’attaquant à un public manstream avec un beau discours marketing on arrive à ce genre d’excès risibles… ou plutôt de caricatures : https://bluetouff.com/2010/10/23/start-vpn-com-spamming-as-a-full-time-job/

  37. Je suis d’accord avec ce que tu dis aux points 2) 3) et 4). En ajoutant, pour le point 3) que les fournisseurs de = vpn se comportent de manière oportuniste, mais qu’il n’y a a priori aucun mal à ça. Le règne vivant fourmille d’exemple de relations opportunistes entre telle espèce vivante et telle autre. Si chacun en tire un bénéfice lui permettant de survivre dans un environnement dégradé, je ne vois pas où est le problème.

    Je suis d’accord avec ce que tu dis en 1) aussi (donc, je suis d’accord avec tout), mais là aussi avec peut-être une inflexion: Si le vpn ne suffit pas « à lui seul », il y contribue quand même pour une part. A mes yeux, il vaut mieux expliquer le bon usage du vpn, ses limites, ses failles et les moyens de les combler, et les outils (comportements) permettant d’ajoute au vpn ce qu’il lui manque pour être une solution d’anonymat parfaitement respectable.

    Mais j’ai l’impression que ton hostilité à la généralisation de l’usage du vpn est plus profonde. Elle se fonde, si j’ai bien compris, sur le déséquilibre en terme de trafic que la généralisation de ce recours impliquerait.

    Mais le net actuel est-il si équilibré que ça ? Il me semble que dans la situation actuelle, une grosse majorité du trafic mondial passe par les USA. Il me semble qu’il y a là une centralisation de fait. Si à l’avenir des vpn choisissent des routes qui évitent ce pays, cela ne va-t-il pas participer à un rééquilibrage au contraire ?

    Soyons extrême: Que penserais-tu d’une situation où des serveurs vpn se mettraient à éclore en Afrique ? Ce continent souffre, concernant internet, de problèmes de peering importants, leurs opérateurs se font « essorer » par les opérateurs US et Européens, et l’intelligence africaine a du mal à se faire une place sur le réseau.

    Cf:
    http://www.itu.int/itunews/manager/display.asp?lang=fr&year=2005&issue=03&ipage=interconnectiv-poor&ext=html
    (bon, c’est plus tout récent, je sais, mais je ne pense pas que les choses aient fondamentalement changé).

    Si beaucoup d’européens et d’américains s’abonnaient à un service vpn en Afrique, cela contribuerait à un rééquilibrage au niveau du peering, et feraient baisser les coûts pour les opéeateurs africains, favorisant le développement d’internet sur le continent noir.

    Ce que je dis pour l’Afrique marche aussi pour tout autre zone ou pays en développement et chez qui le développement d’internet serait freiné par des problèmes de peering.

  38. Dans le dernier paragraphe de cet excellent article le VPN « IPODAH » (IPjetable) est clairement identifié comme un VPN appartenant à Universal Music… ou je me trompe ?

  39. Bjr bluetouff … je suis newbie et constate que les gens parlent pour ceux qui savent. Cela pour dire que tout cet étalage technique reste très confus … mais je persévère et j’ai l’espoir de comprendre plus de 50% de ce qui est noté dans ces qques post !! … je trouve néanmoins le sujet fort intéressant et ne manquerai pas, depuis la découverte de ton blog, à venir m’enrichir de termes et d’astuces techniques pouvant améliorer mon quotidien informatique. Merci aussi à ceux qui argumentent de façon très posée, ouvrent des portes sans être avar de leurs connaissances !! Merci à vous tous.

  40. Est-ce que l’utilisation de VPN et compagnie n’est pas le meilleur moyen de se faire « surveiller » plutôt que de continuer à faire du P2P en attendant l’e-mail d’Hadopi ?

  41. Si c’est bien réalisé et si l’on peut avoir confiance en notre fournisseur de service VPN, alors le VPN me parait tout de même être une solution viable pour garder un minimum d’anonymat.

    Il ne faut évidemment pas faire confiance à n’importe qui, on ne le dira jamais assez. Mais il n’y a rien de nouveau, sur Internet on ne donne pas son argent à n’importe qui, on n’a pas confiance en un site qui ne représente pas une véritable société, ne serait-ce qu’offshore…

    Mais si les internautes n’ont toujours pas conscience de ces simples règles, alors ceux sont les bases de l’utilisation prudente d’internet qu’il faut revoir et non pas diaboliser les solutions VPN.

    Par ailleurs, le VPN n’est pas simplement une solution d’anonymat. Il permet aussi de ne pas subir les blocages de sites (5dimes par exemple), les éventuelles limitations de débits, etc.

  42. j’ai plusieurs trojans et keyloggers qui sont apparus suite et pendant l’utilisation de ipjetable, ce qui n’est pas le cas sur une autre machine au MÊME USAGE avec un autre VPN…

  43. Est-ce que à partir de son serveur c’est possible de blacklister une IP après avoir constaté par exemple un trafic indésirable ? Même si cette IP utilise d’autres relais comme les VPN, Proxies, Tor etc ?

  44. Salut à tous,

    Echanges intéressants . Toute explication est toujours bonne à prendre et à comprendre.
    J’ai 1 question :
    J’utilise un vpn (vpn4all si vs connaissez). Mais je suis surpris de recevoir des invites à tchater qui me parlent en français alors que je suis par exemple sur un serveur tchèque ou polonais.
    Comment se fait-il qu’ils savent que je suis de france ???

    Bonne continuation !

  45. Salut,

    J’étais en train de m’intéresser sur des VPN et je suis tombé sur des sites « attrapes-couillons » des comparatifs des meilleurs VPN garantissant le 100% anonymat, jusqu’à ce que je tombe sur ton site…

    Où en est la suite de ton sujet qui commençait plutôt bien?

Répondre à Elskwi Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.