de Zyran » 12 Sep 2014 01:56
Ca fait environ 7 ans que j'utilise des solutions vpn. J'ai commencé vers 2007 avec relakks (pas le meilleur, mais à l'époque il n'y avait pas trop le choix), puis j'ai utilisé Peer2me: pas la solution la plus sécurisée non plus (logs, cfiffrement faibles... ) mais je découvrais. J'ai aussi découvert la joie des deconnexions vpn, qui expose la "vraie ip" en plein jour. Mais à l'époque, il n'y avait ni hadopi, ni 6-strikes, ni... Et ces solutions étaien bien suffisantes.
Petit à petit j'ai essayé de comprendre un peu, et d'adapter mon choix de vpn à l'atmosphère ambiante.
Beaucoup concernant les vpn s'interessent avant tout à des critères qui de mon point de vue sont secondaires. Lorsqu'on utilise un vpn, c'est avant tout pour se protéger de quelqu'un (reste à savoir qui: ceux qui sont connectés sur le même hotspot wifi que vous - votre FAI - la Hadopi - la DGSE/les services de votre gouvernement - la NSA...). La vitesse vient en second selon moi.
A ce sujet pour ceux qui sont chez Orange: Cette ex entreprise d'Etat a gardé de bonnes habitudes, et la DGSE a table ouverte chez ce FAI.
Donc, d'abord la sécurité, et donc d'abord s'intéresser au risque premier: la déconnexion de vpn (et les fuites de dns). Les meilleures techniques pour y faire face sont "la méthode du firewall" et la "méthode des routes". Certains fournisseurs de vpn proposent aussi leurs propres applis qui gèrent des points fondamentaux.
Puis, choisir un fourniseur vpn qui ait un peu de bouteille et si possible ait démontré ses qualités au cours des krash tests en grandeurs réelles que sont les saisies de serveurs: Si à la suite d'un épisode de ce type, on entend dire de sources multiples qu'un utilisateur du vpn a été identifié, laisser tomber ce VPN. C'est le cas de HideMyAss (que beaucoup de sites continuent d'encenser sans discernement) et de EarthVPN.
Choisir un fournisseur vpn qui assure qu'il ne logue pas, qui ne relève du droit ni US ni UK ni FR, et qui ait des serveurs bien offshore (Panama, Macao, mais l'Ukraine est bien aussi, ainsi que la Russie, voire, encore, les Pays Bas ou la Suède), et/ou dans des pays de l'UE chez qui la vie privée des internautes protégée par des lois solides (voire des dispositions constitutionnelles encadrant strictement la rétention de données).
Il faut d'autre part que le chiffrage soit correct: au moins un L2TP/Ipsec, et si possible un Openvpn assurant la "perfect forward secrecy", avec clef RSA d'au moins 2048 bits et clef AES au moins 128 bits.
D'autre part, il est préférable (mais non indispensable, sauf si on est en Iran ou en Chine) que le fournisseur de VPN permette de se connecter en TCP sur le port 443.
Ensuite seulement vient le critère de vitesse. Celà, c'est pour ceux qui veulent se protéger de quelqu'un. Pour ceux qui font du streaming et qui se fichent d'être espionnés ou pas, l'important l'important est d'abord d'arborer auprès du service auxquels ils se connectent la nationalité qu'il faut (UK pour BBC, US pour Netflix et Hulu, etc), et juste après vient la vitesse. Le chiffrement n'a ici aucune importance. Préférer donc dans ce cas des vpn rapides (HideMyAss ici) , ou de simples proxys.
Ps:
1) pour ceux qui sont en Iran ou en Chine, l'openvpn même TCP sur port 443 peut ne pas suffire, car le traffic propre à openvpn se distingue du traffic https. Préférer alors des fournisseurs vpn qui proposent stunnel (une couche de chifrement supplémentaire qui permet de rendre le traffic indistinqable du "vrai" https). Ou alors utiliser Tor avec bridge obfs.
2) Les plus prudents choisiront l'option "double vpn": Vous vous connectez à un premier VPN (V1) et à partir de celui-ci, à un second (V2).
V1 connait alors votre "vraie IP" mais est incapable de lire votre traffic ; V2 connait votre traffic (sauf si vous faites du https ou utilisez Tor etc), mais il ne connait pas votre "vraie IP": V2 ne voit que l'IP de V1.
Il est alors fondamental que V2 ne sache rien sur vous, ne dispose d'aucune information vous identifiant, et en particulier, dans cette configuration là, il est nécessaire que le paiement auprès de V2 se fasse de façon anonyme (Ukash/PSF pour ceux qui l'acceptent encore, cash, bitcoin en faisant très attention). Le paiement auprès de V1, lui, n'a pas besoin d'être anonyme puisque de toute façon V1 connait votre "vraie IP".
On peut lancer un second openVPN par dessus un premier OpenVPN, mais c'est un peu compliqué. Ce qui est extrêmement simple par contre, c'est de connecter un openVPN par dessus un PPTP ou un L2TP/IPSEC, ou un L2TP/IPSEC par dessus un PPTP: il sufit de lancer le premier VPN, puis le second. On vous dira (à juste titre) du mal des vpn PPTP sur le plan de la sécurité, mais dans le cadre d'une configuration "double VPN", ce qui compte, c'est que V2 ne voit de vous que l'IP de V1, on se fiche un peu de la solidité du chiffrement Vous -> V1, car de toute façon ce chiffremeent est "enveloppé" dans une autre couche de chiffrement (celle de V2), qui elle est supposée solide (Openvpn ou L2TP/IPsec).