Magazine Internet

Les articles de votre blog ici ? Inscrivez votre blog !


VPN et HADOPI… et vous vous pensez anonymes ?

Publié le 04 octobre 2010 par Olivier Laurelli

Fallait pas me chercher…

Comme promis, voici un petit billet sur les VPN motivé par une recrudescence de spams sur ce blog liés à l’exploitation du bruit autour d’HADOPI. Si certains, plutôt courtois me proposent d’essayer leur solution, d’autres viennent carrément pourir systématiquement tous les billets où ils décellent le mot « HADOPI » pour venir coller un lien sur leur site web qui prétend vendre de la sécurité à 5 euros par mois. Mais le plus dérangeant dans tout ça, c’est surtout les idées fausses qui sont véhiculées sur de nombreux sites et tendant à dire qu’un VPN est l’arme absolue pour vous mettre à l’abrit et préserver votre anonymat.

Recadrons le débat une fois de plus sur sa conclusion si ça peut faire gagner du temps à certains : la sécurité sur abonnement, ça n’existe pas, mettez le vous en tête une bonne fois pour toute.

Si les VPN sont pour l’instant une réponse très relativement efficace pour passer sous les radar de Trident Media Guard (je dis bien pour l’instant car sur certains protocoles de P2P, ça risque de ne pas durer, et pour le reste…), ils ne sont pas la panacée, et ne suffisent pas à garantir votre anonymat. Que ce soit sur les réseau P2P ou sur de simples sites web, il existe, même derrière un VPN, plusieurs techniques permettant de révéler votre véritable adresse IP. Les pièges sont nombreux, ils émanent autant des sites que vous visitez que de votre propre fait, il est donc primordial d’en avoir conscience.

Les racines du mal

En pondant un texte aussi peu inspiré qu’HADOPI, notre bon législateur s’est involontairement exposé à une menace bien réelle dont on peut observer quelques effets indésirables dans d’autres pays. De nombreuses sociétés se sont engouffrée dans ce nouveau marché de la surveillance, d’autres tentent d’apporter des parades à la surveillance. Notre ministre de l’industrie a de quoi se frotter les mains, il va ici voir emerger une nouveau pan de l’économie hexagonale, celle de la course à l’armement numérique. Sur Internet comme dans la vraie vie, les marchands de canons peuvent être des personnes très sympathiques, mais la mort reste leur fond de commerce. On peut donc remercier nos élus d’avoir fait pour l’Internet ce choix de société, souvent par manque de courage politique. Vous trouvez que j’y vais un peu fort ? Dans ce cas, respirez un grand coup avant de lire la suite car je n’ai pas terminé… l’échauffement.

Les bases

Je n’ai certes pas la prétention de donner un cours exhaustif sur l’anonymat mais ayant conscience de ce qu’il implique, je me permettrai simplement, je l’espère de briser un mythe qui consiste pour certains à vous vendre des « solutions » simples qui répondent à peine à 10% à des problématiques bien plus complexes qu’on aime à vous le dire.

Un VPN (réseau privé virtuel), propose la création d’un tunnel, généralement chiffré entre votre ordinateur (ou dans certains cas votre routeur) et le contenu que cible votre visite, généralement sur un serveur distant, au fond à droite des Internets. Cependant, croire que ceci suffit à préserver votre anonymat est une erreur.

Au chapitre des erreur, la plus communément observée est l’amalgame fait pas beaucoup entre la protection du contenu et la protection du contexte, entre chiffrement . Si on devait résumer ça simplement on dirait que :

  • Les contenus définissent l’information
  • Le contexte définit l’environnement et les modalité d’accès à l’information.
  • On protège les contenus par le biais du chiffrement.
  • On protège le contexte par une série de mesures adaptée, et surement pas un produit.

Les maillons faibles

Ce qui va suivre est loin d’être exhaustif, ces quelques éléments ne sont là que pour vous guider un peu mieux sur les bonnes solutions et les bonnes pratiques, en fonction du niveau de protection de vos données personnelles recherché.

1° les plugins de navigateurs bavards

Le premier maillon faible, c’est votre navigateur web et d’une manière générale toutes les applications qui se connectent à l’internet. Si sur la route, les protocoles de chiffrement peuvent vous protéger, vous n’êtres pas du tout à abri d’un plugin de navigateur trop bavard. Au hit parade de ces extensions, Acrobat Reader, Javascript, Java, et Flash.

2° les réseaux trop sociaux et les identifications un peu trop fédératrices

L’identification sur un site web, particulièrement quand il s’agit d’un super réseau social tout de javascript vêtu avec de supers API faites dans le but louable de rapprocher des personnes qui ne se connaissent pas et exportables sous forme de widgets sur des sites web tiers… toutes ressemblance avec un certain Facebook est purement pas du tout fortuite… est un danger énorme pour vos données personnelles. Il est même particulièrement simple de révéler votre véritable adresse IP en exploitant l’API du dit réseau social.

La règle de base est donc de ne jamais s’identifier sur plus d’un site à la fois… finit les 57 onglets dans votre fenêtre de navigateur si vous voulez la paix, il faut être avant tout méthodique : une machine virtuelle = une authentification sur le Net. Au dessus, vous vous exposez de fait à un vol de session.

3° les mauvaises implémentations logicielles

Un mécanisme de sécurité, comme un algorithme de chiffrement, peut être compromis, ou plutôt contourné, suite à une mauvaise implémentation. Là encore c’est dramatiquement banal, on a par exemple tous encore tête la réintroduction d’une faiblesse d’implémentation du mécanisme de génération des clef WPA des BBox, les box du fournisseur d’accès Internet Bouygues.

Attention, les mauvaises pratiques de développement ne touchent pas que des clients lourds, elles touchent aussi des sites web… oui même des gros sites très célèbres… surtout des gros sites très célébrés. Ainsi, un XSS bien placé et c’est le vol de cookie. Un simple cookie est susceptible de dévoiler votre véritable identité. Les cookies ont deux fonctions :

  • être mangés
  • être supprimés (non acceptés c’est encore mieux).

4° l’interface chaise / clavier

Si vous ne voyez pas de quoi je parle, il s’agit tout simplement de l’utilisateur lui même. Le vrai problème est qu’aujourd’hui, non seulement tout est fait dans les systèmes d’exploitation moderne pour vous masquer le plus posssible les couches complexes (combien de personnes ici savent comment fonctionnent une pile TCP

Je vais donc être clair : les VPN représentent un risque majeur pour qui ne sais pas de quoi il cause. C’est à dire l’ensemble de ce que j’ai lu dans la presse quand on parle de VPN comme une mesure de contournement d’HADOPI, sur les sites de comparatifs tous plus idiots les uns que les autres de solutions de VPN… on ne vous par le pas d’anonymat, on se fout de vous et on exploite votre peur du gendarme.

Possibly Related Posts:

  • L’Iran se serait débarrassé de Stuxnet
  • A nice week : Open World Forum, CrisisCamp, full disclosure, Hadopi.fr…
  • La petite barre de rire du soir : Poet.py
  • Wawa-Mania est bien une organisation structurée de cyber délinquants
  • Net Neutrality : Le gouvernement consulte « enfin » les 5 gus du garage


Retour à La Une de Logo Paperblog
Signaler un abus

A propos de l’auteur


Olivier Laurelli 9300 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Dossiers Paperblog

Magazine