VPN Torrent Freak qui prend votre vie privée au sérieux

Contents

Fournisseurs de VPN

C’est sans doute une liste de départ assez complète. Le personnel de TorrentFreak semble dédié et compétent, et leurs enquêtes antérieures ont attiré l’attention de nombreux prestataires qui avaient été omis. Mais il y a deux limites clés. Premièrement, les services VPN plus obscurs et plus discrets ne parviennent pas à apparaître sur les listes de TorrentFreak (E.g. cryptostorm). Certains fournisseurs ne s’adressent pas aux utilisateurs de BitTorrent et n’ont aucune motivation à apparaître sur cette liste. Deuxièmement, TorrentFreak est, pour la plupart, simplement résumer les réponses des fournisseurs VPN et n’a vérifié aucune de leurs réclamations. Soit dit en passant, les commentaires des deux commentaires méritent d’être lus, mais ne peuvent pas toujours être pris au sérieux.

18 questions à poser à votre fournisseur de services VPN

Choisir un service VPN peut être une épreuve de rédaction nerveuse. Vous avez probablement lu sur les fuites de Snowden et les révélations liées à la NSA. Vous ne faites probablement pas confiance à votre FAI pour protéger votre vie privée (et comme la FTC s’est récemment terminée, vous ne devriez vraiment pas). Peut-être que vous ne faites pas confiance à votre gouvernement. Vous pouvez même vous méfier de tous les gouvernements et sociétés.

En effet, vous ne faites peut-être pas confiance à ce guide et pensez que c’est juste une publicité. Bien que ce soit une préoccupation compréhensible, je vous invite à lire et à juger par vous-même. Je vous invite également à lire ceci dans le contexte de mes autres écrits sur les VPN, Tor et autres, principalement sur les forums de sécurité Wilders et Tor.Stackexchange.

Si vous êtes particulièrement préoccupé par la vie privée, vous voudrez peut-être obscurcir vos recherches sur les fournisseurs de VPN. Bien que de nombreuses personnes utilisent des services VPN, des recherches approfondies peuvent vous signaler comme quelqu’un avec quelque chose d’important à cacher. Vous pouvez atténuer ce risque en utilisant un service VPN gratuit à cette étape (comme Calyx VPN) et la carte Web gratuite (comme Vfemail). Pour une intimité encore meilleure, vous pouvez ajouter le pack de navigateur TOR au tunnel TOR via CalyxVPN et utiliser le service caché de Vfemail.

Des informations relativement peu fiables et fiables sur les services VPN sont disponibles en ligne. Il est généralement préférable d’ignorer les sites «meilleurs VPN et« revue VPN ». La plupart fonctionnent des avis payants, et certains sont des raquettes de protection, avec de mauvaises avis pour les services VPN qui refusent d’acheter des avis favorables. Même les honnêtes ne sont généralement que des concours de popularité, dominés par les utilisateurs de torrent sans clue et les «pirates» en herbe ». Si vous avez besoin d’obtenir des informations à partir d’une source de revue VPN dédiée, recherchez ceux qui n’utilisent pas les paramètres d’affiliation sur les liens sortants (ou même mieux, supprimer les informations du référence).

Les enquêtes de Torrentfreak

Les enquêtes VPN de TorrentFreak sont des exceptions notables à la norme. Fin 2011, il est devenu clair que le membre de Luzlsec «récursivité» avait été identifié et arrêté en fonction des journaux de connexion que le service VPN Hidemyass a fourni au FBI. TorrentFreak a répondu en publiant «quels fournisseurs de services VPN prennent vraiment l’anonymat au sérieux?'(maintenant reformulé comme «quels fournisseurs de VPN prennent vraiment la vie privée au sérieux?”). Ce Q&R a été mis à jour chaque année depuis la version originale, fournissant désormais des réponses non éditées à 12 questions liées à la confidentialité.

Ce sont les éléments suivants (à partir de 2021):

Gardez-vous (ou partagez-vous avec des tiers) toutes les données qui vous permettraient de correspondre à une adresse IP et à un horodatage à un utilisateur actuel ou ancien de votre service? Si c’est le cas, quelles informations détendez-vous / partagez-vous et pendant combien de temps?
Quel est le nom sous lequel votre entreprise est incorporée (+ les sociétés mères, le cas échéant) et dans laquelle fonctionne votre entreprise?
Quels outils sont utilisés pour surveiller et atténuer l’abus de votre service, y compris les limites des connexions simultanées si elles sont appliquées?
Utilisez-vous des fournisseurs de messagerie externes (E.g. Google Apps), Analytics ou Support Tools (E.G Support en direct, Zendesk) qui détiennent des informations fournies par les utilisateurs?
Dans le cas où vous recevez un avis de retrait DMCA ou un équivalent non américain, comment sont-ils gérés?
Quelles mesures seraient prises dans le cas où un tribunal ordonne à votre entreprise d’identifier un utilisateur actif ou ancien de votre service? Comment votre entreprise répondrait-elle à une ordonnance du tribunal qui vous oblige à enregistrer l’activité pour un utilisateur à l’avenir? Demandez à ces scénarios de se jouer dans le passé?
Est BitTorrent et d’autres trafics de partage de fichiers autorisés sur tous les serveurs? Sinon, pourquoi? Fournissez-vous des services de transfert de port? Des ports sont-ils bloqués?
Quels systèmes / fournisseurs de paiement utilisez-vous? Prenez-vous des mesures pour vous assurer que les détails de paiement ne peuvent pas être liés à l’utilisation du compte ou à des attributions IP?
Quel est l’algorithme de connexion VPN et de cryptage le plus sécurisé que vous recommandez à vos utilisateurs?
Fournissez-vous des outils tels que «Kill Switches» si une connexion baisse et la protection des fuites DNS / IPv6? Prise en charge de la fonctionnalité Dual Stack IPv4 / IPv6?
L’un de vos serveurs VPN est-il hébergé par des tiers? Si c’est le cas, quelles mesures prenez-vous pour empêcher ces partenaires de fouiner tout trafic entrant et / ou sortant? Utilisez-vous vos propres serveurs DNS?
Dans quels pays sont vos serveurs physiquement situés? Offrez-vous des emplacements virtuels?

Présentation de leurs résultats, ils notent:

Choisir le bon VPN peut être une entreprise délicate. Il existe des centaines de services VPN, tous promettant de vous garder privé, mais certains sont plus privés que d’autres. Pour vous aider à choisir le meilleur pour vos besoins, nous avons demandé à des dizaines de VPN pour détailler leurs pratiques de journalisation, comment ils gèrent les utilisateurs de torrent et ce qu’ils font d’autre pour vous garder aussi anonyme que possible.

C’est sans doute une liste de départ assez complète. Le personnel de TorrentFreak semble dédié et compétent, et leurs enquêtes antérieures ont attiré l’attention de nombreux prestataires qui avaient été omis. Mais il y a deux limites clés. Premièrement, les services VPN plus obscurs et plus discrets ne parviennent pas à apparaître sur les listes de TorrentFreak (E.g. cryptostorm). Certains fournisseurs ne s’adressent pas aux utilisateurs de BitTorrent et n’ont aucune motivation à apparaître sur cette liste. Deuxièmement, TorrentFreak est, pour la plupart, simplement résumer les réponses des fournisseurs VPN et n’a vérifié aucune de leurs réclamations. Soit dit en passant, les commentaires des deux commentaires méritent d’être lus, mais ne peuvent pas toujours être pris au sérieux.

Même ainsi, les révélations de trois fournisseurs – EarthVPN.com, proxy.SH et PureVPN – démontrent le risque de compter sur les allégations de confidentialité des prestataires. Début 2013, un client EarthVPN aurait été arrêté en fonction des journaux tenus par son fournisseur d’hébergement aux Pays-Bas. EarthVPN a nié la responsabilité, en soutenant qu’ils «ne tiennent pas les journaux» et ont dit qu’ils n’utilisaient plus ce fournisseur. Bien que la boîte de dialogue réelle entre EarthVPN et son client (ici et ici) ne soit plus ouvertement accessible, il y a des citations et des discussions dans les forums AirVPN. Gardez également à l’esprit que les FAI peuvent se connecter aussi facilement que les fournisseurs d’hébergement peuvent.

Torrent2.εζή

Dans les enquêtes de TorrentFreak en 2011 et 2013, proxy.SH a répondu: «Aucune information n’est enregistrée ou détenue dans nos installations. Nos services sont exécutés de RAM et tous nos services système sont livrés avec une configuration de pointe qui garantit que rien ne reste après l’utilisation.«Cependant, fin septembre 2013, ils ont installé Wireshark sur l’un de leurs serveurs américains et ont conservé des captures de paquets pendant plusieurs heures. Cela aurait été une réponse volontaire aux plaintes concernant le piratage et le harcèlement par l’un de leurs clients. Pour plus de détails, consultez ces articles TorrentFreak (ici et ici). Dans l’enquête de TorrentFreak en 2014, proxy.SH a répondu comme suit la première question:

Nous ne tenons aucun journal et nous n’enregistrons aucune adresse IP, en-têtes ou quoi que ce soit. En termes de horodatage, nous enregistrons uniquement ceux associés à la création et à la mise à jour des billets de support (les factures et renouvellements ne sont enregistrés qu’à la date) à des fins de gestion. La seule information personnelle que nous enregistrons est une adresse e-mail et un type de paiement, qui correspond au mot «argent» ou «bitcoin». Ceci est précisé dans notre politique de confidentialité. Notre système contiendra également des informations d’identification des services, à savoir le mot de passe du compte et la paire de connexion / mot de passe réseau. Toutes ces données peuvent être supprimées en permanence à tout moment à la demande du client. Toutes les autres données et informations impliquées dans nos opérations (connexions, trafic, etc.) n’est ni surveillé ni enregistré.

Un exemple plus récent de fournisseur de VPN surpris en train de mentir sur le maintien de journaux est venu en 2017. Comme indiqué dans BleepingComputer, le FBI a arrêté un suspect de cyberstalking à l’aide de journaux d’adresses IP obtenus auprès de PureVPN. PureVPN a affirmé (et prétend toujours) qu’ils ne tiennent aucun journal sur les activités des clients.

Inversement, ces incidents démontrent également que les nouvelles se propagent très rapidement sur Internet. Avec tout cela à l’esprit, je recommande de commencer par les services VPN qui répondent aux critères suivants:

Il apparaît dans l’enquête de TorrentFreak (en ajoutant d’autres à votre liste restreinte qui, selon vous, ont été mal omises).
Il n’est pas répertorié comme enregistrement dans les enquêtes de TorrentFreak.
Il est en affaires depuis au moins trois ans.
Une heure environ de recherche sur le Web ne révèle aucune preuve de violations de la vie privée.

D’autres signaux positifs que vous pouvez rechercher:

Applications VPN open source.
Les résultats d’audit accessibles au public des auditeurs indépendants et tiers qui enquêtent sur les réclamations sans logicielle. Cependant, les audits sont limités par leur portée et ne fournissent qu’une vue temporaire, ce ne sont pas des preuves persistantes sur les réclamations.

Tous les services VPN dans la récente enquête de TorrentFreak nient de garder les journaux persistants. L’évaluation de la plausibilité de ces réclamations dans le contexte des exigences en matière de rétention des données est une boîte de vers. Affirme qu’il n’y a pas d’exigences de rétention des données aux États-Unis semblent risibles à la lumière des documents de la NSA publiés par Edward Snowden. La situation en Europe est compliquée depuis l’adoption du RGPD et les tensions entre la directive de protection des données de 1995 et les législations nationales. L’étendue exacte de l’espionnage de la NSA et la collaboration de l’UE avec les opérations américaines est inconnue et ajoute plus d’incertitude. Pour en savoir plus sur ce problème en général, voir la page Résumé d’EFF.

Questions de prévente

Pour concentrer votre recherche, il est important de sélectionner les fournisseurs de VPN qui soutiennent vos objectifs de confidentialité spécifiques. Je recommande de parcourir soigneusement les sites Web des fournisseurs et de lire attentivement leurs conditions de service et leur politique de confidentialité. Recherchez un langage clair et sans ambiguïté et méfiez-vous de la plaque de pointe légale.

Par exemple, si vous prévoyez de partager des médias protégés par le droit d’auteur via BitTorrent, il est évidemment préférable d’éviter les fournisseurs qui découragent explicitement une telle utilisation. Si la disponibilité de nombreuses adresses IP de sortie est importante, choisissez en conséquence, mais considérez la tension entre la variété et la sécurité. Il est sans doute plus probable que les fournisseurs avec de nombreuses sorties utilisent des serveurs privés virtuels.

En contactant les fournisseurs avec des questions de prévente, commencez par des questions de base, telles que # 1, # 3, # 5 et # 7 de la liste TorrentFreak. Il est généralement préférable de poser des questions pour lesquelles vous avez des réponses fiables et indépendantes. Cependant, au moins au début, il est également préférable de demander sans révéler ce que vous avez déjà appris.

Comment les futurs fournisseurs de VPN répondent à vos questions peuvent être aussi informatives que les réponses qu’ils donnent. Vous voulez des réponses qui sont rapides, complètes, claires et précises. Des réponses vagues ou incorrectes aux questions techniques impliquent la malhonnêteté et / ou l’incompétence. Les réponses retardées n’augmentent pas bien pour le futur support client.

Voici quelques questions supplémentaires que vous pourriez poser, suivies des réponses et des explications attendues. Pour les questions techniques, le manuel OpenVPN et le pratiques, et la page officielle de Wireguard sont des ressources utiles.

Y a-t-il une limite de bande passante mensuelle?
Adoure-t-tu les connexions qui utilisent une bande passante excessive?
Combien de connexions simultanées sont autorisées par compte?
Combien de sauts y a-t-il dans vos connexions VPN?
Quel (s) type (s) de chiffrement VPN utilisez-vous? Pourquoi?
Soutenez-vous un secret avant parfait? Si c’est le cas, comment?
Fournissez-vous les utilisateurs des fichiers clés de diffie Hellman?
Comment authentifiez-vous les clients – certificats / clés, ou noms d’utilisateur / mots de passe?
Utilisez-vous l’authentification TLS basée sur HMAC? Si oui, pourquoi?
Avez-vous déjà envoyé un e-mail aux noms d’utilisateur et aux mots de passe aux clients?
Chaque client a-t-il un certificat client et une clé unique?
Vos serveurs VPN Gateway sont-ils hébergés, colocalisés ou internes?
Est-ce que l’un de vos serveurs VPN Gateway s’exécute sur des serveurs VPS ou Cloud?
Comment vos serveurs VPN Gateway sont-ils protégés?
Où les informations du compte d’utilisateur sont-elles stockées?
Comment la communication entre les serveurs est-elle sécurisée?
Autorisez-vous le transfert de port par les utilisateurs?
Sont tous les ports clients jamais transmis par défaut? Si c’est le cas, sur quels serveurs?

Réponses

Y a-t-il une limite de bande passante mensuelle? Cette restriction est devenue moins courante ces dernières années. Certains fournisseurs les utilisent pour des niveaux gratuits afin que les clients potentiels puissent goûter leur service avant de s’engager dans un plan payant. Les limites d’utilisation des abonnements payants sont plus courants pour les revendeurs VPN, il est donc probablement préférable d’éviter les fournisseurs qui les imposent.
Adoure-t-tu les connexions qui utilisent une bande passante excessive? La meilleure réponse ici dépend de vos objectifs. Il est naturel de vouloir les connexions les plus rapides possibles. Cependant, si vous avez un lien FAI très rapide, vous pourriez déplacer beaucoup plus de trafic que quiconque partageant votre sortie VPN. Et cela réduit votre anonymat.
Combien de connexions simultanées sont autorisées par compte? Pour les services VPN avec de nombreuses sorties, il est parfois pratique de fonctionner simultanément comme plusieurs pseudonymes, chacun utilisant sa propre sortie. De plus, vous voudrez peut-être vous connecter simultanément à partir de plusieurs appareils. Cependant, cela facilite également les abus de partage des comptes, qui peuvent surcharger les serveurs VPN et ralentir vos connexions.
Combien de sauts y a-t-il dans vos connexions VPN? La plupart des services VPN n’offrent que des connexions à un HOP. Autrement dit, vous vous connectez à un serveur VPN Gateway, et votre trafic sort vers Internet depuis le même serveur, ou peut-être à partir d’un autre serveur sur le même réseau local. Avec des connexions à un HOP, il est facile pour les adversaires de journaliser le trafic entrant et quittent le serveur VPN.
Quel (s) type (s) de chiffrement VPN utilisez-vous? Pourquoi? OpenVPN peut fonctionner en deux modes distincts. On authentifie et chiffre à l’aide d’une clé statique partagée. Bien que cela soit très simple à configurer, le compromis clé permet à un adversaire de déchiffrer tout le trafic antérieur. Aucun fournisseur réputé n’utilise ceci. Mais si vous ne recevez qu’un seul fichier clé d’un fournisseur, ouvrez-le dans un éditeur de texte et regardez la dernière ligne. S’il inclut «certificat», vous allez bien. Mais s’il comprend «clé», demandez un remboursement.L’autre mode OpenVPN utilise SSL / TLS comme canal de contrôle et crypte le canal de données avec des touches statiques en changement périodique. Si un adversaire parvient à compromettre l’une de ces clés du canal de données, il ne peut décrypter que ce trafic, et non aucun trafic passé ou futur. En d’autres termes, il y a «un secret avant parfait». Par défaut, OpenVPN utilise une RSA 1024 bits pour les certificats qui authentifient les poignées de main du canal de contrôle SSL / TLS, et BF-CBC (128 bits) comme chiffre de canal de données. C’est probablement assez bon dans la plupart des cas, étant donné un secret avant parfait. Cependant, on peut soutenir que les prestataires utilisant des RSA 2048 bits et AES-256-CBC (256 bits) sont généralement plus soucieux de la sécurité. BF-CBC et AES-256-CBC fonctionnent en mode chaînage de blocs de chiffrement (CBC). Si votre fournisseur utilise autre chose (CFB, OFB, etc.), ils sont incompétents ou ont une très bonne raison. Leur demander.
Le protocole VPN du NEW-KID-on-the-Block a récemment connu une adoption rapide parmi les fournisseurs de VPN récemment. Le protocole n’a pas été conçu avec des services VPN commerciaux et leurs considérations de confidentialité à l’esprit. Les prestataires capables doivent démontrer qu’ils ont des solutions aux problèmes suivants: 1. L’adresse IP publique des pairs est stockée en mémoire (e.g. Ajout de la gestion des clés qui a supprimé / rétablit la configuration) 2. Attribution / rotation de l’adresse IP du tunnel (E.g. Utilisation d’appels backend générant de nouvelles adresses IP qui sont distribuées à tous les serveurs) 3. Pas de secret avant parfait (e.g. Utilisez la régénération automatique des paires de clés dans des intervalles de temps réguliers).
Soutenez-vous un secret avant parfait? Si c’est le cas, comment? Tout fournisseur utilisant OpenVPN en mode SSL / TLS fournit un secret avant parfait. La main supplémentaire agitant au-delà de cela devrait vous rendre suspect. Comme indiqué précédemment, la mise en œuvre de Wireguard nécessite des mesures spécifiques pour prendre en charge le secret de l’avant.
Fournissez-vous les utilisateurs des fichiers clés de diffie Hellman? C’est une question piège. Il est vrai qu’OpenVPN utilise des fichiers de clés STATIC DIFFIE HELLMAN en fournissant un secret avant parfait. Mais ce fichier de clé statique Diffie Hellman («DH1024.pem “ou” dh2048.pem ’) est nécessaire uniquement sur le serveur. Tout fournisseur qui les fournit aux utilisateurs est incompétent.
Comment authentifiez-vous les clients – certificats / clés, ou noms d’utilisateur / mots de passe? En mode SSL / TLS, les clients OpenVPN authentifient les serveurs en vérifiant si un serveur a un certificat signé par le certificat d’autorité de certificat («A.crt ’) que le fournisseur leur a donné. OpenVPN prend en charge deux méthodes pour que les serveurs authentifient les clients. On s’appuie sur des certificats et des clés (comme «Client.CRT »et« Client.clé’). L’autre s’appuie sur les noms d’utilisateur et les mots de passe (via Auth-user-pass). Les serveurs peuvent utiliser les deux, mais qui borde la surpuissance. Pour les connexions point à point, où l’accès complet au réseau peut être en jeu, il est très important pour les serveurs d’authentifier les clients en utilisant des certificats et des clés. Pour les services VPN, ce n’est pas un problème, car les clients peuvent simplement voir Internet. De plus, pour les services VPN, donner à chaque client un certificat unique est un risque de confidentialité.
Utilisez-vous l’authentification TLS basée sur HMAC? Si oui, pourquoi? Avec l’authentification TLS activée (via TLS-AUTH), les serveurs ignorent. Cette fonctionnalité protège les serveurs VPN contre les attaques DOS, la numérisation du port et d’autres exploits. S’ils sont mis en œuvre, les fournisseurs peuvent fournir une clé (généralement «TA.clé ») ou un peut être négocié à la volée. C’est en partie une question de pointe. Tout fournisseur affirmant que cela est essentiel pour le secret avant parfait est malhonnête ou incompétent.
Avez-vous déjà envoyé un e-mail aux noms d’utilisateur et aux mots de passe aux clients? C’est une pratique dangereuse, mais principalement pour le fournisseur. Les adversaires qui compromettent les noms d’utilisateur et les mots de passe en transit peuvent obtenir un accès gratuit, ou même verrouiller les utilisateurs en modifiant les mots de passe. Il y a aussi le risque que les adversaires puissent impliquer les utilisateurs dans l’activité criminelle.Même ainsi, si vous modifiez avec succès votre mot de passe immédiatement après la réception, vous êtes en sécurité. Si vous ne pouvez pas vous connecter pour modifier le mot de passe, se plaindre et exiger un nouveau compte. Pour les fournisseurs qui sont par ailleurs attrayants, je ne considère pas cela comme une erreur fatale.
Chaque client a-t-il un certificat client et une clé unique? Ceci est une autre question de truc. Les réponses adaptées à la confidentialité utilisent le même certificat client pour tous les clients, ou ne fournissent pas un du tout, et comptent sur le nom d’utilisateur et le mot de passe pour l’authentification.Cela peut sembler une bonne idée pour chaque utilisateur d’avoir son propre certificat et clé. Et c’est vrai dans un contexte d’entreprise. Mais pour les services VPN, c’est très dangereux, car il relie potentiellement les comptes d’utilisateurs au trafic enregistré. Certains fournisseurs expliquent qu’ils délivrent des certificats clients uniques afin de faciliter la nuance des clients diaboliques. Cependant, il est tout aussi facile de le faire avec les noms d’utilisateur, et les noms d’utilisateur sont sans doute plus facilement réputés que les certificats s’il s’agit d’un problème clé pour vous, il est facile de tester en achetant deux abonnements à court terme, en payant avec Bitcoins via Tor et en utilisant Adresses e-mail temporaires d’Anonbox, etc.
Vos serveurs VPN Gateway sont-ils hébergés, colocalisés ou internes? C’est en partie une question de pointe. Je serais très méfiant de tout fournisseur de VPN affirmant que ses serveurs sont gérés en interne. Vous pouvez demander comment ils couvrent le coût du maintien des installations avec des liaisons montantes à grande vitesse dans plusieurs pays. La meilleure réponse plausible est qu’ils construisent leurs propres serveurs et les expédient dans des installations de colocalisation. Donnez des points supplémentaires pour le durcissement du serveur. Les mesures de durcissement physique typiques comprennent l’intégration de la RAM dans le caoutchouc en silicone ou l’adhésif thermique, et la désactivation des ports USB.La réponse la plus probablement acceptable est qu’ils utilisent des serveurs dédiés hébergés. Donnez des points supplémentaires pour le durcissement du serveur, comme l’utilisation du cryptage à disque complet et la tenue de journaux à court terme dans RAM (TEMTFS).
Est-ce que l’un de vos serveurs VPN Gateway s’exécute sur des serveurs VPS ou Cloud? Les fournisseurs ne doivent jamais déployer des serveurs VPN Gateway sur des serveurs privés virtuels (VPS) ou des serveurs cloud. En tant que machines virtuelles, elles sont entièrement contrôlées par le système d’exploitation de l’hôte, et toutes les activités et données sont facilement disponibles via l’hôte. Les fournisseurs doivent toujours utiliser des serveurs dédiés qui ont été correctement garantis contre l’accès non autorisé.
Comment vos serveurs VPN Gateway sont-ils protégés? Les services VPN ont généralement besoin de serveurs jouant trois rôles. Il existe des serveurs de passerelle qui établissent des connexions VPN avec les clients et acheminent également le trafic client vers Internet. Pour les connexions One-HOP, un serveur peut gérer tout cela. Il y a des serveurs qui hébergent le site Web du service. Et il existe des serveurs qui gèrent les informations du compte d’utilisateurs et fournissent des services d’authentification aux serveurs de passerelle et aux serveurs Web. Tout le trafic client est acheminé via les serveurs de passerelle. À moins que ces serveurs ne soient correctement sécurisés, les adversaires pourraient les compromettre, et donc compromettre la confidentialité des utilisateurs en enregistrant leur trafic. Les serveurs VPN Gateway doivent être durcis selon les normes de l’industrie telles que les références CIS ou les guides de base de la NSA.Plus important encore, les serveurs VPN Gateway ne devraient pas exécuter d’autres services réseau, tels que l’hébergement de sites Web, la comptabilité et l’authentification des utilisateurs. Cela augmente considérablement le service d’attaque des serveurs VPN Gateway. Vous pouvez vérifier quels ports et services sont accessibles sur une passerelle VPN en utilisant un scanner de port tels que NMAP. Cependant, gardez à l’esprit que de nombreux fournisseurs exposent des serveurs VPN sur des ports non standard tels que 80 (HTTP) et 443 (HTTPS) pour échapper au blocage du pare-feu.
Où les informations du compte d’utilisateur sont-elles stockées? Les fournisseurs devraient idéalement stocker ces informations sur des serveurs colocalisés ou internes qui sont convenablement cryptés, durcis et protégés contre les adversaires. En outre, ils devraient séparer les données d’authentification, qui doivent être disponibles pour les serveurs de passerelle, à partir des données comptables, qui peuvent inclure des informations privées des utilisateurs, telles que les journaux d’utilisation, les adresses e-mail et les enregistrements de paiement.
Comment la communication entre les serveurs est-elle sécurisée? Les services VPN bien conçus comprennent des réseaux de serveurs spécialisés avec des rôles distincts qui communiquent en toute sécurité les uns avec les autres. Par exemple, les serveurs de passerelle doivent contacter les serveurs d’authentification pour vérifier que les utilisateurs sont autorisés à se connecter. Il existe également des systèmes d’approvisionnement backend qui utilisent reposent sur les données de vente des sites Web pour créer et mettre à jour les comptes d’utilisateurs, puis mettre à jour les serveurs d’authentification. Compte tenu de la sensibilité de ces données et de sa valeur aux adversaires, toutes les communications entre ces serveurs doivent être solidement cryptées. Le plus souvent, cela repose sur des tunnels OpenVPN ou IPSEC persistants entre les serveurs.
Autorisez-vous le transfert de port par les utilisateurs? Lorsque vous êtes connecté à un service VPN, le serveur VPN Gateway protège votre appareil des connexions entrantes potentiellement hostiles de la même manière que votre routeur LAN ou votre pare-feu. Cependant, l’autoriser les connexions entrantes sur des ports particuliers est essentiel pour les serveurs d’exploitation, ou pour participer à des réseaux P2P où votre nœud doit être visible pour d’autres nœuds. Ce processus est appelé transfert de port. Lorsque la transmission de port est activée, votre appareil est directement exposé à Internet sur les ports qui ont été transmis, sans protection par le service VPN. Un adversaire peut exploiter avec succès une vulnérabilité dans un service qui écoute sur un port transmis et compromettre votre appareil. En plus des conséquences typiques telles que l’appartenance à botnet et le vol de données, un adversaire peut compromettre votre confidentialité et votre anonymat en «téléphonant à la maison» lorsque vous n’utilisez pas le service VPN.
Sont tous les ports clients jamais transmis par défaut? Si c’est le cas, sur quels serveurs? Certains services VPN transfèrent tous les ports clients par défaut. Certains le font uniquement sur les serveurs désignés. Pour certains services, il semble que le transfert de port varie selon les serveurs sans modèle ni documentation. Bien qu’il soit possible de vérifier cela en utilisant la numérisation du port, il est compliqué par le fait que de nombreux clients différents utilisant la même adresse IP de sortie peuvent avoir les mêmes ports transmis.

Το Netflix Nordvpn δεν λειτουργεί

Articles suivants

Un VPN me protégera-t-il? Définir votre modèle de menace
Une introduction à la confidentialité et à l’anonymat

Ici pour apprendre?

Consultez nos guides pour augmenter votre vie privée et votre anonymat.

Fournisseurs de VPN

Les services VPN aident les gens à rester en sécurité sur Internet. Ils cachent également votre adresse IP au public. Cependant, tous les VPN ne sont pas complètement privé.

Lire plus approfondie (série expérimentale):