Aller au contenu

Les VPNS et le cas Ipredator


Messages recommandés

CENTRALISATION – Les VPN et le cas Ipredator

NEW : RETROUVEZ EN QUATRIEME PARTIE LE ALL OF SHAME : LE BEST OF DE L'INSECURITE DES VPNS !

Souriez vous êtes filmés : ipinfo.gif

Cette centralisation a une portée générale, bien évidemment ceux qui ont des soucis avec Ipredator peuvent y poster et être sûrs d'avoir une réponse à leurs malheurs ;), je ne promets rien pour les autres

Je rappelle préalablement à toutes fins utiles qu'aucune dérive à visée illégale ne sera tolérée ici, au même titre que dans le reste du forum : si on aime les grosses voitures, nul n'est tenu de faire la promotion ou de cautionner les délits de fuite.

Sommaire :

- Partie 1 : Qu'est-ce qu'un VPN ?

- Partie 2 : Le cas Ipredator

- Partie 3 : Les à côtés du VPN

- Partie 4 : Le ALL OF SHAME : le best of de l'insécurité des VPNS

Partie 1 : Qu'est-ce qu'un VPN ?

Le VPN (Virtual Private Network) est une extension réseau permettant de connecter entre eux des réseaux locaux distants via Internet.

Il se base sur une relation client-serveur : un réseau est le client de l'autre. Afin qu'il franchisse en toute sécurité Internet, il est lourdement crypté afin d'empêcher l'interception des données (la sécurité est quand même le but initial du réseau intra-entreprise)

Il n'est pas à confondre avec le MPLS vendu et utilisé à tort comme VPN, car le MPLS se contente de connecter les réseaux entre eux sans cryptage, les données peuvent être interceptées par quiconque (et tout spécialement FAI, Gouvernements, société étrangère, etc.) ce qui n'est pas forcément dans l'intérêt des entreprises ou même d’un utilisateur en général.

Si on n’entre pas trop dans les détails technologiques, le fonctionnement est assez simple :

Le client VPN est configuré afin de choisir ce qui va transiter via le VPN ; généralement tout : Internet, les informations réseau local, partage d'imprimantes, etc.

Ainsi le VPN permet la liaison entre deux réseaux distants de manière transparente.

Celà revient au schéma suivant :

01.jpg

Vous aurez donc compris que si le serveur dispose d'Internet, alors le surf Internet passe via le serveur en question et que c'est l'IP de ce dernier qui sera visible lors de votre surf Internet.

02.jpg

Vous aurez également compris que ce procédé n'a pas été inventé pour anonymiser les connexions, il ne fait que déplacer le problème et à aucun moment votre IP ne disparaît complètement notamment parce que le serveur auquel vous vous êtes connecté vous connaît.

Pour plus d’information sur la technologie VPN en général : cliquez-ici.

Comment le VPN permet-il de surfer anonymement ?

Si on se base sur une réalité purement technique, le VPN à aucun moment ne vous rend parfaitement anonyme si certaines conditions ne sont pas respectées. C’est pour cela qu’il faut s’intéresser à la portée et aux limites de ce système et vous vous rendrez vite compte des avantages et inconvénients en la matière. Il faut un environnement propice pour le rendre viable et celà dépend avant tout de ceux qui le mettent en oeuvre.

Pour cela nous allons envisager point par point ce qui est important dans un service de surf anonyme basé sur un VPN :

VPN et MPLS:

Vous pouvez trouver des solutions se présentant comme des VPN alors qu’il s’agit d’un MPLS. Si il existe des points communs entre les deux il existe aussi de grandes différences :

  • Les points communs :
    Le VPN et le MPLS changent tous les deux votre IP étant donné que toutes vos connexions sont repassées par le serveur.
    Le VPN et le MPLS servent à interconnecter deux réseaux.
  • Les différences :
    Le VPN est crypté, le MPLS ne l’est pas.
    Le VPN nécessite une puissance de calcul proportionnelle à son nombre d’utilisateurs, ce qui n’est pas le cas avec le MPLS, car il ne crypte pas les données.
    Le MPLS est d’un coût économique très inférieur à celui du VPN (pour la raison précédente).
    Il n'est pas possible d'intercepter les données entre le client et le serveur dans le cas du VPN, elles sont parfaitement accessibles dans le cas du MPLS ; le point d'interception étant représenté en bleu sur le dessin en dessous

03.jpg

Conclusion sur le VPN face au MPLS : méfiez-vous lors de la souscription à une offre de type VPN qu’il ne s’agisse pas en réalité d’un MPLS, certes la procédure pour retrouver l’utilisateur qui se cache derrière est bien plus complexe, mais à cœur vaillant, rien d’impossible.

Concernant le partage réseau :

Comme il a été dit plus haut, le VPN servant à partager l’intégralité d’un réseau, il peut voir les autres ordinateurs, car ils se retrouvent au sein d'un même réseau, comme dans une entreprise ou à la maison (schéma ci-dessous). En réalité, pas tout à fait, mais cela présente deux hics.

04.jpg

  • Au niveau utilisateur :
    Au niveau utilisateur il est important de désactiver lors de la création du VPN les protocoles de partages de fichiers et d’imprimante afin qu’une autre personne connectée au même VPN (et donc au même réseau local) puisse accéder à votre ordinateur en direct (un comble me direz-vous).
  • Au niveau serveur :
    Au niveau serveur la même remarque et à préciser, il faut qu’au niveau du serveur les ports standards : ping, partage, etc. doivent être bloqués par ceux qui le mettent en œuvre au risque de se retrouver avec tout le monde pouvant pirater tout le monde.

Conclusion : Si jamais cette opération n’est pas faite au moins au niveau client à défaut du niveau serveur, n’importe qui peut aller jeter un œil dans votre ordinateur si ce dernier est ouvert aux quatre vents ; un petit malin peut alors s’inscrire et créer une véritable base de données de fichiers et d’informations sur les utilisateurs d’un VPN.

En 2011, on parle beaucoup d’IPv6:

Si le cas d’IPv6 n’a pas été évoqué, sachez qu’on peut piéger un paquet (ensemble de données) de façon à obliger l’ordinateur client à donner son IP.

Pour faire simple sans entrer dans les détails d'IPv6, en l'état les réseaux étant encore en IPv4, on encapsule le trafic de IPv6 en IPv4, il devient donc de l'IPv4

05.jpg

Cette faille a ses limites : désactiver IPv6, si l’ordinateur se trouve derrière un routeur ou une box, seule l’IP locale peut transpirer et la faille n’a alors aucun effet.

Quel protocole de cryptage choisir ?

Selon les acteurs, les protocoles de cryptages sont différents, faisant souvent la promotion du plus fort cryptage possible.

On peut faire quelques remarques à ce sujet :

  • comme le cas Tor la montré en Iran, le fait d’utiliser un protocole dont l’usage commercial est inexistant permet de le bloquer de manière nommée. À l’opposé le protocole PPTP ne le sera pas pour la simple et bonne raison qu’il est utilisé par énormément d’entreprises, de banques et de gouvernements qui ne sauraient tolérer une telle censure.
  • Si les cryptages ne sont pas égaux devant les mathématiques qui forcément permettent de savoir lequel est plus fort que l’autre, aucun de ceux en activité commerciale n’a été compromis à ce jour.
  • Plus le cryptage est lourd, plus la taille des paquets augmente et plus la perte de débit liée au protocole est importante.
  • Les protocoles commerciaux sont rapides à mettre en œuvre.

Conclusion : la puissance du cryptage n’est pas forcément garante du bon fonctionnement du VPN, il vaut mieux être dans le mouvement et augmenter le cryptage lorsque c’est nécessaire.

La localisation des serveurs ?

La localisation des serveurs est un pari important dans la création de VPN à visée de surf anonyme. Tous les pays ne sont pas égaux devant ces services et certains sont mieux protégés juridiquement que d'autres.

N’imaginez pas créer un VPN en France où tout est fait pour que l’utilisateur soit un jour retrouvé, le VPN ne fera que retarder le traçage.

Et si le VPN déconnecte par accident ?

Comme le VPN a été prévu d’abord pour les entreprises, on ne considère dans ce cas pas la déconnexion comme une compromission de la sécurité : le client n’a plus accès aux données sécurisée, la connexion est terminée côté serveur : pas de soucis.

Oui, ça pose effectivement problème, il faut donc utiliser en parallèle quand le protocole ne le gère pas en natif (et surtout l’environnement logiciel lié) un logiciel qui fermera instantanément les logiciels qui doivent être protégés le temps que la connexion soit rétablie.

La différence entre les services gratuits et payants ?

La différence majeure entre les services gratuits et payants se joue tant sur la sécurité que sur le débit.

Un service gratuit peut être sécurisé, mais lent (majorité des cas)

Un service payant est en général rapide, mais tous ne sont pas égaux du point de vue sécurité au vu de ce qui a été expliqué précédemment.

Pourquoi intercaler un proxy sur le réseau serveur entre le client et le serveur ?

L’idée d’intercaler un proxy au milieu de ça provient des acharnés de l’anti-tracing qu’on appelait autrefois les uplinks.

Le fait d’intercaler un proxy entre les deux permet que le serveur VPN ne connaisse à aucun moment le client des données et que le Proxy n’en connaisse pas le contenu. Ainsi même avec un accès physique aux machines il est impossible de savoir qui a fait quoi.

06.jpg

Conclusion :

Si vous souhaitez vous inscrire sur un VPN, pensez à bien tenir compte des remarques précédentes, une seule prise sur la sécurité et tout le système tombe à l'eau ! Pour résumer un VPN doit remplir cumulativement les conditions qui viennent d'être énoncées, excepté celle du proxy qui reste facultative.

Pour résumer :

07.jpg


Partie 2 : Le cas Ipredator

ipred.jpg

Ipredator est un service d'anonymisation VPN qui a été engendré par le militantisme des p'tits gars de The Pirate Bay.

Fonctionnement global :

Contre un abonnement d'environ 5€/mois, vous avez un accès illimité à leur service basé sur un VPN.

Nota : la traduction en français devrait bientôt être disponible.

  • Au niveau logiciel :
    Sachez simplement que pour des questions de rumeurs auxquelles le cou n'a jamais été tordu (backdoor pour les services secrets) aucun logiciel/système d'exploitation d'origine américaine n'est utilisé. Ceci à titre préventif et pour ne pas être le premier à découvrir qu'elles existent réellement compte tenu de la polémique que provoque Ipredator. Dixit eux-mêmes : libre à vous d'en faire autant sur vos ordinateurs si la simple idée qu'on vous observe vous rebute.
  • Au niveau protocole :
    Le protocole actuellement utilisé est PPTP, d'autres viendront en fonction des avancées pour le mettre à terre (OpenVPN est disponible aussi pour certains privilégiés, bientôt pour tout le monde). S'il n'est pas le plus sécurisé du monde (mathématiquement, car il n'a jamais été cassé), il présente l'avantage d'être intégré à tous les ordinateurs depuis Windows 2000 et Mac OS 10.4, ainsi il ne nécessite pas de problème dans son installation.

Il suffit donc, comme chez la plupart des fournisseurs de s'inscrire chez eux, de s'acquitter du montant de la cotisation, d'ajouter une connexion, de la mettre en œuvre et c'est parti ! Votre IP disparaît de la surface du blog au profit de celle de leurs serveurs.

Situer Ipredator au niveau de la sécurité :

En reprenant point par point ce qui a été évoqué :

  • VPN et MPLS : il s’agit d’un protocole VPN
  • Concernant le partage réseau : pas de soucis, tout est bloqué.
  • La localisation des serveurs : en Suède, j’y reviens après.
  • Si le VPN déconnecte par accident : OpenVPN est en cours de test, mais il existe un client qui permet de s’en prémunir. Le lien est en bas de ce post.
  • Gratuit ou Payant : comme dit précédemment, il est payant ; la seule limite de bande passante est celle que vous alloue votre fournisseur d’accès et la puissance de transfert autorisé vers la Suède.
  • Proxy intercalé : Oui

Maintenant de manière un peu plus complète, il faut ajouter que le fanatisme des petits gars de TPB a failli pousser Ipredator derrière les portes du parlement et l’immunité associée (les majors ne se gênent pas de le faire) et que finalement le carcan juridique suédois a largement suffit.

En effet : Ipredator est un service pay-as-you-use : c’est-à-dire que comme une carte prépayée chez un opérateur de téléphonie mobile vous payez d’avance. Au regard de la loi suédoise cela engendre une conséquence qui n’est pas mince : Ipredator n’est pas tenu par la loi de tenir une base de données. À ce titre, si jamais une requête de justice arrive ils peuvent y répondre avec le sourire aux lèvres : dans la mesure où ils ne fourniront que des identifiants de connexion, cela n'est rien du tout.

On peut aussi évoquer le traçage des paiements. Lorsqu’un paiement est admis sur leur serveur, il se trouve caché derrière une loi bancaire qui interdit aux sites de connaître les informations du paiement. À ce titre, le site obtient la validation du paiement et c’est tout. Il ne peut donc pas permettre le rapprochement entre un paiement et celui qui l’a fait.

Si une requête de justice aboutit à une demande d’écoute de la connexion, il faut pour cela que la personne en faisant la demande ait déjà une preuve valant au moins deux ans d’emprisonnement pour l’obtenir. Sachant que le moyen de preuve ne peut donc pas être obtenu via l’écoute, mais ne servir qu’à le confirmer ça devient très dur d’en faire quelque chose. À cela il faut ajouter que la loi suédoise ne prévoit en aucun cas l’accès à des requêtes émanant d’entités étrangères quelles qu’elles soient.

Conclusion :

Il est vrai que les ptis gars de The Pirate Bay avaient déjà fait leur preuves en montrant qu'on ne peut pas stopper Internet comme ça et que le gallion voguera sur encore de nombreuses mers. Alors a défaut de s'attaquer au bateau pirate, on s'attaque à ceux qui le fréquentent donnant ainsi naissance à Ipredator.

Rompu à l'exercice juridique, Ipredator est une solution béton tant au point de vue juridique que sécurité et il n'est pas près de tomber car légalement il n'y a rien à redire.


Partie 3 : Les à côtés du VPN

La technologie VPN permet-il de bypasser la censure ?

VRAI. Comme expliqué dans cette page, le VPN prenant l'IP du serveur auquel il est connecté en prend aussi la connexion. Cette dernière étant déportée est soumise aux politiques de censure locales. Le VPN permet donc de contourner la censure de manière très efficace.

Le VPN permet-il d'accélérer le P2P ?

VRAI et FAUX. Vrai, car les ordinateurs se retrouvant au sein d'un même réseau se retrouvent par la même interconnectés, il n'y a pas de limite de débit intra-VPN et certains logiciels privilégient les temps de réponse courts. Faux, car le VPN n'augmente pas l'upload de ceux qui y sont connectés.

Une ministre a dit que le gouvernement viendrait à bout des VPN, est-ce possible ?

FAUX. La ministre parlait de casser mathématiquement le cryptage des VPN et donc d'écouter les utilisateurs. Au même titre qu'ils ne connaissent pas la vitesse de l'électron, ils ne semblent pas se rendre compte de la puissance de calcul inimaginable que cela représente pour 1 utilisateur. Et au même titre qu'il faut de la puissance : il faut de l'argent pour calculer et la machine qui le pourrait se chiffre en centaines de milliards d'euros.

Egalement elle avait évoqué la possibilité de bloquer purement et simplement le VPN. Si techniquement c'est faisable, ça implique de stopper net toutes les communications des banques, des gouvernements, etc. Plus facile à dire qu'à faire

HADOPI me voit derrière le VPN ?

VRAI et FAUX. Vrai si le VPN est en France, celui qui recevra l'avertissement sera le propriétaire du serveur et vous bannira bien vite. Faux, si vous êtes à l'étranger la HADOPI n'ayant pas autorité en dehors de la France ne peut pas sanctionner la planète entière et de toute façon votre connexion prend la nationalité du pays où elle ressort.

J'ai un ami dans un pays censuré et un gros débit, puis-je créer mon propre VPN chez moi ?

VRAI. Le protocole est standard, facile à mettre en oeuvre ; aucun problème. C'est ce qu'avait fait un fournisseur d'accès en offrant un accès gratuit en 56k il n'y a pas longtemps (qui promettait au passage de dénoncer tout usage illégal de cette connexion)

On m'a dit qu'on pouvait piéger les DNS et savoir quels sites je consulte

VRAI. Si cette affaire n'a pas fait beaucoup de bruit, un FAI français très protecteur en matière de téléchargement (mais pas dans des domaines tels que la protection de l'enfance) avait tenté avec succès de le provoquer. Pour ce faire il a imposé aux box via le DHCP des DNS piégés. Pour se prémunir d'une récidive ou de ce risque il faut ouvrir la connexion VPN, aller dans ses propriétés et changer le mode automatique du DNS par manuel et y saisir les adresses de OpenDNS : 208.67.222.222 et 208.67.220.220. Ainsi quand vous êtes connectés en VPN vous avez l'assurance qu'il n'a aucune possibilité de vous tracer.

Des backdoors dans les logiciels américains, est-ce une théorie conspirationniste ?

En réalité, nul ne le sait. Ces histoires de portes dérobées ont souvent été pointées du doigt, mais il n'y a pas vraiment eu de cas représentatif de la chose à l'exception de la disparition (officielle) de paladium et la mise en cause d'IPsec. Ces théories concernent principalement le domaine du cryptage qui du fait de son opacité générale ne laisse pas tout voir et encore moins une porte dérobée à l'usage exclusif de certains services gouvernementaux.

Néanmoins on peut en penser deux choses : la prévention n'est jamais un luxe en matière informatique et rien ne prouve qu'elles existent. Maintenant il est vrai que la théorie de la conspiration veut que parce qu'on ne les voit pas elles existent. C'est un peu comme si on disait qu'en ce moment vous êtes espionné ; la preuve : vous ne voyez pas d'espion.

D'un autre côté il y'a suffisamment d'utilisateurs de ces solutions qui ont une mesure suffisamment précise pour avoir la conviction que c'est le cas.

A vous donc de vous faire votre opinion. Je reviendrais sans doute sur ces questions à l'avenir.


Partie 4 : Le HALL OF SHAME : le best of de l'insécurité des VPNS

Les VPNS à visée de surf anonyme se doivent d'être des exemples à suivre en matière de sécurité puisqu'ils sont censés vous donner confiance en votre anonymat sur Internet et protéger ainsi votre vie privée. Sans même avoir passé ma vie à les tester, on finit avec le temps à mettre un peu les mains dans le cambouis et à se rendre compte quel VPN est fiable et lequel ne l'est pas.

C'est ainsi que j'ai décidé de lancer le all-of-shame : un bêtisier de l'insécurité de certains VPNS que je mettrais à jour au fur et à mesure que je trouverais le temps.

ipjetable.net :

Il faut forcément une victime pour commencer. Alors on va commencer par un beau loupé en matière de sécurité avec le site de ipjetable.net. Je n'ai pas spécialement jeté mon dévolu sur eux, mais comme on en parlait dans le sujet j'ai décidé d'ouvrir le bal avec le premier qui me tombait sous la main.

Qui est ipjetable.net ?

Cette société est basée en Bulgarie : "IPjetable infrastructure is located in the Netherlands"

Elle a son infrastructure au Pays-Bas : "Service operated by BGTN, #201383685, 22A Akad. Metodi Popov St., 1113 Sofia, Bulgaria"

Les paiements sont collectés aux Pays-Bas : "payments collected by Ajova 504034323.RCSMetz"

Jusque-là, rien de bien méchant. N'étant pas un fin juriste des lois en matière de rétentions des logs aux Pays-Bas (donc, savoir si on peut associer votre paiement à votre adresse ip) je ne dirais rien sur ce point même si de prime abord je ne suis pas trop rassuré surtout à la lecture de ceci :

ipodah02.jpg

Qui fait un silence particulièrement pesant sur la question posée.

Il encourage à associer votre compte mail SMTP via l'authentification distante SMTP qui n'est rien de plus qu'une traçabilité parfaite entre votre adresse mail de FAI et votre IP "anonyme"

ipodah03.jpg

Jusque là tout va bien. Là où ça commence à devenir trash, c'est quand on regarde de plus prêt leur whois, on apprend que le domaine a été enregistré auprès de la société DirectNIC, société basée aux USA.

ipodah04.jpg

Celà signifie ni plus ni moins que sur pression des majors on pourrait faire un honey-pot, c'est-à-dire qu'on pourrait piéger les utilisateurs qui se connectent via une adresse du type vpn.ipodah.net au lieu d'appeler directement une IP. Super un accès libre en direct sur les ordinateurs des ptis gars qui pensaient être anonymes.

Ensuite comme on a vu ipodah marqué, on repense toute de suite à une société plus ou moins française, ipodah voulant dire hadopi à l'envers, société ayant déjà fait l'objet de multiples actualités sur Pcinpact.

Et comme le hasard fait bien les choses, on retrouve cette magnifique vue accessible à l'adresse : wopr.ipodah.net qui se trouve sur le serveur de VPN de ipjetable.net

ipodah.jpg

On commence déjà à voir un peu plus clair sur à qui on a affaire.

Mais jusque-là, rien ne justifie le all of shame ;) Bien évidemment j'ai gardé le meilleur pour la fin :

ipodah05.jpg

mx, en matière de DNS désigne les mails du domaine. Ainsi : tout mail adressé à ipjetable.net est renvoyé vers des boîtes gmails, ce qui ne doit pas manquer d'attirer l'attention d’échelon et d'autres curieux. Mieux : si les paiements sont envoyés également vers ipjetable.net alors ils atterissent automatiquement sur gmail. Félicitations, même si on peut avoir confiance en google le site est parfaitement à la merci des Américains (et donc des majors) mais également de la France qui retrouve une compétence territoriale, car l'aveu est signé (capture d'écran ipodah et SMTP).


Addendum : pour encore plus de sécurité

Pour empêcher les applications de se reconnecter si on n'utilise pas un logiciel qui les ferme automatiquement :

Merci à le Saigneur Sombre pour cet ajout ;)

Pour encore plus de sécurité, il est aussi possible d'arrêter un torrent en cas de déconnexion du VPN (ou d'éviter de lancer un download sans le VPN...)

Manip pour le pare-feu de Windows (mais ça devrait être faisable avec tout bon pare-feu) :

- lancer le "Pare-feu Windows avec fonctions avancées de sécurité" dans le menu Démarrer/Programmes/Outils d'Administration

- Sélectionner "Règles de trafic sortant" dans l'arborescence de gauche

- cliquer sur "Nouvelle règle" dans la zone Actions à droite de la fenêtre

- sélectionner "Programme" puis "Au programme ayant le chemin d'accès" et allez localiser uTorrent.exe (ou l'exe du client que vous utilisez) dans le répertoire Programmes de votre disque dur

- sélectionner "Bloquer la connexion"

- la règle doit être appliquée pour tous les domaines

- donner un nom à la règle, par exemple "Bloquer uTorrent sortant"

- sélectionner la règle que vous venez de créer, cliquez du bouton droit de la souris et sélectionner "Propriétés"

- sur l'onglet "Avancé", sélectionner Personnaliser le Types d'interfaces

- spécifier les types d'interfaces "Réseau Local" et "Sans fil", sans cocher l'Accès distant (le VPN), qui, lui, doit rester actif !

Lancer un download sans vpn, ça ne marche pas et avec ça marche :-)


Je parlais d'un petit logiciel, il s'agit de VPNetMon, vous retrouverez son tutoriel sur cette page.

02/06/2011 : Je viens de terminer la traduction en français d'Ipredator, le site sera bientôt disponible en français (le temps de l'intégration dans les strings)

12/06/2011 : Correction de trois erreurs relevées par zebul666 et ajout de l'adendum "pour encore plus de sécurité" proposé par Le Saigneur Sombre.

15/06/2011 : ajout de la partie 4 : le all of shame avec un premier client : ipodah.net

Lien vers le commentaire
Partager sur d’autres sites

  • Réponses 88
  • Créé
  • Dernière réponse
  • 2 semaines après...

Merci, Super tuto, très clair.

Pour encore plus de sécurité, il est aussi possible d'arrêter un torrent en cas de déconnexion du VPN (ou d'éviter de lancer un download sans le VPN...)

Manip pour le pare-feu de windows (mais ça devrait être faisable avec tout bon pare-feu) :

- lancer le "Pare-feu Windows avec fonctions avancées de sécurité" dans le menu Démarrer/Programmes/Outils d'Administration

- Sélectionner "Règles de trafic sortant" dans l'arborescence de gauche

- cliquer sur "Nouvelle règle" dans la zone Actions à droite de la fenêtre

- sélectionner "Programme" puis "Au programme ayant le chemin d'accès" et allez localiser uTorrent.exe (ou l'exe du client que vous utilisez) dans le répertoire Programmes de votre disque dur

- sélectionner "Bloquer la connexion"

- la règle doit être appliquée pour tous les domaines

- donner un nom à la règle, par exemple "Bloquer uTorrent sortant"

- sélectionner la règle que vous venez de créer, cliquez du bouton droit de la souris et sélectionner "Propriétés"

- sur l'onglet "Avancé", sélectionner Personnaliser le Types d'interfaces

- spécifier les types d'interfaces "Réseau Local" et "Sans fil", sans cocher l'Accès distant (le VPN), qui, lui, doit rester actif !

Lancer un download sans vpn, ça ne marche pas et avec ça marche :-)

Lien vers le commentaire
Partager sur d’autres sites

super article

j'ai noté 2 erreurs:

"les réseaux étant encore en IPv6, on encapsule le trafic de IPv6 en IPv4,"

non, la majorité est encore en IPv4

comme le cas Thor la montré en Iran

eux ce n'est pas le dieu hein ! on voit que l film vient se sortir. C'est Tor

comme le cas Tor l'a montré en Iran

Et je crois qu'il y a confusion entre OpenSSL et OpenVPN !

Lien vers le commentaire
Partager sur d’autres sites

Merci à Le Saigneur Sombre pour son ajout que j'ai intégré immédiatement :)

Effectivement, merci d'avoir relever ces trois erreurs :

- La majorité des adresses est en IPv4 bien évidemment

- Pour thor j'ai du trop écouter de musique norvégienne et suédoise ;)

- pour OpenSSL et OpenVPN c'est à force de travailler sur OpenSSL j'ai fini par m'emmeler les crayons ^^

En tout cas merci d'avoir prété attention à ces erreurs que je vais corriger sous peu :)

Lien vers le commentaire
Partager sur d’autres sites

Des backdoors dans les logiciels américain

Techniquement, c'est ce qui est dit dans les lois "Patriot Act" et "CALEA"

http://en.wikipedia.org/wiki/USA_PATRIOT_Act

<<Various provisions allowed for the disclosure of electronic communications to law enforcement agencies. Those who operate or own a "protected computer" can give permission for authorities to intercept communications carried out on the machine, thus bypassing the requirements of the Wiretap statute.[35] The definition of a "protected computer" is defined in 18 U.S.C. § 1030(e)(2) and broadly encompasses those computers used in interstate or foreign commerce or communication, including ones located outside the United States. The law governing obligatory and voluntary disclosure of customer communications by cable companies was altered to allow agencies to demand such communications under U.S.C. >>

http://en.wikipedia.org/wiki/Communications_Assistance_for_Law_Enforcement_Act

<<CALEA's purpose is to enhance the ability of law enforcement and intelligence agencies to conduct electronic surveillance by requiring that telecommunications carriers and manufacturers of telecommunications equipment modify and design their equipment, facilities, and services to ensure that they have built-in surveillance capabilities, allowing federal agencies to monitor all telephone, broadband internet, and VoIP traffic in real-time.>>

Lien vers le commentaire
Partager sur d’autres sites

En attendant d'être éligible à l'OpenVPN, avez-vous des astuces pour faire de l'autologin au démarrage de session, ou un raccourci pour faciliter la connexion en PPTP ??

Parce que je quitte juste aujourd'hui un autre VPN situé aux US, et l'OpenVPN est vraiment bien pour gérer souplement les connexions.

ps : j'avais un peu peur sur ce point, mais j'ai un excellent débit avec ipredator, j'ai oublié de le tester avec mon ancien VPN pour comparer, mais le débit est meilleur ici avec 16,5 Mb/s Down - 1Mb/s up

:)

Lien vers le commentaire
Partager sur d’autres sites

La seule limite d'Ipredator est ce qu'autorise en trafic roaming (en dehors de ses cables) ton opérateur :)

Donc pour répondre à ta question oui, il y'a plusieurs solutions à ça :

utiliser autoriser la connection vpn en auto (en mettant reco automatique) et en la mettant en config par défaut : tout programme sollicitant la connexion internet sera obligé d'utiliser le VPN.

Sinon en utilisant vpnetmon : dans ce cas il suffit de faire un raccourci dans le démarrage de windows et dès le lancement tu auras la fenetre de demande de connexion au VPN avant que la moindre connexion s'établisse :)

Lien vers le commentaire
Partager sur d’autres sites

Pour moi je trouve que le meilleur compromis à l'heure actuelle est VPNTUNNEL.SE

* Bande passante Illimitée

* Pas de logs

* IP dynamique Anonyme

* OpenVPN avec 2048 bits blowfish

* Choix du parmis 5 serveurs.

* Connection Guard (qui ferme les applications de son choix si le VPN coupe)

Je l'utilise depuis plus d'un an et je n'ai jamais eu aucun problème. Leur app perso permet de se connecter au démarrage et il n'y a aucune déconnexion. De plus le débit est presque sans aucune perte et le ping est très bon.

En bref, pour moi le meilleur.

Lien vers le commentaire
Partager sur d’autres sites

Pourquoi pas... Après leur argumentaire commercial c'est une chose, mais l'avantage d'Ipredator c'est qu'on sait qui a fondé la boite ;) et leur expérience sert :

Je pourrais beaucoup détailler mais je vais te donner une seule raison qui fait que je ne recommande pas VPNtunnel : il n'encapsule pas ipv6 en ipv4 => ton ipv4 est bien à l'endroit que tu as choisi, ton ipv6 reste à l'endroit habituel : ton FAI. Je pense que c'est un problème suffisant qui implique pour ceux qui sont déjà en Ipv6 (et de toute façon tout le monde y passera) pour en limiter l'interêt.

Ca présente à mon sens trop de complication pour l'utilisateur lambda pour se protéger des écueils de ce côté là.

Juste un exemple : utorrent gère l'ipv6... donc tous les échanges ipv6 seront en clairs avec les autres utilisateurs ipv6... Bon, sans doute hadopi (TMG) (pas vérifié) est en ipv4 pour un moment mais bon.

Je précise à toute fin utile que c'est pour ça que Ipredator est encore en test avec OpenVPN, parce qu'il y'a beaucoup de contraintes pour régler ce problème à la base.

Lien vers le commentaire
Partager sur d’autres sites

Donc Iprédator + VPNetMon et logiquement on est tranquille face a "l'oeil de moscou" ??? ( et accéssoirement d'Hadopi )

Ce qui m'intéresse le plus , c'est que vraiment tout soit crypté ( mail , surf , serveur , ect...) donc si j'ai bien lu , c'est le cas ici...

En tout cas merci pour ce très bon tuto ainsi que celui de VPNetMon :yes:

Lien vers le commentaire
Partager sur d’autres sites

Attention pour les mails, les serveurs smtp sont bloqués (on reçoit en POP ou IMAP et on emet en SMTP avec outlook, thunderbird par ex)

Donc pas de possibilité d'envoi de mail en SMTP.

Sinon oui, tout est intégralement crypté. Si vous avez des questions n'hésitez pas à les poser ici vu que j'ai de très bon contacts avec eux :) (et eux ne parlent pas français :))

Lien vers le commentaire
Partager sur d’autres sites

Quand j'ai testé Ipodah à l'époque pour le VPN les serveurs étaient en France et à défaut des serveur la société. Donc ils sont tenus par la loi d'avoir une base de donnée :).

Quand j'ai besoin d'un mail pour registrer j'utilise : Fake Name Generator :)

Je pense que je ferais un tuto : ne plus se faire tracer au milieu des mails... par contre ça ne sera pas pour tout de suite je croule de boulot cette semaine ^^

Lien vers le commentaire
Partager sur d’autres sites

Au niveau de la traduction c'est en cours d'intégration (une grosse partie de la team est partie en vac) et il y'a quelques nouveautés pour bientôt mais je ne peux rien dire pour l'instant :)

Pour ce qui est du partage il est neutralisé directement au niveau du proxy, mais par sécurité je t'invite à le désactiver de la manière suivante :

- une fois ta connexion configurée, tu va dans propriété de la connexion vpn (dc la connexion que tu a créé), gestion de réseau et tu désactive le partage. Comme ça tu as la sécurité maximale :) indépendamment des serveurs.

ATTENTION : si tu désactive IPv6 dans cette interface il faut le désactiver aussi sur ton réseau sinon l'IPv6 ne passe pu dans le tunnel ;)

Mais comme je le disais à ce sujet, dès le moment où tu as une box ou un routeur tu peux laisser l'IPv6 :)

Lien vers le commentaire
Partager sur d’autres sites

Mais comme je le disais à ce sujet, dès le moment où tu as une box ou un routeur tu peux laisser l'IPv6 :)

Donc je laisse par défaut :fumer: C'est bien de l'avoir dit , car sur le site il est dit de désactiver L'IPv6 et ils donnent la procédure en renvoyant sur une page microsoft qui t'explique la manipulation au niveau de la base de registre ( facile pour nous mais qui restera complexe pour beaucoup d'autres "Mr et Md Michu" )

Lien vers le commentaire
Partager sur d’autres sites

tu sais si quelqu'un piège un paquet (ce qui demande déjà pas mal de boulot, y compris pour quelqu'un d'averti car il faut te le destiner) qu'il sache que l'adresse ip de ton ordi est 192.168.1.1 par ex ça va pas l'aider beaucoup :francais:

Lien vers le commentaire
Partager sur d’autres sites

tu sais si quelqu'un piège un paquet (ce qui demande déjà pas mal de boulot, y compris pour quelqu'un d'averti car il faut te le destiner) qu'il sache que l'adresse ip de ton ordi est 192.168.1.1 par ex ça va pas l'aider beaucoup :francais:

:toutafaitdaccord: .....Tiens par contre encore une question mais qui pourrait "être intégrée" a ton topic vu qu'elle risque d'être récurrente : je possède 6 pc dont un serveur , tous en partage a la maison , si un seul passe par Ipredator ( le serveur ) , les autres , utilisant une connexion "standard" , ont ils des chances de mettre en péril la sécurisation (VPN) du serveur.....

Ma phrase n'est pas super construite :ane: mais je pense que tu m'a compris :siffle:

Lien vers le commentaire
Partager sur d’autres sites

Non pas de danger :), c'est totalement indépendant et sans la moindre influence, effectivement je devrais l'ajouter à la ptite faq de la fin.

Lien vers le commentaire
Partager sur d’autres sites

Tu es chez quel FAI ? (attention avec paypal, il n'aime pas les changements brutaux de destination lol).

Pour ton compte il se peut qu'il t'affiche une ip un peu plus ancienne (je le vois assez souvent sur des serveur qui rappelle la dernière ip parce qu'ils n'ont pas encore l'actuelle)

Lien vers le commentaire
Partager sur d’autres sites

Je m'en doutait ;) essaie en désactivant purement et simplement l'IPv6 sur l'ordinateur que tu utilise pour le vpn (une histoire d'encapuslation avec la FB), normalement ça devrait régler le prob :)

si ça marche pas je regarderais en détail demain mais à mon avis ça viens de TEREDO (une fonction de W7 qui voit la FB comme un partage résidentiel au lieu du routeur dc ça bypasse partiellement le tunnel)

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.


×
×
  • Créer...