Arrêter de recommander les VPN pour la vie privée

Rédigé par cafou 1 commentaire
Classé dans : Vie Privée Mots clés : aucun

S'il y a bien quelque chose qui ne varie pas d'un iota au cours du temps ce sont les divers bonimenteurs qui se présentent comme faisant partie d'un corps de métier et mais qui le décrédibilise. Je pense aux homéopathes pour la médecine, les astrologues pour l'astronomie, les "chercheurs" en énergie libre pour la physique. Bref, je vais m'arrêter ici sinon la liste risque d'être longue comme un jour sans pain.

En informatique nous avons les vendeurs de solution de sécurité. Je vais encore me répéter mais la sécurité parfaite n'a jamais existé et n'existera jamais. Il n'y a rien de pire que de sentir parfaitement en sécurité à l'abri de toute menace car c'est à ce moment là que la vigilance baisse drastiquement.

Le vendeur en solutions de "cybersécurité" vous parle :
kaa dans le livre de la jungle

Si vous êtes comme moi et que vous regardez beaucoup de vidéastes français sur Youtube, il est impossible que vous soyez passé à côté des publicité NordVPN. Cette entreprise est littéralement partout et martèle son message grâce à son omniprésence. Et si un mensonge est suffisamment répété il devient une vérité. Ce ne sont pas mes amis travaillant dans le mercatique qui me contrediront.

Attention, je ne blâme pas complètement les vidéastes qui ont recours à ces partenariats car Google rends les choses très compliquées pour les créateurs et s'émanciper du réseau qu'est Youtube n'est pas évident et notamment à cause de la loi de Metcalfe. Assez de préambule, rentrons maintenant dans le vif du sujet

Un VPN qu'es aquò ?

L'acronyme VPN signifie Virtual Private Network. C'est un outil qui permet d'accéder à un réseau distant comme si votre machine y était physiquement branché. C'est surtout très utilisé dans le monde de l'entreprise, pour l'accès à diverses ressources à distance. Comme dans le cas de beaucoup de services sur Internet, ils se compose de deux éléments : un serveur et un client. Le premier est le logiciel que vous installez sur votre appareil (PC, téléphone, tablette, etc etc) qui se chargera d'établir une connexion avec un serveur et de faire passer l'intégralité de votre activité sur le web dans un tunnel chiffré. Le second, lui, va réceptionner les requêtes du client, les effectuer à sa place puis transmettre le résultat à votre ordinateur.

Je ne ferais certainement pas un commentaire exhaustif de tous les éléments du langage du site et des vidéastes car cela serais trop ennuyeux pour vous comme moi donc je me contenterais de prendre quelques exemples.

Un petit mot sur le client.

Celui-ci est disponible sur beaucoup de plateformes : Linux, Windows, Mac, c'est super. Mais son code source demeure secret. Le code source est un peu l'équivalent de la recette pour un plat. Quand vous connaissez la composition d'un plat que vous achetez ou préparez, vous pouvez avoir confiance. Ici c'est pareil. Sauf que la recette est cachée et seulement connue de celui qui a écrit le logiciel. En gros NordVPN vous dit de vous faire confiance quand il explique ce que fais le logiciel mais personne ne peut le vérifier.

La confidentialité.

La confidentialité de vos données est importante selon eux. Selon moi cette affirmation a autant de valeur que les sites qui déclarent que votre vie privée leur est importante mais dépose des cookies dans votre navigateur. La page principale (et le site tout entier d'ailleurs) contient un traqueur. Un script GoogleAnalytics qui ne manquera pas de moucharder à Google, vos moindre faits et geste sur le site. Combien de pages vous avez visionnées, le temps passé dessus, etc etc.

La cabane est tombée sur le chien. D'entrée de jeu.
NordVPN GoogleAnalytics  Javascript

Le chiffrement.

Sur la page des fonctionnalités il est écrit que la connexion est derrière un mur de chiffrement de nouvelle génération. NordVPN utilise AES-256, un algorithme de chiffrement des données existant depuis plus de 20 ans et dont l'usage est largement répandu pour le HTTPS et d'autres protocoles. AES-256 n'est pas cassé mais n'offre pas de meilleure protection de manière générale. Donc, quand vous lisez ou entendez des arguments du genre "cryptage militaire, chiffrement dernière génération", sortez votre détecteur de fadaises.

Il va me péter dans les mains c'est sûr.
Bullshitomer

La politique de non journalisation.

Sur la page suivante : https://nordvpn.com/fr/features/ il est expliqué qu'aucun registre d'activité n'est conservé. Bien, voyons ça. Pour continuer plus loin dans mes explications, je vais devoir m'appuyer sur quelques notions techniques mais je ne rentrerais pas dans les détails rassurez-vous.

Les fichiers de journalisation.

Quand une entreprise décide de fournir un service quel qu’il soit, il faut des fichiers de journalisation, pas pour satisfaire un plaisir voyeur d'informaticien mais simplement pour pouvoir comprendre et résoudre une ou plusieurs anomalies. Cela permet également de détecter l'origine d'attaques, de fournir des statistiques sur la disponibilité dans le cas d'infogérance et surtout de prévoir le dimensionnement d'une plateforme. Ces usages sont assez variés et tout à fait légitimes. Ils permettent d'offrir un service de qualité. Je n'imagine pas comment les informaticiens qui travaillent pour NordVPN puissent travailler sans fichiers de journalisation.

Un billet de blog officiel a été posté déclarant que NordVPN a été audité par un cabinet d'audit suisse indépendant, PricewaterhouseCoopers AG. Qui aurait garantie que cette politique a été appliqué. Mais comme le rapport n'est pas public, je me garderais de faire des commentaires en la matière.

Le DNS.

Le VPN est censé vous protéger des regards indiscrets des gouvernements et des fournisseurs d'accès à internet, soit, mais pour ce faire, un autre élément entre en jeu pour la navigation sur le Web : le serveur DNS. C'est un service qui sert à indiquer à votre ordinateur une adresse IP publique pour joindre un site donné. Sauf que les requêtes DNS doivent aussi passer par le tunnel et que par conséquent, NordVPN doit fournir un résolveur à l'autre bout du tunnel. Cela signifie, que l'exploitation des données fournies par le DNS peut être la même que dans le cadre d'un gros FAI commercial comme Orange, SFR, Free ou Bouygues.

Quant à leur technologie "CyberSec", c'est un simple filtrage basé sur liste de sites malveillants. Le soucis, c'est que pour qu'un tel service puisse fonctionner, il faut pouvoir journaliser l'ensemble de vos requêtes DNS et les comparer à une liste. Honnêtement, je n'ai pas la moindre idée de comment ce service peut fonctionner sans système de journalisation. Ce n'est pas un argument massue mais aucun détail supplémentaire n'est fourni.

Le changement d'adresse IP.

Selon NordVPN le changement d'adresse IP vous aide à protéger votre vie privée. Dans la section précédente, je vous parlais d'adresse IP et bien sachez que vous en avez une également. Il s'agit d'une adresse IP publique. C'est une adresse unique "attachée" à votre box qui permets de vous joindre et c'est celle-ci qui est enregistrée dans les journaux d'un serveur du site que vous visitez. C'est le fonctionnement normal, rien de nouveau sous le soleil. Parfois cette adresse unique change selon une fréquence propre à votre fournisseur d'accès à Internet. Et devinez quoi ? Ce n'est pas suffisant contrairement à ce que NordVPN prétends. Une adresse IP publique est certes unique mais corrélée à d'autres types de données comme la langue de votre navigateur, votre fuseau horaire, votre manière d'écrire, votre résolution d'écran, le user-agent du navigateur vous devenez unique donc traçable. Notez bien que je ne peux fournir une liste exhaustive mais les possibilités sont pléthoriques.

L'homme du milieu.

L'attaque par homme du milieu est une attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis. C'est une attaque qui est possible pour un gestionnaire de point d'accès wifi public, par des personnes malveillantes mais aussi par...le fournisseur de solution VPN. En 2018, des personnes qui s'étaient introduit dans le système d'information de NordVPN avaient pu générer avec des accès privilgiés des vrais-faux certificats. Avec ces certificats forgés, les attaquants pouvaient écouter le traffic HTTPS des utilisateurs de NordVPN sans éveiller le moindre soupçon. La question porte moins sur la possibilité d'une attaque (cf le début de l'article) que sur ses conséquences. Mais ce que cette attaque démontre, c'est la possibilité technique pour NordVPN d'écouter une communication qui est sensé être juste entre deux parties : votre navigateur et le site que vous visitez.

De quoi le VPN ne protège pas non plus ?

Ce qui suit n'est pas spécifique à cette entreprise mais c'est applicable à tous les solutions de VPN présentes et futures.

Il peut dans une certaine mesure, rendre la lecture de votre navigation web plus compliquée pour un tiers. Mais ne protège pas du contenu d'un site en lui-même, qui lui peut aspirer des données, ou téléverser des logiciels malveillants sur votre ordinateur.

L'utilisation de VPN ne protège pas des enregistreurs de frappes au clavier car ce logiciel malveillant intervient en amont. Si vous êtes infecté par l'un d'eux, vos mots de passe et données importantes sont déjà loin.

Le VPN ne vous protégerais pas de vous même. Cela parait évident mais c'est toujours quelque chose à garder dans un coin de sa tête. Une part non négligeable de la sécurité informatique repose sur votre vigilance. Si vous fournissez vous-même vos données confidentielles en vous faisant berner, le VPN ne vous protégera pas de ce type d'attaque basé sur la faiblesse humaine.

Le mot de la fin.

Le VPN est utile pour le télétravail, pour contourner temporairement un géo-blocage de contenu comme peut le faire Netflix ou Amazon Prime. Ou sous un angle plus "politique" pour contourner la censure de régimes à tendance répressive comme les Émirats Arabes Unis, la Chine, l'Iran, la Russie ou la France. Pour cette dernière, je vous invite à visiter les sites d'Amnesty International, Reporter sans Frontières ou celui de la CEDH, ce n'est pas très reluisant. Le gain pour la vie privée est assez discutable. Je serais assez mal placé pour vous conseiller en matière de VPN car je suis mon propre fournisseur depuis un moment.

En plus du côté technique, il y a une question plus fondamentale qui mérite d'être sérieusement posée. Quelle est le degré de confiance que vous pouvez accorder à un tiers ? Si vous vous la posez pour votre banque, votre FAI, ou votre gouvernement, pourquoi pas vis à vis de votre fournisseur de solution VPN ? A titre personnel, je ne recommanderais pas du tout NordVPN. Ce n'est pas dans l’intérêt de cette entreprise que vous vous posiez des questions sur ces éléments de communication plus que douteux, sinon, cela serais très mauvais pour ses profits.

J'aurais davantage confiance en un FAI associatif régional ou national plutôt qu'une société domiciliée dans un paradis fiscal quelconque.

Sources en français :

https://nordvpn.com/fr/blog/audit-de-nordvpn/

https://nordvpn.com/fr/features/

https://nordvpn.com/fr/features/vpn-security/

https://fr.wikipedia.org/wiki/NordVPN

https://nordvpn.com/fr/blog/man-in-the-middle-attack/

https://nordvpn.com/fr/features/cybersec/

https://www.amnesty.org/fr/

https://rsf.org/

https://www.echr.coe.int/Pages/home.aspx?p=home&c=fre

Sources en anglais :

https://en.wikipedia.org/wiki/NordVPN

https://www.theregister.com/2020/10/12/roundup_week_oct9/

https://www.wired.co.uk/article/best-vpn

https://vpnpro.com/blog/why-pwc-audit-of-nordvpn-logging-policy-is-a-big-deal/

https://www.cnet.com/news/nordvpn-user-accounts-were-compromised-and-passwords-exposed-report-says/

1 commentaire

#1  - fipaddict a dit :

Merci pour cet article, je vais pouvoir m'en servi, et y faire référence, plutôt que de me perdre dans des explications techniques.

Répondre

Écrire un commentaire

Quelle est la quatrième lettre du mot ewxovn ?

Fil RSS des commentaires de cet article