FAI vs VPN vs Tor

Tags:

J'ai lu trop de commentaires a propos de gens qui utilise VPN et/ou Tor en tant qu'armure contre toute possibilité de faille de sécurité et de vie privée. Je vais tenter d'expliquer très simplement ce que ces outils font vraiment. Ce sont de bons outils, mais quand on les utilise mal ils peuvent perdre leur fonctionnalité.

Internet goût vanille

Voici a quoi ressemble les choses quand on n'utilise pas VPN, Tor ou autre système de relais (proxy).

En rouge se trouve le trafic Internet habituel. Il va directement de vous aux sites web (et autres ressources) auxquels vous vous connectez. Votre FAI (Fournisseur d’Accès Internet) transmet tout vos paquets pour vous.

Parfois votre trafic est chiffré (HTTPS, TLS, etc), mais bien souvent cela ne l'est pas. Quand le trafic passe en claire, tout est visible par votre FAI.

Version courte : Votre FAI connaît les sites auxquels vous vous connecter et peut lire tout le trafic non-chiffré que vous échangez.

Routeur VPN

Un routeur VPN crée un tunnel entre vous et lui-même. Une fois le tunnel établi, votre ordinateur est censé envoyer tout le trafic destiné a Internet dans ce tunnel. Le tunnel passe par votre FAI, mais puisque le tunnel est chiffré (j’espère pour vous), votre FAI ne peux que constater que vous étés connecté au serveur VPN.

Une fois que votre trafic arrive au VPN il redevient "comme d'habitude" (rouge). C'est a dire, tout ce que votre FAI pouvait voir dans le cas précédant peut maintenant être vu par votre fournisseur VPN.

Version courte : Le serveur VPN connaît les sites auxquels vous vous connecter et peut lire tout le trafic non-chiffré que vous échangez, exactement comme avec Internet goût vanille. Aussi, votre FAI sait que vous êtes connecté au serveur VPN.

Tor, routeur oignon (The Onion Router)

Imaginez Tor comme étant un routeur VPN a la différence que son point d’entrée et sortie se trouvent sur des systèmes séparés et au milieux se trouve un tas de relais Tor qui sont eux aussi des systèmes séparés. Le but de Tor est de router le trafic de sorte a ce que chaque nœud (relais) ne connaisse uniquement le nœud précédant et suivant, en d'autres termes, de permettre des connexions presque impossible a tracer.

Le trafic lui-même est chiffré de vous jusqu'au nœud de sortie. A partir de ce point, les mêmes règles s'applique qu'avec le FAI dans le premier cas et le VPN dans le second. Tout trafic non-chiffré est visible et les destinations de vos connexions sont connus. Ce que le nœud de sorti ne devrait pas connaître est l'origine du trafic, c'est a dire: vous.

Une façon de mal utiliser Tor serait d’établir des connexions en claire a des ressources/sites personnelles (voir même des connexions sécurisé a de ressources personnelles peuvent être parlant), le nœud de sortie pourrait deviner votre véritable identité. Une fois cela fait, il pourrait faire le lien entre vous et les autres sites que vous visitez via Tor.

La force et faiblesse du réseau Tor est lié au nombre de nœuds opérés par des entités indépendant. Imaginez le réseau Tor comme un puzzle ou il faut connecter les points, chaque nœud en voit 3 (le nœud précédant, suivant et le courant). Si une entité opère suffisamment de nœuds il serait possible d'avoir une idée plus précise sur ce qui se passe sur le réseau Tor.

Version courte : Votre FAI sait quand vous êtes connecté au réseau Tor et le nœud de sortie du réseau Tor peut voir tout votre trafic comme dans les cas précédents (FAI, VPN). Cependant, le nœud de sortie ne devrait pas pouvoir tracer l'origine des connexions et donc ne devrait pas savoir que c'est vous qui l'utilisez.

Pourquoi ? Et si oui, lequel ?

Une fois que vous avez compris ce que font ces choses et ce qu'ils ne font pas, vous devriez pouvoir choisir par vous même. Aussi, vous pouvez commencer a préférer les connexion chiffrées si ce n'est pas déjà le cas, car comme on a vu, tout trafic qui passe en claire est lisible par quelqu'un.

Il y existe toujours quelques bonnes raisons pour utiliser ce genre de système, par exemple pour passer outre la censure du Web. La plus grande partie de la censure sur Internet se passe au niveau du FAI, donc le fait de les contourner peut aider. Pour cela, un routeur VPN suffirait. Si vous tenez a ce que la connexion ne puisse jamais être retracée jusqu’à vous, alors Tor serait plus adapté comme outil (il possible de combiner aussi).

Parfois BT (British Telecom - article en anglais) se fait passer pour les sites visités et affiche des fausses erreurs "404" (page non trouvée) au lieu d'une page qui indique que la page que vous tentez de visiter est censuré.

D'autre raisons peuvent être plus technique, en effet, de plus en plus de FAI s'amuse a casser Internet. Par exemple, TalkTalk imite les réponses aux requêtes DNS (article en anglais) qu'effectue leurs clients afin de changer les résultats selon ce qui les arrange. D’après TalkTalk, il n'existe pas d'enregistrement DNS qui n'existe pas. Leur but n'est même pas (que) la censure. C'est de l'interception et manipulation de communications, c'est probablement illégal, et dans ce cas c'est pour envoyer leurs client sur une page de pub.

Ces outils peuvent parfois même aider contre les soucis de routages. Par exemple, pendant un bon moment (peut être encore), en passant par Free (FAI français) il était difficile d'avoir un débit suffisant vers Youtube, le problème était la route entre Free et Youtube. En passant par un VPN sur un réseau plus neutre, il était possible d'avoir un débit normale.

Les rustines ne doivent pas devenir la norme

D'abord, si vous utilisez un VPN, traitez le comme votre FAI. A moins que vous soyez l'administrateur du routeur VPN, de préférence sur votre propre serveur vous n'avez aucune garantie que le trafic n'est pas logué. Cela aide aussi si vous connaissez l’administrateur réseau ou se trouve le serveur VPN. Beaucoup de fournisseurs disent qu'ils ne loguent pas, dans le doute, je doute.

Ces solutions, ainsi que d'autres, devraient être considérés comme des solutions temporaires. En effet, a partir du moment ou ils poseront problème (et/ou deviennent populaire) il seront bloques autant que possible.

commentaires:
avatar

Informatique Rouen - http://www.assistanceinformatique76.fr

Bonjour
lorsque que l on utilise un VPN il y a deux failles de sécurité a "boucher".
La faille webrtc (navigateur) et les fuites dns ...
Si tu me m autorise je post un petit tuto pour corriger tout ca
avatar

Informatique sur Rouen - http://www.assistanceinformatique76.fr/

Comment sécuriser efficacement son Vpn

Lorsque vous utilisez une connexion par VPN, vous pourriez vous attendre à ce que l’ensemble de votre trafic passe par celui-ci et c’est bien évidemment ce que vous recherchez ! Ce n’est malheureusement pas tout le temps le cas…

Le DNS (système de noms de domaine) est utilisé pour traduire un domaine tel que freedom-ip.com en adresse ip directement utilisable pour l’acheminement des paquets de données sur internet.

Donc lorsque vous entrez une URL dans votre navigateur par exemple, votre ordinateur contacte un serveur DNS. Jusque là tout vas bien.

Seulement il y à un hic ! La plupart des FAI attribuent à leurs clients des serveurs DNS dont ils ont le contrôle ce qui leur permet, entre autres, l'enregistrement de votre activité sur Internet…

Pour commencer on ouvre le panneau de configuration
on clic sur réseau et internet puis sur Centre réseau et partage
puis on clic sur Ethernet.
On clic ensuite sur propriété ... et cliquez sur protocole internet version 4 choisir utilisez les serveurs dns suivant ...

DNS Publics filtrant Yandex (anti malware)
Serveur DNS préféré mettre 77.88.8.8
Serveur DNS auxiliaire mettre 77.88.8.2 puis sélectionner valider en quittant ..

Dans la barre de recherche en bas on tape cmd et on l exécute en administrateur ....
on tape la ligne de commande ipconfig /flushdns
on se connecte ensuite a son vpn et on retape ipconfig /flushdns
Cette commande dos va vider le cache DNS

il y a une faille de sécurité importante dans Firefox et Google Chrome
il faut désactiver WebRTC
dans la barre d adresse de Firefox ...tapez about:config
Trouvez la ligne media.peerconnection.enabled.
faire un double clic dessus pour la mettre sur false ce qui va désactiver le WebRTC.(cache l isp et l ip privé)

Reste plus qu à tester !

https://ipleak.net
avatar

manu - http://manurevah.com

Salut Informatique Rouen,

Merci pour ces infos, je n'ai pas le temps de répondre en détail mais je vais voir pour les DNS que vous avez recommandé (je ne suis pas certain de faire confiance a Yandex). En générale je préfère utiliser ceux du VPN tant qu'a faire.

Dans le cas idéal vous montez votre propre serveur VPN et la dessus vous installez un resolver DNS (Bind par exemple). La on évite pas mal d'interceptions et filtrages possible.

Cette page avait pour vocation d'expliquer les différences entres VPN et TOR, du coup fallait aussi expliquer comment fonctionne la connexion de base. Ce n'est pas un tutoriel sur comment faire les choses.

En tout cas, merci pour ces ajouts.
: ]
avatar

manu - http://manurevah.com

Je précise deux choses :

1. Les instructions de "Rouen Informatique" sont pour le système Windows. Je ne recommanderais jamais d'utiliser un système non-libre pour des raisons évidentes.


2. Je viens de tester les fuites DNS et WebRTC, visiblement sur Debian avec Iceweasel et Chromium, en utilisant OpenVPN (client et serveur), il n'y a aucun souci.


Je ne connaissais pas ipleak.net, du coup sur la page je vois mes IPs LAN, mais je ne vois pas l'IP de mon ISP/FAI, donc très bien.

Donc, Debian/Jessie + OpenVPN + Bind (en local ou sur le serveur VPN) et on peut laisser WebRTC activé sans trop craindre des fuites.

: ]
avatar

Pierre M - https://www.vpnmag.fr/vpn-par-utilisation/

Concernant le filtre par navigateur, il est difficilement réalisable. En effet, quand le tunnel SSH est établi, les paquets sont encapsulés dans le tunnel SSH. Le proxy et/ou firewall ne voit, du coup, que le tunnel SSH qu’il autorise par ailleurs. J’émets quand même une réserve car je n’ai pas pu le tester en live.
avatar

manu - http://manurevah.com

Pierre M, je ne comprends pas bien l'histoire du "filtre par navigateur", il me semble que personne n'en parle sur cette page.
Commentaires en d'autres langues: English
avatar

rike

I agree. Nice drawings btw!

Beyond the network issues you pointed out:
Another important point is that ISPs and websites are supposed to keep logs of user activity (in most countries). This means that a 3rd party could for example spy on what my vanilla "Me" - identified by an IP address - has read on Wikipedia. Thist could be interesting to that 3rd party, who could then easily find out who I am, what my interests are without even logging onto that web page. Tor is also useful in this case.

Moreover, when using - for example - the Tor Browser Bundle, all users have more or less the same user agent (I guess depending on the default browser language this changes a bit). Which is also a useful feature against "consumer"/user tracking by a 3rd party.
avatar

manu - http://manurevah.com

There are indeed many details (technical and ethical) I left out, the goal being to provide a neutral overview of what these things do. People having a basic theoretical understanding of such concepts is one of the things we need, without it, too many disucssions make no sense at all.

Too much detail would be counter-productive in that it would lose those for whom this posted was written for. Confirmed sysadmins and crypto-privacy specialists should already know this stuff better than I. (I hope so).

But indeed, Tor, when using the Browser bundle, does other cool things like changing your browser's user agent string, but also comes with some default settings and plugins like HTTPS Everywhere, no browsing history and so on.
avatar

Ashley

Is the VPN in 7 dedicated hardware? Then the person owning the pc/system would be the network administrator? Can I get comment updates here on the site? Or must I get them in through email? I'm trying to understand all of this.
avatar

GP

Hi
Theres something im missing with the above Tor example if u can explain.
The traffic from the exit node (response) back to the ISP is in clear text so ur ISP can see the data coming back from the Tor network and the ISP knows where to forward this data (back to me) so i dont see how Tor allows me to remain anonymous as the ISP can read this clear text data. I understand how the ISP can only tell im connected to Tor only
avatar

manu - http://manurevah.com

Hey GP,

The traffic from the Exit Node doesn't go directly to the ISP, it goes back through the Relay Nodes (encrypted), essentially the same route back.
avatar

GP

Thanks Manu
Your response helped.
One more question if i may - once the ISP receives the response from the exit node then any monitoring that may be happening at the ISP will be visible together with my IP address as the ISP would need to know this in irder to forward this data on. So the only thing that Tor prevents is being able to determine the server that has served the response information - the actual redponse info can be seen at the ISP when its being forwarded to me. Is this right?
avatar

manu - http://manurevah.com

Gp,

The only thing the ISP knows is that the packet originates from the relay node and is supposed to go to you.

Maybe imagine the whole transaction between you and the destination website like sending a letter via the postal service:

In a non-Tor environment the sender and recipients address are on the envelope at every step of the way, the data can be encrypted or not, that depends if you are using HTTPs, but still everyone involved in transmitting this letter knows who is sending the letter and who is receiving it. The same happens when data comes back, you become the recipient and the website is the sender.


Using the Tor network, imagine a "Russian doll envelope", the sender and recipient that can be seen on the envelope is different at each step. When your ISP transmits that letter for you, it sees that you are the sender and the Tor Entry node is the recipient. The data is encrypted regardless if you are using HTTPS or not.

When the Tor Entry node gets the letter, it removes a layer of the envelope, it becomes itself the sender and the next Tor Relay node in line becomes the recipient. This goes on until the packet reaches the destination. So every step of the way, each node becomes the sender and the next node becomes the recipient. Nobody knows anything other than the step right before and right after.


The process is the same for traffic coming back to you. The website is the sender, when the packet arrives at the ISP, all the ISP can see is an encrypted packet coming from a Tor Node being sent to you.


Another way to visualise this process would be to imagine sending letter within a letter, the inside letter has my address on it, the outside letter is to another person, let's say Bob. Bob receives the letter, the postal service knows you sent Bob a letter, then Bob sends the letter that is inside to me. As far as the postal service is concerned, those are 2 unrelated letters.
avatar

GP

Manu,
Man that was a great response - thanks for taking the time. I understood was was said initially abouthe happenings once the data enters the Tor network (between the entry and exit modes).
What i didnt appreciate then, but do now if thst all communication between me and the entry node (the request) and between the exit node and back to me (the response), is encrypted. I mistakenly thought the only encryption taking place was in the Tor network, i.e. Only between the entry and exit nodes.
I get it now. Thanks for your patience and explanation- much appreciated.
Does using Tor make using a VPN redundant then?
avatar

manu - http://manurevah.com

Hey GP,

You're very welcome.

A VPN could be useful if your ISP blocks connections to the Tor network. Your ISP would see you connecting to the VPN and the VPN would see you connecting to the Tor network. This means your ISP will not know you are using Tor.
avatar

Patrick Lenotre - http://proxys.soup.io/post/607877929/Plusieurs-raisons-peuvent-ne-pousser-vouloir-naviguer

Certaines applications, supportant le fonctionnement avec un proxy SOCKS peuvent ne pas faire passer systématiquement toutes leurs communications par ce proxy. Par exemple, les requêtes DNS (Domain Name System) peuvent être effectuées sans passer par le proxy. Cela s’appelle une fuite DNS. Cette fuite peut représenter un problème pour la vie privée et peut vous laisser vulnérable à un blocage par DNS alors qu'un proxy est habituellement en mesure de contourner ce type de blocage. Ce genre de vulnérabilité par fuite DNS peut varier pour un logiciel selon les versions.
avatar

manu - http://manurevah.com

Patrick Lenotre,

Le DNS de votre FAI ne fonctionnerais pas dans la plupart des cas si vous passez par un VPN. Dans beaucoup de cas, le service VPN va de pair avec un service DNS.

Je ne dis pas que la fuite DNS n'est pas un problème, il faut évidement s'assurer qu'en utilisant un VPN que vos serveurs DNS soit aussi en place (soit en utilisant ceux du VPN, soit le votre, au pire ceux d'un tiers).

En revanche, les proxies, je m'en méfie au point ou je ne les considère pas du tout.
Laisser un commentaire
You may use the following HTML tags: <p> <a> <strong> <b> <em> <i> <cite> <blockquote> <code> <pre>

Les commentaires ne sont pas envoyés vers des tiers pour vérification