La Redaction Vous entendez souvent certaines personnes de votre entourage ou des informaticiens expliquer qu’ils utilisent un VPN pour préserver leur traces numériques sur la toile. Alors qu’en est- il réellement de cette protection, comment ces technologies procèdent pour vous protéger? Socialnetlink partage avec vous cet article publié dans le site de journalisme contributive, Agoravox.
Les réseaux privés virtuels (VPN) sont l’un des outils les plus mentionnés dans le contexte de la protection moderne de la vie privée sur le web. Bien que les VPN aient de nombreuses utilisations, un nombre croissant de fournisseurs font de la publicité pour les VPN préservant la vie privée. Par exemple, le site web de NordVPN annonce : « Profitez d’un accès sécurisé et privé à l’internet avec NordVPN, cryptez votre activité en ligne pour protéger vos données privées des pirates informatiques ou des annonceurs trop fouineurs ».
Comment un VPN vous protège-t-il exactement contre ces entités « fouineuses » ?
Lorsque vous utilisez un réseau privé virtuel, vous utilisez essentiellement un proxy pour effectuer des requêtes en votre nom. Avec un VPN « axé sur la protection de la vie privée », votre connexion au proxy est cryptée, ce qui empêche toute personne qui fouine dans votre trafic de déterminer le type de messages que vous échangez avec le serveur VPN. En général, le rôle du serveur VPN est de faire des requêtes web en votre nom, au lieu de vous demander de les faire directement.
Disons que je veux visiter le site MonSecretHonteux.com, mais que je ne veux pas que mon FAI sache que je visite ce site ; c’est un secret honteux après tout. Normalement, je dois faire une demande par l’intermédiaire de mon FAI qui dit « Je visite MonSecretHonteux.com » ou au moins l’adresse IP de ce site web. Mon FAI peut facilement enregistrer cette information et, par exemple, la vendre à des annonceurs par la suite.
Un VPN vous permet d’envoyer un message crypté au fournisseur de VPN qui dit : « Pouvez-vous aller chercher les données du site web MonSecretHonteux.com et me les envoyer s’il vous plaît ? Votre FAI sait que vous avez envoyé un message à votre VPN, mais en raison du cryptage, il ne peut pas lire le contenu de votre message. Le FAI du VPN peut voir que le VPN a fait une demande pour MonSecretHonteux.com, mais il ne peut pas nécessairement établir une corrélation entre la demande du VPN pour ce site web et votre demande au VPN.
Dans tous les cas, les demandes passent à travers l’infrastructure publique du web – de nombreuses personnes ont exprimé leur inquiétude (et donné des preuves) que certains des principaux éléments de l’infrastructure comprennent des outils de suivi et d’enregistrement gérés par le gouvernement, qui stockent des quantités massives de données et de métadonnées sur le trafic. Ces métadonnées, par nécessité, comprennent votre adresse IP.
Sans VPN , quel que soit l’endroit où se trouvent ces points d’enregistrement sur Internet, ils peuvent voir que vous envoyez des données à MonSecretHonteux.com, ou que MonSecretHonteux.com vous envoie des données.
Dans le second exemple, les entités qui enregistrent votre trafic avant qu’il n’atteigne le VPN (par exemple, votre fournisseur d’accès Internet) peuvent seulement déduire que vous envoyez des messages à un VPN. Et les entités qui voient votre trafic après qu’il ait atteint le VPN ne peuvent que déduire que le VPN communique avec MonSecretHonteux.com : les données transmises entre le VPN et MonSecretHonteux.com ne possèdent que les adresses du VPN et d’un serveur MonSecretHonteux.com.
Le résultat de cela est que votre vie privée a été protégée – votre adresse IP n’apparaît dans aucun paquet côte à côte avec l’adresse IP de MonSecretHonteux.com, et donc votre secret est en sécurité.
Mais l’est-il vraiment ?
Modélisation de la menace : De qui suis-je en sécurité ?
L’un des concepts les plus importants en matière de cybersécurité est la modélisation des menaces. La modélisation des menaces est le processus qui consiste à poser des questions telles que « De qui dois-je me protéger ? De quoi est-ce que je me protège exactement ? Comment mes adversaires pourraient-ils contourner mes protections ? ». La modélisation des menaces est cruciale, car la vérité est que rien ne vous protégera jamais de tout. Atténuer les menaces les plus probables émanant des acteurs les plus probables est souvent le mieux que vous puissiez faire ; comme tant d’autres choses, la cybersécurité est un monde de compromis et de priorités.
Examinons deux modèles de menace très différents.
Scénario A : je suis engagé dans une activité séditieuse et j’ai peur que les service de renseignement français découvre ce que je fais ou identifie les personnes avec lesquelles je communique.
Scénario B : je ne veux pas que mon FAI connaisse mon historique de navigation parce que je regarde parfois des vidéos embarrassantes, et je ne fais pas confiance à mon FAI pour garder ces informations secrètes.
Dans le scénario A, mon adversaire est une organisations sophistiquées avec d’énormes moyens à disposition. Ils ont accès à des ressources incroyables et sont très motivés pour m’attraper parce que leur travail consiste (apparemment) à attraper des gens séditieux comme moi. Je peux m’attendre à ce qu’ils utilisent divers outils, réagissent aux informations qu’ils apprennent sur moi et suivent des pistes. Ils peuvent mettre ma maison sur écoute, et mettre d’autres entités sur écoute s’ils apprennent que je communique avec eux.
Dans le scénario B, mon adversaire est toujours économiquement et technologiquement sophistiqué, mais il est beaucoup moins motivé pour suivre les pistes et réagir à mon changement de comportement. Ils préféreraient peut-être connaître mon historique de navigation pour pouvoir le vendre aux annonceurs, mais ils prennent aussi mon argent directement et ont beaucoup d’autres opportunités commerciales à poursuivre. La collecte de mes données n’est qu’un profit supplémentaire facile à obtenir pour mon FAI, et si je rends ce profit plus difficile à obtenir, donc moins rentable, ils iront voir ailleurs.
Lire aussi: Voici le Guide du débutant pour choisir le meilleur VPN payant en 2018
Je prétends qu’un VPN vous aidera dans le scénario B, mais il pourrait en fait vous nuire dans le scénario A. Une de mes connaissances, qui est un ingénieur américain en sécurité logicielle pour Google, m’a un jour dit : « La NSA veut surveiller le trafic qui a un rapport signal/bruit élevé », où le signal est ici le transfert de données lié à une activité illégale dont la NSA se préoccupe. Mon ami poursuit : « Si la NSA n’a pas mis en place une surveillance sur TOUS les VPN qui se présentent comme préservant la vie privée, franchement, je veux récupérer l’argent de mes impôts ».
Il est difficile d’imaginer un meilleur pot de miel pour les activités criminelles qu’un service qui fait de la publicité pour ce type d’activité et qui peut protéger votre identité. Grâce à un ensemble d’outils statistiques et d’écoutes, de puissants agents comme la NSA peuvent exécuter une classe d’attaques appelée « attaque par corrélation ». Dans ce type d’attaque, la NSA traite les métadonnées du trafic entrant et sortant du VPN, et utilise des informations telles que la taille et le moment de ce trafic pour déduire quelles demandes sortantes du VPN sont associées à quelles demandes entrantes du VPN – en collant l’adresse IP qui les intéressent aux adresses IP contactées par le VPN.
En d’autres termes, la NSA remarque que j’ai demandé quelque chose au VPN, et juste après, le VPN a demandé quelque chose à MonSecretHonteux.com. Hmmmm, pensent-ils, je parie que Yann a fait cette demande. Ces attaques reposent sur des statistiques, des probabilités, des modèles de trafic, et peuvent être améliorées en connaissant le comportement du VPN ou celui de la cible.
Les VPN, les réseaux mixtes et Tor sont tous potentiellement susceptibles de subir ce genre d’attaques. Heureusement, la plupart d’entre nous ne sont pas la cible d’une enquête active de la NSA. Par conséquent, pour un certain nombre de modèles de menace, un VPN pourrait être un excellent outil pour vous aider à éviter d’être espionné par de mauvaises personnes comme un FAI ou votre voisin un peu glauque. D’un autre côté, il est toujours utile de passer un peu de temps à modéliser la menace pour savoir ce que vous essayez de garder privé et pour qui cela doit rester privé. Les VPN ne sont pas une panacée, et leur utilisation peut vous rendre plus facile à cibler selon qui vous essayer de vous protéger.
Source: Agoravox
