Il y a très peu d’endroits où je fais réellement confiance à une connexion directe à Internet. Je ne fais même pas des choses comme de la banque en ligne ou me connecter à mon Bitwarden depuis le travail, parce que la connexion est ouverte (non sécurisée par un mot de passe ou du chiffrement) et donc bien plus vulnérable à une attaque venue de l’extérieur. Ma connexion à la maison est probablement la plus sûre parce que c’est quelque chose que j’ai configuré moi-même et que je peux surveiller, mais même là, le modem que fournit notre FAI et qui sert aussi de routeur wifi n’offre pas la meilleure sécurité possible.
C’est là que les réseaux privés virtuels entrent en jeu. S’ils sont choisis et configurés correctement, ils nous garantissent une connexion sécurisée, privée et souvent anonyme à l’Internet ouvert. Autrement dit, nous pouvons naviguer librement, sans restrictions et à l’abri de la surveillance. Pour l’essentiel, ceux qui lisent ces lignes n’auront aucune raison sérieuse d’éviter la surveillance, mais les gens ont droit à la confidentialité et ne devraient pas être espionnés. Même si ce n’est que par l’administrateur système du wifi gratuit du Starbucks. Le problème se résume à choisir un VPN qui correspond à vos besoins. Certains proposent beaucoup d’emplacements dans le monde entier, d’autres un tarif vraiment intéressant et d’excellents prix à l’année. J’ai tendance à soutenir et à utiliser les fournisseurs qui offrent la meilleure confidentialité, la meilleure sécurité et le meilleur anonymat, même si cela veut dire payer un peu plus cher. Bien souvent, les fournisseurs les moins chers ne peuvent proposer des prix aussi bas que parce qu’ils entassent leurs serveurs et ne se soucient pas “vraiment” d’être très respectueux de la vie privée. Alors regardons cela du point de vue de quelqu’un qui a besoin d’une sécurité au top, d’une confidentialité à l’épreuve des espions et d’un haut niveau d’anonymat, en passant en revue certains des fournisseurs que mes recherches ont désignés comme les meilleurs dans ces domaines.
Idéalement, nous allons vouloir un fournisseur qui n’est pas basé dans l’un des “pays des 5 Yeux” (https://www.privacyinternational.org/press-release/51/privacy-international-launches-international-campaign-greater-transparency-around). Cela signifie qu’il ne peut pas être basé au Canada, aux États-Unis, au Royaume-Uni, en Australie ou en Nouvelle-Zélande, en raison de leur accord de partage d’informations entre eux sans trop de questions. Ils ont tendance à avoir des agences de renseignement (comme la NSA et le GCHQ) qui pratiquent une bonne dose d’exploration de données et de surveillance des individus au sein de leur pays pour des “questions de sécurité nationale”. Je vous mettrais aussi en garde contre tout ce qui figure dans les “pays des 14 Yeux” si vous comptiez sur ce fournisseur pour votre sécurité personnelle. Le fournisseur que vous choisissez ne devrait PAS non plus proposer l’option d’une adresse IP dédiée. Les IP partagées sont strictement la voie à suivre si vous voulez un anonymat maximal, car cela n’isole pas votre IP entrante pour la faire correspondre à l’IP sortante du VPN. Plus difficile à journaliser ou à tracer, mais certainement pas impossible.
Les moyens de paiement acceptés sont eux aussi une considération à ne pas prendre à la légère. Vous ne voudriez évidemment pas payer avec votre PayPal ou votre carte de crédit si vous cherchiez un anonymat total. Du bitcoin bien mélangé qui ne remonte pas jusqu’à vous, des espèces par courrier et les PaySafeCards sont autant de moyens de paiement considérés comme très anonymes s’ils sont utilisés correctement. Le chiffrement et les protocoles proposés par la société de VPN devraient également être pris en compte avant un achat. Vous verrez souvent le terme “chiffrement de qualité militaire” quand vous chercherez un bon fournisseur. En général, cela signifie simplement qu’ils emploient AES-256 et des clés RSA de 4096 bits, mais il est important de vérifier s’ils proposent la Perfect Forward Secrecy et de bonnes courbes pour les clés ECHDE (http://vincent.bernat.im/en/blog/2011-ssl-perfect-forward-secrecy.html , https://www.perfectforwardsecrecy.com/ , https://safecurves.cr.yp.to/).
En creusant un peu plus du côté des fournisseurs pendant que vous comparez, vous devriez regarder les emplacements de serveurs qu’ils proposent et voir s’ils se trouvent dans des juridictions auxquelles vous êtes content de vous connecter. Ce serait le bon moment pour voir si certains des sites auxquels vous voulez vous connecter ne fonctionnent que dans certains pays (comme Hulu, Pandaora, Netflix, etc.). De même, comme je l’ai mentionné plus haut à propos des certificats SSL et de la façon dont vous pouvez vérifier que le site applique des standards solides pour HTTPS, vous devriez regarder le site du fournisseur de VPN pour voir quel type de SSL il utilise. S’il n’obtient pas la note A, je déconseillerais de l’utiliser comme fournisseur, car cela montre qu’il ne peut clairement pas prendre le temps d’obtenir un bon score SSL (ne serait-ce que pour la vitrine) ou qu’il n’a pas les connaissances suffisantes pour y parvenir ; un fait qui pourrait indiquer que son service repose sur des montagnes de fausses promesses. Il est également bon de voir quels types de protocoles il met en avant, et pas seulement lesquels il prend en charge. La plupart des bons fournisseurs livrent au moins un client pour Windows et ont ajouté des fonctionnalités comme des kill switches et des pare-feu pour arrêter les fuites DNS/IP. Cependant, j’ai vu quelques fournisseurs affirmer que se connecter en L2TP était la meilleure option, alors que ce n’est absolument pas le cas. Pour en lire plus sur les différents protocoles, vous pouvez consulter ce lien : https://www.ivpn.net/pptp-vs-ipsec-ikev2-vs-openvpn-vs-wireguard/
Ci-dessous, les avis sur les 4 fournisseurs de VPN que j’ai utilisés et en qui j’ai confiance. Vous pouvez aussi consulter ce lien vers un site web (auparavant un document Google) créé par ThatOnePrivacyGuy. Il documente bien plus de fournisseurs que ces 3 seuls, mais c’est quelque chose qui a étayé mes décisions de recommander ces sociétés.
IVPN
Pour lancer les avis personnels, j’ai décidé de commencer par le fournisseur de VPN que j’utilise depuis début 2013. IVPN, constituée à l’origine à Malte mais ayant récemment déménagé à Gibraltar en raison de l’évolution des lois sur la confidentialité, est dédiée à votre confidentialité. Ils proposent 12 pays et un total de 19 serveurs en avril 2016, ce qui est un réseau assez petit comparé à beaucoup d’autres fournisseurs. Cependant, je suis content des emplacements qu’ils ont choisis. Vous pouvez voir la liste complète des emplacements ici : https://www.ivpn.net/status. Ils se présentent sur Twitter comme “IVPN is an online privacy and security service”, ce qui, pour moi, est un cran au-dessus de tout le discours sur le chiffrement de qualité militaire et l’absence de journalisation qui circule bien trop souvent dans la communauté VPN. Ils indiquent très clairement dans leur politique de confidentialité (https://www.ivpn.net/privacy) quelles informations sont journalisées et lesquelles ne le sont pas. Ce qui est agréable avec les connexions aux serveurs IVPN, c’est leur technologie multihop, qui vous permet de vous connecter à travers deux serveurs IVPN distincts avant d’atteindre l’Internet ouvert. Cela vous donne, en tant qu’utilisateur, plus d’anonymat, puisque les deux serveurs devraient être compromis pour compromettre votre identité ; sauf s’ils activaient la journalisation, bien sûr. Leur équipe d’administration m’a également informé que tous les serveurs VPN tournent depuis la RAM, si bien que tout ce qui est écrit n’est que temporaire avant d’être effacé. En tant qu’utilisateur, je ne peux pas le confirmer, mais je crois leur parole. J’espère que cette confiance n’est pas mal placée. Les protocoles de chiffrement utilisés sont exposés ouvertement dans leurs réponses aux “18 Questions to ask your VPN Service Provider” sur leur page de support (https://www.ivpn.net/knowledgebase/108/Answers-for-18-Questions-to-ask-your-VPN-Service-provider.html). Ils indiquent qu’ils utilisent AES-256 avec des clés RSA de 4096 bits partout, ce qu’ils considèrent comme du “Paranoid Encryption”. J’aimerais savoir ce qu’ils pensent de la cryptographie post-quantique. En parcourant les fichiers OpenVPN fournis à l’utilisateur en téléchargement, j’ai pu déterminer qu’ils utilisent TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-DSS-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA pour la suite de chiffrement TLS, vous pouvez donc être rassuré : la Perfect Forward Secrecy EXISTE bien chez IVPN. Ils utilisent le plus haut niveau de chiffrement actuellement possible pour OpenVPN (à part le fait d’autoriser DSS et SHA1 pour les clients plus anciens), ce qui est une très bonne chose. Vous pouvez confirmer vous-même le chiffrement utilisé en téléchargeant les fichiers .ovpn depuis leur site et en les ouvrant dans un éditeur de texte, mais cela ne confirmera pas que ces mêmes standards sont employés dans leurs applications natives. Mais vraiment, pourquoi ne le seraient-ils pas ?
Côté paiement et tarifs, IVPN est clairement dans le haut du panier avec $100 USD pour un abonnement annuel. Mais ils proposent PayPal, Bitcoin et les espèces par courrier, donc deux moyens de paiement potentiellement anonymes sont fournis, et un très facile et renouvelable (PayPal). Leurs formules donnent accès à tous les serveurs, ce qui change agréablement des fournisseurs de VPN qui découpent leurs formules selon un tas de facteurs différents comme la vitesse, les emplacements de serveurs, etc. L’inscription a été facile et ils n’ont rien demandé de plus qu’un e-mail, un mot de passe et mon paiement. Cela voulait dire qu’aucune information identifiante n’avait à être communiquée. IVPN fournit aussi un warrant canary sur une base mensuelle, une façon de dire “Hé, nous n’avons reçu aucune injonction de silence du gouvernement”, et une section entière de son site consacrée à peu près entièrement au fait d’être 100 % anonyme derrière un VPN. Je vous suggère d’y jeter un œil, j’ai tiré beaucoup de mes propres connaissances de ces textes : https://www.ivpn.net/privacy-guides
Pour finir, j’ai beaucoup vérifié auprès de leur équipe d’administration par e-mail chiffré avec PGP (assez génial qu’ils aient tenu des conversations plutôt longues avec moi sous forme chiffrée), j’ai donc beaucoup de confiance personnelle envers cette société. Mais le fait que j’aie beaucoup de confiance personnelle ne vous donne pas le feu vert pour leur accorder vous aussi un tas de confiance. Vous devriez faire vos propres recherches et poser vos propres questions pour vous assurer qu’ils sont la société qui répondra à vos besoins. Je les félicite grandement pour le travail qu’ils font, mais je ne mets pas tous mes œufs dans le même panier. J’ai été vraiment satisfait de leur service au fil des ans, mais je constate que sur un marché très concurrentiel, il est difficile de placer un seul service de VPN tout en haut.
Mullvad
Cette réécriture de l’avis sur Mullvad est née de changements sérieux dans leur société au cours des 2 dernières années depuis que j’ai commencé à écrire ce texte.
Mullvad est un fournisseur que je qualifie désormais de “no bullshit”. Ils exposent très clairement leur service, leur société et leurs pratiques sur leur site web, sans rien du discours de “théâtre sécuritaire” sur le chiffrement de qualité militaire et les pratiques de journalisation ZÉRO. Pour commencer, leur site affirme : “Pour une sécurité maximale, nous utilisons des serveurs physiques, bare metal (pas de serveurs virtuels), que nous administrons et que nous possédons ou louons dans des centres de données soigneusement sélectionnés.” Je n’ai pas non plus eu à fouiller pour obtenir cette information. Elle est très commodément placée sur leur page de fonctionnalités et facilement accessible à quiconque parcourt leur site. Ils indiquent aussi de façon très explicite le chiffrement utilisé dans les connexions :
- Notre chiffrement des données est AES-256
- Tous nos serveurs OpenVPN utilisent des certificats RSA de 4096 bits (avec SHA512) pour l’authentification du serveur
- Tous nos serveurs OpenVPN utilisent des paramètres Diffie-Hellman de 4096 bits pour l’échange de clés
- Tous nos serveurs OpenVPN utilisent DHE pour la perfect forward secrecy
- Le renouvellement des clés OpenVPN est effectué toutes les 60 minutes
Je trouve que le fait d’avoir cette information exposée aussi simplement sur leur site est un gros plus pour leur capacité à couper court aux conneries du monde du VPN et à donner simplement les faits au lecteur. Cependant, ils ne s’arrêtent pas là. Leur page de fonctionnalités explique aussi que les comptes Mullvad n’ont besoin d’aucune de vos informations pour s’inscrire ; pas même une adresse e-mail. Vous remplissez juste un CAPTCHA et cela vous génère une chaîne de caractères qui sert à la fois de nom d’utilisateur et de mot de passe pour les connexions. Cela, ainsi qu’une foule d’autres informations sur les données qu’ils collectent et stockent ou non, se lit le mieux ici : https://mullvad.net/en/help/no-logging-data-policy/
En creusant un peu plus leur site, vous découvrirez qu’ils publient, comme IVPN, une sorte de “Privacy Guides” ici : https://mullvad.net/en/help/guides/. Bien que ces guides ne semblent pas aussi “complets” que ceux publiés par IVPN, ils restent une ressource formidable à avoir listée sur leur site. Ils sont aussi l’un des premiers fournisseurs que j’ai examinés à prendre en charge le protocole WireGuard pour la connexion. Bien qu’il ne soit actuellement disponible que pour Linux, WireGuard met en œuvre une cryptographie astucieuse qui va bien au-delà du simple AES-256 et du RSA 4096 bits, à savoir : “Noise protocol framework, Curve25519, ChaCha20, Poly1305, BLAKE2, SipHash24, HKDF, and secure trusted constructions.” Pouvoir utiliser la cryptographie sur courbes elliptiques avec des connexions VPN est formidable.
Un point que j’ai trouvé particulièrement intéressant dans la section blog de leur site est leur travail vers la cryptographie post-quantique et l’introduction, à l’avenir, d’un VPN capable de résister à la menace imposante de l’informatique quantique (https://mullvad.net/en/blog/2017/12/8/introducing-post-quantum-vpn-mullvads-strategy-future-problem/). Voir un fournisseur regarder vers l’avenir, non pas pour son propre gain financier, mais pour la confidentialité et la sécurité de sa clientèle, est vraiment formidable. Je crois que ce travail, parallèle à celui que ProtonMail mène sur le courrier électronique sécurisé, est crucial pour développer une technologie qui dépasse les minimums et va au-delà.
Cryptostorm
Enfin, nous arrivons à un fournisseur auquel je n’ai vraiment commencé à m’intéresser que vers septembre 2015. J’étais encore très satisfait d’IVPN, mais mon abonnement touchait à sa fin, ce qui signifiait un nouveau long processus d’anonymisation d’un moyen de paiement, et je voulais m’assurer que la société que j’allais continuer à soutenir obtienne le plus d’étoiles dans mes évaluations personnelles issues de mon “shopping” en ligne. J’avais entendu des choses incroyables sur le réseau CS et je voulais voir ce qu’ils valaient plus en profondeur qu’en parcourant simplement leur site comme je l’avais fait quelques années auparavant.
La première chose que vous remarquerez en allant sur le site de Cryptostorm est ce que beaucoup perçoivent comme un fouillis difficile à suivre, difficile à lire, mais d’une certaine façon attirant. Il ne ressemble à celui d’aucun autre fournisseur et est presque non professionnel ; mais cette sensation de différence semble m’attirer. Un peu comme Mullvad était si direct et minimaliste, la nature étrange du site de Cryptostorm raconte une histoire de diversité. Pour commencer, c’est une société qui est “à peu près” basée en Islande mais qui gère toutes ses finances depuis le Québec, au Canada (ils n’ont pas vraiment d’emplacement clair, cela ne rendrait-il pas difficile de leur adresser une assignation ?). L’Islande est un bon pays axé sur la confidentialité pour s’y constituer (même s’ils n’ont de bureau central nulle part) et j’ai toujours aimé les domaines .is.
Naviguer sur leur site pour obtenir les informations que l’on peut vouloir au moment de choisir un fournisseur était assez difficile, j’ai donc utilisé leur IRC pour obtenir des réponses à certaines de mes questions. Je ne connaissais pas l’authentification par jeton avant de poser des questions et d’obtenir une réponse plus détaillée, mais d’après ce que je comprends, elle remplace l’authentification utilisateur/mot de passe par un jeton généré qui doit être haché avant usage. Ce jeton est aléatoire ; le hacher le rend encore plus aléatoire. Le serveur ne devrait donc jamais avoir la moindre information sur les utilisateurs s’ils paient avec du Bitcoin anonymisé (qui est le moyen de paiement privilégié qu’ils proposent). Le chiffrement utilisé n’est pas clairement indiqué sur leur site, il faut donc creuser un peu plus et aller sur leur GitHub pour examiner vous-même les fichiers de configuration .ovpn. Voici ce qui s’affiche :
ns-cert-type server auth SHA512 cipher AES-256-CBC replay-window 128 30 tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA tls-client key-method 2 #log devnull.txt #verb 0 #mute 1
Le chiffrement utilisé semble être de très haut niveau, avec DHE pour la perfect forward secrecy, de l’AES 256 bits et SHA512. Cependant, cela ne précise pas la taille des clés RSA utilisées. Après avoir contacté l’un des administrateurs au sujet du chiffrement utilisé, voici l’e-mail de réponse que j’ai reçu. Cela montre vraiment la qualité offerte par Cryptostorm quand ils sont prêts à aller jusque-là pour leurs clients.
Un chantier actuellement en développement chez Cryptostorm, qui réduirait sérieusement le risque d’attaques par corrélation ou la possibilité que votre IP fuite un jour, que les clés de chiffrement soient compromises ou que votre identité soit exposée, s’appelle Voodoo. Vous pouvez en lire plus sur cette idée à venir sur sa page GitHub ici : https://github.com/cryptostorm/voodoo.network
Pour ce qui est d’un warrant canary, Cryptostorm n’en propose pas et ne semble avoir aucun projet en ce sens. À la place, ils proposent un “Privacy Seppuku Pledge”, leur façon de dire que nous fermerons boutique, effacerons les serveurs, supprimerons tout et ferons les morts avant de livrer des informations sur nos clients.
Dans l’ensemble, j’ai très confiance dans le service fourni par Cryptostorm et je suis certain qu’une personne au modèle de menace modéré pourrait obtenir un maximum de sécurité, de confidentialité et d’anonymat en utilisant leur VPN. Ils sont comme le premier de la classe assis devant, incroyablement intelligent mais avec qui il est très difficile de créer du lien et de se comprendre. Et je pense que c’est une bonne chose !