S'abonner Se connecter
Journal d'investigation en ligne et d'information‑hacking
À la Une
Technos
par bluetouff

#VPN et logs : lettre ouverte à ceux qui croient encore au ‎Père Noël

Aujourd'hui, j'ai pu me rendre compte, une fois de plus, du décalage qu'il existe à la lecture d'un message marketing et de la réalité technique de tout service en ligne. Je dis bien technique, nous aborderons le juridique un autre jour.

anoncat
anoncat
Aujourd'hui, j'ai pu me rendre compte, une fois de plus, du décalage qu'il existe à la lecture d'un message marketing et de la réalité technique de tout service en ligne. Je dis bien technique, nous aborderons le juridique un autre jour. Et le problème, c'est que lorsque l'on cause d'un service lié à la confidentialité, si on ne comprend pas comment fonctionne techniquement un service, il y a peu de chance que l'on arrive à prendre de bonnes décisions pour préserver la confidentialité de ses communications électroniques.

J'espère qu'après la lecture de cette lettre ouverte, sans prétention aucune, vous aurez un regard un peu plus critique à la lecture du fameux "on logue rien" relayé par les classements bidons de services et les pseudos enquêtes de médias pourtant spécialisés.

#onlogrien #spanou

S'il y a un mythe récurent dans le monde fou fou fou des VPN, c'est celui du "VPN qui ne logue rien". C'est quelque chose que j'ai déjà dit et répété maintes et maintes fois, mettez vous le une bonne fois pour toute dans le crâne : un VPN qui ne log rien, ça n'existe pas.

La transaction commerciale

Ça parait un peu idiot comme ça à expliquer, mais mieux vaut l'expliquer clairement, que ce soit dit une bonne fois pour toute : quand on souscrit à un service VPN, on communique à minima deux choses :

  • Une adresse mail : Un échange par mail est toujours bavard et renseigne déjà un minimum sur l'identité réelle d'une personne. Les métadonnées liées à un mail sont toujours bavardes, mais le problème peut facilement être contourné en utilisant un mail dédié uniquement créé pour souscrire à un service et en l'utilisant de manière anonymisée en amont (par exemple en y accédant par TOR).
  • Un paiement pour le service :  Le paiement est une étape un peu plus sensible. Une transaction commerciale (hors cryptomonaie ou cash... mais le cash, ça s'uploade encore assez mal), ça laisse des traces révélant votre identité réelle. Là encore, il y a moyen de palier les carences de confidentialité du système bancaire, mais ce n'est pas la problématique qui nous anime ici même.

L'accès au service

C'est là que ça commence à devenir un peu plus intéressant. Pour accéder au service, on a en principe un identifiant client pouvant prendre plusieurs formes :

  • un couple login mot de passe (mauvaise pratique sur un VPN) ;
  • un numéro client lié à des fichiers de configuration.

Et attention, car là on ne parle pas que technique, on parle tout simplement de traçabilité comptable, pour connaitre par exemple une date de début et de fin de service... bref on parle facturation. Et le propre d'une comptabilité, c'est de conserver des traces. Des logs comme disent les geeks. Attention ceci est un scoop : tous les services payants de VPN vous loguent comptablement.

Gestion des abus, monitoring réseau et continuité de service

Mais descendons un peu plus bas dans notre raisonnement, et parlons maintenant du quotidien technique d'un service en ligne. Tous, un jour où l'autre, subissent les abus d'un utilisateur indélicat. Sur un service aussi sensible qu'un VPN, l'indélicatesse d'un utilisateur peut entraver le bon fonctionnement d'un système, sa disponibilité, et donc gêner les autres utilisateurs du service... ou pire : tenter de compromettre la confidentialité de leurs communications en essayant de rendre indisponible le VPN.

Attention, un mythe va tomber : il faut être soit inconscient, soit con, soit un savant mélange des deux pour affirmer "On ne logue rien » .

  • A minima, un provider VPN doit être en mesure de savoir quel compte client DDoS un routeur du réseau interne, pour être en mesure de le couper ;
  • A minima, un provider VPN sérieux doit être en mesure d'assurer la continuité de son service, donc de la confidentialité de ses utilisateurs ;
  • A minima une société commerciale doit savoir qui facturer et quand.

La confidentialité des communications

Puisque c'est bien de ça qu'il s'agit, posons la question différemment. Un provider VPN qui dit "ne pas loguer de données relatives au trafic des utilisateurs", si son service est bien fichu, c'est une Lapalissade. Le truc qu'il faut écrire puisque ça rassure quand même de savoir qu'on souscrit à un service censé garantir la confidentialité de mes communications, et qu'il est en mesure de la garantir... ou pas. Ah... et puisqu'on y est, rappelons juste une chose : UN VPN NE GARANTI PAS VOTRE ANONYMAT, il ne fait généralement que vous fournir une autre IP publique et chiffre vos communications d'un point A à un point B.

Un service VPN sérieux, c'est un service qui a mis en place un mécanisme de chiffrement ne lui permettant pas de déchiffrer le trafic de ses clients, c'est un service qui ne dispose pas d'une clé unique pour déchiffrer l'intégralité du trafic de ses clients, c'est un service qui même s'il voulait loguer les activités de ses clients (historique de surfs par exemple), il ne pourrait y parvenir, ou il ne loguerait que du trafic chiffré ne présentant aucun intérêt... et là, étrangement, les services de VPN qui observent ces bonnes pratiques, ils sont beaucoup plus rares.

C'est souvent d'ailleurs ces gros VPN qui disent ne rien loguer qui sont les premiers à ne pas mettre en place un mécanisme de confidentialité persistente, ce sont les premiers qui disposent d'une clé permettant de déchiffrer l'intégralité du trafic de leurs clients... d'ailleurs ils sont souvent américains, et vous devinez pourquoi ? Bingo... parce qu'ils ont chez eux une loi tellement débile qu'on s'est sentis obligés de faire encore mieux en France, le Patriot Act, qui les oblige à ce que les communications confidentielles de leurs clients soient un peu moins confidentielles quand un service leur demande d'y accéder.

"Des milliers d'adresses IP et des serveurs dans 75 pays, même en Corée du Nord où il y a 12 internautes"

On voit souvent des VPN mettre en avant des dizaines de milliers d'adresses IP dédiées. Une IP est alors attribuée à un utilisateur, soit pour toute la durée de la souscription à son service, soit par session, à chaque fois qu'il se connecte au VPN, une adresse IP des plages du fournisseur de service lui est attribuée. Ici pas de problème pour un provider de VPN d'identifier que toto@nsa.com était sur telle adresse IP entre telle heure et telle heure... oops un log ! Oui si vous avez une IP dédiée attribuée par un service de VPN, il ne peut pas ne pas y avoir de "log". Des événements réseau sont forcément "logués", ne serait-ce que pour éviter d'attribuer la même adresse IP publique à plusieurs clients.

Enfin, d'autres VPN, utilisent une autre technique, ce qu'on appelle l'IP crowding : tous les utilisateurs du service sortent par la même adresse IP publique. Là, ce sont des adresse IP locales qui sont attribuées à toto@nsa.com (certes, ça pourrait être un chouette bordel, on pourrait laisser le DHCP du Cisco se démerder, mais souvenez vous... le satané service comptable). Et oui, il y a bien une traçabilité des utilisateurs, mais ceci ne veut pas dire qu'un provider honnête sera en mesure de lire le trafic d'un utilisateur.

Conclusion

No bullshit : les providers VPN qui affirment ne rien loguer, sont soit des menteurs, soit des imbéciles.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée