Les pièges des VPN
avertissement à propos des VPN que vous utilisez (j'ai remarqué que beaucoup de membres vouent une confiance aveugles aux VPN)

1. Usage d'un VPN
Un VPN peut notamment être utilisé aux fins suivantes:
dissimuler sa localisation
se connecter à distance à son lieu de travail (ou domicile) et accéder aux ressources (intranet, network shares) de l'entreprise comme si vous étiez dans ses bureaux
accéder à du contenu dont la distribution est géographiquement restreinte pour des raisons de copyright (par exemple des films qui sont réservés aux résidents américains). L'adresse IP permet plus ou moins d'identifier le pays du visiteur.
protéger votre trafic Internet quand vous utilisez un hotspot wifi public
contourner la censure gouvernementale
utiliser des ports bridés par votre FAI, par exemple SMTP (25) ou Netbios (135-139), voire d'autres services tels que Tor, Torrent...
De manière générale, l'intérêt premier d'un VPN pour les deepeux, les carders etc est de disposer d'une adresse IP étrangère et de donner l'impression d'agir au départ d'un autre pays.
Un VPN ne suffit pas protéger votre anonymat s'il est mal configuré. Rappelons que l'anonymat est toujours quelque chose de relatif.
La première chose est de s'assurer que la totalité de votre trafic Internet passe par le tunnel VPN. Ce n'est pas forcément le réglage en vigueur par défaut. Ainsi, il est fréquent que les travailleurs nomades disposent d'un laptop avec VPN configuré comme suit: le trafic vers les serveurs de l'entreprise passe par le VPN, tandis que le reste du trafic continue de passer par leur FAI comme d'habitude. Le trafic réseau est donc "splité" en deux routes distinctes en fonction du type de trafic et de la destination.
Pourquoi ne pas systématiquement rediriger tout le trafic vers le VPN ? Tout simplement pour des raisons de performance, parce que le VPN est un goulet d'étranglement et le surf sera nettement plus lent en passant par le VPN. Il est donc conseillé d'examiner votre table de routage après avoir lancé le VPN. Utiliser la commande route pour cela.
D'autres facteurs peuvent trahir votre localisation, ainsi le Javascript peut être utilisé pour récupérer votre fuseau horaire par exemple. Un ordinateur avec une adresse IP au Panama et réglé sur le fuseau horaire de Paris: suspect.
Par ailleurs, un site peut aussi détecter les serveurs DNS que vous utilisez (divers cycles de tests: méthode round robbin). Si vous surfez en VPN tout en continuant à utiliser les serveurs DNS de votre FAI, alors votre FAI peut encore se faire une idée de votre navigation sur la base des requêtes DNS émises [1].
Il existe de nombreuses autres techniques pour traquer/identifier les internautes, par exemple l'empreinte de votre browser, ou le fingerprinting HTML5.
Pour résumer: le VPN à lui seul ne fait pas tout ce qui est nécessaire pour procurer un anonymat correct. Un simple changement d'adresse IP WAN ne suffit pas.
2. Confiance
Dans quelle mesure peut-on faire confiance à un fournisseur VPN ? Après tout, vous ne savez pas qui est derrière, comment sont gérés les serveurs, quelle est l'éthique du fournisseur, quel est le niveau de sécurité et de confidentialité qui prévaut.
Est-il raisonnable de faire confiance aveuglément à des inconnus, surtout dans un pays lointain où l'Etat de droit est parfois approximatif ?
Un service VPN est un peu comme un service d'hébergement, et de fait il n'est pas rare que les services VPN soient proposés à côté de l'hébergement web classique. Même Orange propose des services VPN aux entreprises.
Or, créer un hébergeur est à la portée de n'importe qui. Par extension, n'importe qui peut offrir un service VPN... Il n'est même pas nécessaire de disposer de sa propre infrastructure. Très souvent, les hébergeurs sont en fait des resellers.
L'offre en hébergement est abondante et on trouve de tout, le meilleur comme le pire. L'amateurisme est très fréquent dans ce domaine d'activité. Souvent, c'est une seule personne qui gère la "boîte". Cette personne peut très bien être un étudiant, qui gère son business de sa chambre chez ses parents... une réalité qui est très éloignée de l'image de sérieux et de professionnalisme qui se dégage du site web, avec les photos du datacenter et des techniciens en blouse blanche.
2.1. VPN "no log"
Si on en croit des personnes généralement peu informées ou peu critiques, le must en matière de confidentialité serait le VPN dit "no log".
En réalité "no log" est un argument commercial avant tout. Les fournisseurs jouent sur les mots, mentent par omission. Ils entretiennent l'illusion que vous êtes totalement anonyme, à la limite même eux ne savent pas qui vous êtes et d'où vous vous connectez !
Mais très souvent, ils se gardent bien de donner une définition claire de ce que "no log" signifie concrètement chez eux.
En pratique, lorsque vous vous connectez à un serveur VPN, celui-ci enregistrera certaines données au moment de créer la session: votre adresse IP, ainsi que l'heure et la date de la connexion, nom d'utilisateur, données du certificat client etc ainsi que d'autres métadonnées.
En théorie, ces données pourraient être "giclées" à la fin de la session. En pratique, rien ne garantit que c'est le cas.
Prenons le cas où vous avez un abonnement limité dans le temps, ou que vous n'avez droit qu'à un quota limité de trafic. Réfléchissez un moment: est-il possible d'appliquer les limitations sans conserver un minimum d'historique dans une base de données ?
Ce qu'il faut comprendre par "no log", c'est plutôt que la rétention de données est limitée au strict nécessaire. En d'autres termes, ils loggent (et archivent) les sessions, mais pas le détail de votre activité (par exemple toutes les URL visitées).
En final, on peut dire que les VPN loggent tous, mais certains "loggent" plus que d'autres.
Les "hébergeurs" au sens large (cela comprend les fournisseurs VPN) reçoivent régulièrement des demandes d'information judiciaires. Ils doivent donc être en mesure d'y répondre. Dans certains cas, c'est même une obligation légale (exemple: directive EC data retention ). C'est de toute façon dans leur intérêt: s'ils ne balancent par leurs clients, ce sont eux qui risquent de gros ennuis.
2.2. Réputation
A l'inverse des VPN "clean", il existe des "rogue" VPN qui courtisent ouvertement les milieux underground, et ont une propension à attirer des profils délinquants. Ils sont souvent basés dans des pays dits "peu coopératifs". Il est prudent de partir du principe qu'ils sont surveillés par les forces de l'ordre ou les services de renseignements, locaux ou étrangers. Et donc, en utilisant leurs services, vous risquez de faire l'objet d'une surveillance accrue. Ce n'est sans doute pas ce que vous recherchez dans un VPN.
Rien ne garantit que les gestionnaires sont compétents et honnêtes. En fait, certains services VPN sont probablement des honeypots.
On sait que le FBI ne se gêne pas pour mettre en place des faux sites dans le but d'appâter les cyber-délinquants (exemple: Carderprofit.cc).
Dans d'autres cas, le FBI continue de faire fonctionner des sites illégaux après les avoir infiltrés, ou après avoir évincé et arrêté les administrateurs (exemple: CarderPlanet).
Certains estiment à tort qu'ils ne risquent rien pour des petites arnaques comme du car.ding. Ce qui est faux: parfois vous pouvez être une victime collatérale dans une affaire qui vise d'autres personnes. Exemple: un forum de car.ding (ou un fournisseur VPN) tombe, la police met la main toute la liste des membres/clients et épluche tout. Peut-être que vous côtoyez de gros poissons sans le savoir. Vous êtes coupable par association, jusqu'à preuve de votre innocence.
D'autres pensent qu'ils ne risquent rien, parce que les services étrangers ne s'intéresseront pas à eux. Réalité: les services de renseignement et de police collaborent et échangent des données entre eux. Une enquête initiée par le FBI aux USA peut avoir des répercussions judiciaires en France. Exemple concret: les personnes qui ont acheté le RAT Blackshade ont été inquiétées par la police dans différents pays, y compris en France.
Les retombées judiciaires ne sont pas toujours proportionnelles à la gravité des faits, quelquefois c'est juste une question de malchance (ou de négligence).
3. Solutions
Au vu de ce qui précède, on comprend mieux pourquoi utiliser un service VPN, surtout pour des activités "sensibles", revient à faire confiance aveuglément à des inconnus pas forcément bien intentionnés, ou pire à se jeter dans la gueule du loup.
Il faut partir du principe que la seule personne à qui vous pouvez faire confiance, c'est vous !
Dans une perspective d'anonymat maximal, il faut éviter les intermédiaires dans toute la mesure du possible, surtout si ce sont des inconnus.
La meilleure solution est de mettre en place son propre serveur VPN, que vous pouvez paramétrer selon vos désirs, pour le rendre aussi amnésique que possible. Pour cela, il n'est pas nécessaire de disposer d'un serveur dédié puissant. Un VPS suffit, que vous payerez de manière anonyme, par exemple en BTC ou avec une carte prépayée.
Choisissez de préférence un hébergeur dans une juridiction adéquate, qui n'a pas une réputation sulfureuse, qui n'est pas dans le collimateur des forces de l'ordre.
Même dans ce scenario, votre activité peut être détectée mais vous disposerez quand même d'une solution plus furtive. Cela d'autant plus que vous utilisez un hébergement au sein duquel il n'y a pas autant de surveillance proactive que chez un gros fournisseur VPN.
Rappelons que le VPN ne devrait pas votre seule couche de protection, mais un maillon d'une chaîne. Les précautions sont d'autant plus vitales si vous comptez utiliser le VPN pour des activités en marge de la légalité.
Notes
[1] Demandez-vous pourquoi des acteurs comme Google proposent un service DNS public gratuit: ce n'est pas par bonté humaine. Le trafic DNS est précieux à des fins de datamining et de profiling des internautes, encore plus quand il est corrélé avec d'autres services de Google que vous utilisez (recherche, Gmail, Adsense...). La consolidation de diverses sources de données procure à Google une vision "panoptique" de votre activité sur Internet. lorsqu'un service est gratuit, c'est que VOUS êtes le produit.

un grand merci à Lama@DonjonDeZangdar