Pourquoi et comment créer votre VPN maison
Naviguer sur internet en sécurité demande une vigilance particulière. Si Apple s'efforce de protéger ses systèmes du mieux possible, il y a des situations où votre connexion est à risque, notamment lorsque vous vous connectez à un réseau Wi-Fi public.
Très schématiquement, votre fournisseur d'accès à internet (FAI) peut voir quels sites web vous consultez. Si vous faites confiance à votre FAI, il y a des raisons de se montrer vigilant quand vous vous connectez à un réseau Wi-Fi public : un malandrin pourrait réaliser une attaque man-in-the-middle et surveiller votre connexion.
UN VPN, c'est quoi ?
C'est là qu'intervient un Virtual Private Network, ou VPN. C'est l'équivalent d'un tunnel qui vous permet d'isoler les échanges entre votre appareil et un serveur. Ce tunnel est généralement chiffré, rendant théoriquement impossible la prise de connaissance de vos communications. De leur côté, les sites visités ne voient pas l'adresse IP de votre domicile, mais celle du serveur VPN.
Deux choses :
La première, est : avec le https, c'est devenu franchement inutile d'avoir un VPN. Le seul élément qu'ils peuvent choper, c'est à la limite, les requêtes DNS (et c'est en train de changer avec le DNSSEC). Le reste transite déjà en chiffré. En tout cas pour la très grande majorité des sites (et en l'occurrence à peu près 100% des sites les plus importants.
Deuxième point : pourquoi être passé par OpenVPN ? OpenSwan est une très bonne alternative, et surtout, est native avec les iPhones, iPad, Mac, et PC (et à peu près tout en fait), quand pour OpenVPN, il faut passer par une application un peu partout.
Voilà, c'était ma petite critique (on est pas français pour rien ! :p )mais sinon, l'idée de faire ce genre d'article est vraiment cool, donc merci à vous ! 😁
Sinon, remarque supplémentaire pour ceux qui voudront être plus malin que Netflix et autres plateformes de streaming (ou autre), monter votre VPN sur un VPS à l'étranger ne marchera pas. Les plateformes détectes les IP des hébergeurs, et vous bloqueront ^^
Faites ça chez vous (pour accéder au contenu français quand vous êtes à l'étranger), ou trouvez vous un ami à l'étranger pour vous faire ça (et faites en un pour lui chez vous aussi en contrepartie 😉 )
@Link1993
Entièrement d’accord mais DNSSec ne s’applique pas à tous les TLD, et demande à ce qu’il soit activé par le propriétaire du domaine sur ses serveurs de noms. Avec DoH (en +), c’est encore mieux car on ajoute la notion de confidentialité à tout ceci. Et la il suffit juste d’utiliser des serveurs de noms du côté client supportant ce protocole.
@TheRainb0w
Y'a encore des limites oui, mais ce que je veux dire, c'est que l'on ne se retrouvera pas avec nos identifiants perdu dans la nature parce qu'on sera allé sur un wifi public, et aura aussi beaucoup de mal à nous tracer là aussi :)
Pour le reste, vivement que ça se démocratise...
@Link1993
Déjà le mettre en place au sein d’une entreprise n’est pas chose facile 😋
@TheRainb0w
J'ai pas réussi à trouver comment faire sur mon propre serveur... 😬
@Link1993
« avec le https, c'est devenu franchement inutile d'avoir un VPN. »
Le business de VPN grand public est une manne pour les YouTubers mais une des plus belles arnaques marketing d’exploitation de la peur de l’époque 😉
C’est absolument remarquable
@YetOneOtherGit
Quel bonheur j'ai eu quand j'ai découvert la vidéo de Micode sur le sujet ! 😍
https://youtu.be/ckZGQ5cLIfs
Après, je comprends très bien que si ça aide à financer des créateurs... Et les français sont vraiment très bon (le milieu de la vulgarisation est impressionnant, même comparé à l'étranger !)
@Link1993
C’est pour moi une bulle qui finira par exploser.
Je serais curieux de connaître la part du sponsoring de Youtubers portée par NordVPN 🤑
@YetOneOtherGit
De nos jours oui, mais les premiers YouTubeurs sponsorisés on parfois pu bénéficier d’une approche plus créative de la part de NordVPN:
- contrat sur plusieurs vidéos
- pré-financement de projets auxquels la marque semblait croire
@YetOneOtherGit
oui, c’est hallucinant la publicité que fait NordVPN.
@Link1993
"Quel bonheur j'ai eu quand j'ai découvert la vidéo de Micode sur le sujet ! 😍"
Ça semble assez proche de mon point de vue sur la question 👍
@Link1993
Je trouve celui-ci mieux 😉 https://www.youtube.com/watch?v=6kwXmWEhT0s&t=717s
@Krysten2001
Ouaip, bon.... Mr Bidouille aussi..... encore plus maintenant avec sa prise de qualité, ce mec est..... enfin, il est être Uber quoi ! 😬
(mais derrière Le reveilleur et Heureka en terme de qualité de contenu 😇)
@YetOneOtherGit
sauf quand on n’utilise pas le protocole https uniquement.
@raoolito
On rentre dans les cas spéciaux, mais les vendeurs de VPN ne font pas la communication la dessus.
Ils pourraient pourtant (je pense au mail, souvent non chiffré si on passe par les mails des FAI par exemple)
@raoolito
"sauf quand on n’utilise pas le protocole https uniquement. "
Le non https est condamné 😎
@YetOneOtherGit
Ça reste utile pour accéder à des plateformes et du contenu à l’étranger !
@Hugualliaz
Cette passion pour un man in the middle payant me surprend toujours 😄😄😄😄
@YetOneOtherGit
Quand tu ne t’en sers que très ponctuellement pour accéder à du contenu étranger, je ne vois pas le problème ni les failles : tu ne partages pas d’informations confidentielles
Certaines œuvres sont même inaccessibles en France ! C’est parfois le seul moyen simple d’y accéder !
Après je suis d’accord que pour 90% des personnes ça ne sert à rien !
@Hugualliaz
"Quand tu ne t’en sers que très ponctuellement pour accéder à du contenu étranger, je ne vois pas le problème ni les failles "
Erreur de destinataire, mon propos était un clin d’œil qui ne t’étais pas destiné 🤗😉
@YetOneOtherGit
Et vous en pensez quoi finalement ? 😉
https://www.youtube.com/watch?v=6kwXmWEhT0s&t=717s
@Krysten2001
“Et vous en pensez quoi finalement ? 😉”
Comme dit plus haut le besoin de VPN pour les particuliers est pour moi avant tout une fabrication marketing surfant sur la peur et basé sur une confiance souvent discutable.
Les torrents de com sur Youtube entre autre en sont l’illustration.
Le bénéfice apporté est dans bien des cas extrêmement faible voir illusoire.
@YetOneOtherGit
Mais niveau privé, qu’en pensez-vous ? Est-ce mieux de laisser ça à nos opérateurs internet ou à un autre tiers ? Les fonctions DNS aussi sont de la parti.
@Krysten2001
"Mais niveau privé, qu’en pensez-vous ?"
Que c’est en grande partie de la poudre aux yeux 😉
@YetOneOtherGit
Dans quel cas en utiliseriez vous un ?😉
@Krysten2001
"Dans quel cas en utiliseriez vous un ?😉"
Pour un particulier ?
C’est cher payé pour pas grand chose en retour, je trouve.
Après chacun est libre de ses choix.
@YetOneOtherGit
Oui en tant que particulier 😉
Pour tout ce qui vie privée,...
@Krysten2001
"Pour tout ce qui vie privée,..."
Tu parles je suppose des services tiers.
Déjà il faut avoir confiance dans ce service tiers par qui transite ton trafic ce qui n’est pas évident (c’est pour cela que je parle en plaisantant de man in the middle payant)
En suite les bénéfices en terme de confidentialité sont très discutables aujourd’hui
Un de nos camarades a partagé cette vidéo un rien racoleuse mais qui après un survol rapide me semble assez proche de mes points de vue :
https://youtu.be/ckZGQ5cLIfs
@YetOneOtherGit
Je vais la revoir 😉 mais à la fin il en recommande quelques uns quand même 🙃 Car depuis quelques temps comme ExpressVPN, ils mettent un chiffrement DNS en place. Il faut avoir confiance mais ne pensez-vous pas qu’il faut maximiser la confidentialité au maximum ?
@Krysten2001
Tu peux changer de serveurs des DNS pour des serveurs qui respectent plus la vie privée que ton FAI. Tu peux aller plus loin en hébergeant toi-même ton serveur DNS si tu n’as pas confiance. Et c’est gratuit ça.
Le VPN c’est un tunnel sécurisé, il est intéressant quand tu maitrises les 2 bouts du tunnel. Donc si tu as un VPN pour aller de ton tel à ton serveur à la maison ou de la maison à ton boulot(si tu fais confiance aux administrateurs de ton boulot) il y y’a un intérêt. Si c’est juste pour te sentir plus en sécurité, ça n’a pas d’intérêt.
@MSpock
Juste question vie privée, mieux vaut rester chez son faille ou chez un autre tiers auquel on a plus confiance ?😉
Pour le dns, il y a Adguard il me semble.
@Link1993
C'est plutôt dns over https que dnssec qui permet de chiffrer les requêtes DNS.
@koko256
Merci ! :)
Je ne sais plus les terminologies, si les solutions utilisées, mais je sais que ça existe, et que c'est utilisé par endroits.
@Link1993
La plupart du temps non c’est faux. HTTPS va aussi indiquer en clair le site auquel vous vous connectez, pas besoin d’aller pêcher dans les DNS pour cela.
@Sometime
Je vais me renseigner sur le sujet plus en détail dans ce cas.
Il me semblait que seul la destination est transmise en clair.
Mais ça n'empêche pas qu'on se fera piquer ses identifiants sur un wifi public ^^
@Link1993
Regardez du côté des SNI - Server Name Indication.
Pour fonctionner correctement dans certains cas - par exemple pour les servers web hébergeant plusieurs sites - le serveur doit « savoir » ce que vous cherchez a atteindre (ne serait-ce que pour vous afficher le bon certificat qui va sécuriser la connection). Donc a la première connexion vers mettons google.com, même si vous utilisez des requêtes DNS chiffrées, un paquet de l’échange TCP initial avec google va présenter « google.com » en clair.
@Sometime
Je pensais que c'était au serveur de déchiffrer ça, puis ensuite de rediriger vers le bon site présent sur la même machine (ou via proxy).
D'ailleurs, sur ce sujet, question debile.
Si j'ai un site (via Apache) accessible sur internet, et un autre avec un autre nom de domaine accessible seulement en local, peut-on envoyer une requête modifier pour que ça marche ?
Exemple : sur mon nom de domaine (OVH), j'ai désigné site1.exemple.com. Ce site hébergé sur mon serveur est donc accessible à l'extérieur (et c'est aussi celui affiché par défaut si on saisie l'IP). Est ce que je peux modifier une requête pour que le serveur Apache renvoie site2.exemple.com à la place, pourtant pas indiqué publiquement (et donc accessible que localement) ?
@Link1993
En fait il ya 3 notions:
- l’adresse IP
- l’en-tête HTTP « Host »
- le SNI
Dans le cas HTTPS l’en-tête Host, qui indique le site que vous voulez atteindre est en effet chiffrée. Ce qui veut dire que le serveur qui reçoit votre traffic ne peut pas y accéder avant de le déchiffrer (ahah logique).
Et c’est la que la bas blesse: a moins de n’avoir qu’un seul certificat à présenter, votre serveur ne va pas savoir quel certificat vous donner pour initier la connection chiffrée. D’ou le SNI, qui est a « l’extérieur » donc en clair et qui est utilisé pour initier votre HTTPS chiffré. Puis ensuite le serveur déchiffre, et accede a l’en-tête Host, et la envoie votre traffic la il doit aller selon la configuration choisie.
Sans SNI, le serveur ne peut que vous présenter le certificat par défaut, ce qui a de grande chance de provoquer une erreur, si celui-ci ne correspond pas au site que vous consultez. Si vous avez un seul site, avec un seul certificat, ça va, mais sinon vous aurez des soucis.
@Sometime
J’ai du mal à comprendre l’idée du SNI... Plus d’info là dessus ? (Je vais en parallèle me renseigner sur le sujet, voir)
@Link1993
Imaginez que vous hébergiez deux sites sur une meme IP. machin.com et machine.com, chacun avec un certificat. Lorsque vous allez taper ca dans votre navigateur, vous allez obtenir l’IP via DNS puis essayer de vous connecter. Votre serveur Apache, comment peut-il savoir lorsqu’il établit la connection TLS, quel site vous voulez? Autrement dit comment peut-il vous présenter le bon certificat: c’est la même IP et puisque la connection TLS n’est pas encore établi, vous ne pouvez pas avoir l’info dans HTTP. C’est la que le SNI intervient. C’est en gros un champs dans TLS qui indique le fdqn que vous cherchez a atteindre.
En très gros, SNI est a TLS ce que l’en-tête « Host » est a HTTP.
@Sometime
Ah, oui, j'avais donc bien la bonne idée en tête depuis le début alors (mais merci pour les explications techniques).
Mais ça veut dire que le man in the middle, ça sera l'hébergeur donc. Pas une personne sur un wifi publique du coup ^^
@Link1993
Pour le MITM on retombe sur la problématiques classiques de TLS, le SNI joue de ce côté assez peu. Mais si le serveur vois un SNI, un malandrin qui capture votre traffic sur un wifi public le verra aussi. De même que l’ISP et cætera: bref c’est juste pour illustrer que des informations sur votre navigations peuvent fuiter, meme avec HTTPS
@Link1993
Quand a votre situation, je crains que cela ne m’apparaisse pas clair. Que voulez-vous dire par public ou local?
@Sometime
Ok, je vais expliquer mon cas.
J’ai un serveur DNS et Apache à la maison, et un nom de domaine publique chez OVH. Mon DNS reflète mon nom de domaine publique, plus quelques sous domaines persos (donc accessible que localement). En parallèle, j’ai des serveurs apache. La plupart accessible publiquement (le sous domaine est identique chez OVH et chez moi). Quelques uns ne le sont pas, pour raison de sécurité (une interface web pour ARIA2 en l’occurrence). Si je saisis le nom de domaine de ces sites accessibles localement seulement, à l’extérieur, ça ne marche pas puisque pas indiqué chez OVH, mais ça marche chez moi (mon DNS prends le relais).
Est ce que par une bidouille particulière, une personne a l’extérieur peut accéder à ce serveur Apache qui n’accepte que ce nom de domaine précis, mais qui n’existe pas en dehors de mon réseau local ? :)
@Link1993
Potentiellement oui. Déjà public et local en terme de DNS c’est biaisé. Ce n’est pas parce vous n’avez pas d’entrée DNS publique que qqn ne peut pas trouver vos IPs. A partir du moment ou vous avez une IP publique, qqn peut s’y connecter. Faites d’ailleurs le test vous même: récupérez l’IP et entrez la dans votre navigateur...
@Sometime
Ah oui, totalement, mais si par exemple j'ai site1.exemple.com ouvert (via OVH), mais pas site2.exemple.com (qui est par contre enregistré sur le DNS local), ce dernier sera pas accessible à l'extérieur ?
A moins que oui, parce que le malandrin aura lui aussi créé son DNS perso, qui fera pointer son ordi vers la bonne IP, pour le site2.exemple.com
Je suppose que c'est ça ?
Et dans ce cas, faut absolument que je mette une règle dans apache pour le virtual host, et dire qu'il n'autorise les accès que depuis le réseau local...
@Link1993
Les DNS ne sont jamais qu’une façon de traduire un domaine en IP. Donc que cela soit enregistré ou pas n’empêche nullement quelqu’un d’accéder a l’IP. Après difficile d’aller plus loin sans connaître votre configuration. Mais dans le doute oui revoyez la peut-être...
@Link1993
Le problème du HTTPS (SSL en général) c’est que tu dépends du site qui l’implémente. Un site en HTTPS peut ne pas être secure si il a pas mis en place de la Forward secrecy, si des vieux protocoles sont utilisés ou même du SSL pinning ce qui est encore plus rare…
Le Man in the middle sur du HTTPS est possible.
@Link1993
Intercepter du https est à la portée de n’importe quelle appliance de sécurité. (F5 BIGIP etc.)
Dans ma boîte le certificat tls de gmail est en réalité celui de ma boîte. Du coup tout ce qui transite en https est déchiffré côté entreprise et passe en clair. Le trafic est alors rechiffré par l’appliance côté internet.
Le but n’est pas d’espionner mais de vérifier qu’aucune info sensible ne sort. Mais il peut y avoir des dérives.
@pakal
Heu.., mais on perd tout le principe d'un chiffrage sur HTTP du coup...
Ça veut dire que quelqu'un peut m'installer un truc en toute discrétion chez moi, et du coup, quand je me connecte sur le site de ma banque, récupérer mes identifiants même si je suis en HTTPS sur le site ?! Ça me paraît bizarre...
A moins que le certificat de votre boîte soit aussi autorisé de base sur vos PC. Mais à ce moment là, c'est indiqué dans la partie organisation du certificat...
Pages