questions diverses sur le VPN

On y discute de tout, ou presque...
Répondre
Avatar de l’utilisateur
zargos
Membre
Membre
Messages : 174
Inscription : 07 juil. 2023, 13:34
Status : Hors-ligne

tony a écrit : 20 nov. 2024, 09:51 Dans ce cas la partie la plus sensible serait sécurisée par Mozilla, qui me semble digne de confiance. Pour l'instant ils n'ont que du Ubuntu en magasin, mais si ça rencontre un besoin ça risque de s'étoffer je pense.
Je ne pense pas qu'on puisse faire plus confiance à Mozilla qu'à qui que ce soit d'autre; surtout si on prend en considération les choix stratégiques de développement pris ces dernières années.
Avatar de l’utilisateur
piratebab
Site Admin
Site Admin
Messages : 5583
Inscription : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors-ligne

Encore une fois, il faut définir le risque. Sur le wifi public, le risque est par exemple que ta connexion soit écoutée (man in the middle). Pour se protéger de ça, il faut que tu garantisses que ta liaison https est bien avec le serveur , et pas avec un proxi https qui va décoder ton flux, l'écouter , puis le réencoder vers le serveur.
Pour cela il faut que ton client VPN soit configuré correctement, ça devrait étre le cas chez mozilla. Le client mozilla doit trés certainement vérifier qu'il se connecte bien au serveur de mozilla.
Mais ça ne te protège pas du fait que le serveur de mozilla décode le flux et l'écoute. Soit tu es très parano et tu ne fais confiance à personne (et surtout pas aux employés de mozilla), soit tu estimes le risque acceptable.
C'est ta décision.
tony
Membre
Membre
Messages : 336
Inscription : 10 juil. 2023, 00:54
Status : Hors-ligne

piratebab a écrit : 20 nov. 2024, 20:10 ...........
Pour cela il faut que ton client VPN soit configuré correctement, ça devrait étre le cas chez mozilla. Le client mozilla doit trés certainement vérifier qu'il se connecte bien au serveur de mozilla.
Mais ça ne te protège pas du fait que le serveur de mozilla décode le flux et l'écoute. Soit tu es très parano et tu ne fais confiance à personne (et surtout pas aux employés de mozilla), soit tu estimes le risque acceptable.
C'est ta décision.
surtout que je suis allé un peu vite pour tirer des conclusions: il ne s'agit pas d'un serveur VPN de Mozilla, mais d'un serveur à sélectionner parmi un choix offert par l'application VPN Mozilla: serveurVPN
J'ai corrigé en conséquence.
Debian 12/ Xfce
Avatar de l’utilisateur
Blaise
Messages : 4
Inscription : 25 nov. 2024, 07:49
Status : Hors-ligne

Salut !
le HTTPS chiffre bien les informations entre ton appareil et le serveur auquel tu te connectes, donc ton mot de passe et identifiants sont protégés. Cependant, en wifi public, même si les données sont cryptées, un attaquant peut potentiellement intercepter ta connexion avant qu'elle n'atteigne le serveur final. C’est là que le VPN entre en jeu : il crée un tunnel sécurisé entre ton appareil et un serveur distant, ajoutant une couche de protection supplémentaire pour que tes données soient sécurisées dès leur sortie de ton appareil.
La "partie virtuelle" du VPN, c’est le réseau privé qui est créé entre ton appareil et le serveur VPN. Même si tu utilises Internet comme moyen de transport, tout ton trafic passe par ce tunnel privé, ce qui te permet de naviguer de manière anonyme et sécurisée, sans que les autres utilisateurs du réseau (ou même ton FAI) puissent voir ce que tu fais.
Concernant la partie serveur dans OpenVPN, en fait, le "serveur" que tu installes sur ton PC est plus destiné à simuler un serveur local lors de tests ou dans des configurations particulières. Mais dans un VPN classique, c’est le serveur distant (chez ton fournisseur de VPN) qui fait le gros du travail, en relayant ton trafic. Le serveur local installé chez toi peut être utilisé dans des scénarios où tu veux configurer ton propre serveur VPN, par exemple si tu veux accéder à ton réseau à distance.
tony
Membre
Membre
Messages : 336
Inscription : 10 juil. 2023, 00:54
Status : Hors-ligne

Blaise a écrit : 27 nov. 2024, 13:52 ..........
La "partie virtuelle" du VPN, c’est le réseau privé qui est créé entre ton appareil et le serveur VPN. Même si tu utilises Internet comme moyen de transport, tout ton trafic passe par ce tunnel privé, ce qui te permet de naviguer de manière anonyme et sécurisée, sans que les autres utilisateurs du réseau (ou même ton FAI) puissent voir ce que tu fais.
...........
Ok... un tunnel virtuel en somme.... ça fait sens... et 1 + 1 commencent à faire 2, pour ce qui est basique du moins.

merci pour toutes ces précisions.
Debian 12/ Xfce
Avatar de l’utilisateur
zargos
Membre
Membre
Messages : 174
Inscription : 07 juil. 2023, 13:34
Status : Hors-ligne

tony a écrit : 20 nov. 2024, 09:51 Jusqu'à présent je n'ai jamais voulu utiliser mon portable en dehors de chez moi à cause des risques présentés par les réseaux Wifi publics. Je viens de voir que Mozilla propose un VPN:
VPN

Le schéma serait donc:

Code : Tout sélectionner

appli Mozilla sur le PC > réseau wifi > serveur VPN [sur une liste établie par]² Mozilla > internet (https) > retour PC.
Dans ce cas la partie la plus sensible serait sécurisée par Mozilla, qui me semble digne de confiance. Pour l'instant ils n'ont que du Ubuntu en magasin, mais si ça rencontre un besoin ça risque de s'étoffer je pense.

ps: [ ]² = correction qui invalide en grande partie le "sécurisée par Mozilla".
Malheureusement, Mozilla n'est plus aussi digne de confiance qu'avant du fait de choix stratégiques.
Avatar de l’utilisateur
piratebab
Site Admin
Site Admin
Messages : 5583
Inscription : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors-ligne

Si c'est pour utiliser ton tel depuis un réseau public, installe le serveur VPN chez toi.
Avatar de l’utilisateur
franb
Membre
Membre
Messages : 120
Inscription : 04 nov. 2017, 09:41
Status : En ligne

zargos a écrit : 05 oct. 2024, 16:58
Et pour le HTTPS il pourra mettre en place un proxy papillon (un nom qui était en usage il y a plus de 20 ans).

Ce type de proxy est simple, c'est un double proxy. le premier fait l'interface avec vous et génère le flux https entre vous et le proxy.
Le deuxième fait l'interface avec internet, c'est donc lui qui génère les flux HTTPS avec le site distant.
Entre les deux proxy les flux sont déchiffrés et permette de voir TOUT ce qui passe.
Ce point est faux, ou bien cela signifie qu'on ne tient pas compte de a vérification du certificat du serveur. L'attaque man in the middle suppose que la personne au milieu (le serveur VPN en l'occurrence) se fasse passer pour le site, alors même qu'il est incapable de fournir un certificat valide pour le site pour lequel il veut se faire passer. Il y a eu un seul cas à ma connaissance en France, sur un service (d'état) qui a été capable de faire certifier son serveur. Cela avait fait bcp de bruit à l'époque. [PS: J'aimerais avoir des précisions sur cette histoire que je n'ai eu que par source orale]. C'est pour cela que pour les proxy https, le client délivre la requête au proxy (qui sert plutôt de filtre comme par exemple dans les lycées), le proxy effectue la requête après filtrag, vérifie le certificat et renvoit le tout.

Par ailleurs, l'identification d'une personne sur les sites se fait essentiellement par les cookies mais aussi par un faisceau de traces laissées par la machine sur le serveur (user-agent, localisation, etc). En fait l'intérêt d'un VPN est surtout
1) Pour la connexion à un de ses réseaux
2) Pour contourner une censure mais il faut avoir un VPN bien localisé.
3) Pour établir un LAN dédié à une partie sensible (un concours par exemple) à l'intérieur d'un réseau physique exisant s'étalant parfois sur plusieurs VLAN et surtout non controlé, par exemple le réseau d'une université. [J'ai fait ce genre de choses pendant des années]

À noter que certains serveurs refusent de répondre à une requête venant d'un VPN.
Avatar de l’utilisateur
piratebab
Site Admin
Site Admin
Messages : 5583
Inscription : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors-ligne

Code : Tout sélectionner

À noter que certains serveurs refusent de répondre à une requête venant d'un VPN.
Et certains clients s'insurgent de ne pas communiquer directement avec le serveur final (ils détectent à juste titre un risque de sécurité)
Avatar de l’utilisateur
zargos
Membre
Membre
Messages : 174
Inscription : 07 juil. 2023, 13:34
Status : Hors-ligne

franb a écrit : 10 déc. 2024, 21:16
Ce point est faux, ou bien cela signifie qu'on ne tient pas compte de a vérification du certificat du serveur. L'attaque man in the middle suppose que la personne au milieu (le serveur VPN en l'occurrence) se fasse passer pour le site, alors même qu'il est incapable de fournir un certificat valide pour le site pour lequel il veut se faire passer.
Il n'est pas faux, il est juste très difficile à faire aujourd'hui. Il faut effectivement disposer du certificat du site ou de niveau supérieur au site. C'est un des risques d'impacts lié à par exemple, l'incident de corruption de chaîne de certificats chez Google il y a quelques années.
Avatar de l’utilisateur
franb
Membre
Membre
Messages : 120
Inscription : 04 nov. 2017, 09:41
Status : En ligne

C'est peut être cet incident dont j'ai entendu parler. Ça ne peut être fait que si on est une autorité capable de servir un certificat ou si la personne est suffisamment stupide pour passer outre le souci de certificat qui sera affiché. Seul l'état peut se permettre de faire ça en France.
Avatar de l’utilisateur
piratebab
Site Admin
Site Admin
Messages : 5583
Inscription : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : Hors-ligne

Ce n'est plus un problème lié à l'utilisation d'un VPN, mais on problème plus général lié au principe de la chaîne de certification et de confiance. C'est un des piliers d'internet. Imaginez ce qui se passerait si une faille dans Ltes enscrypt était exploitée ....
Répondre