Je ne pense pas qu'on puisse faire plus confiance à Mozilla qu'à qui que ce soit d'autre; surtout si on prend en considération les choix stratégiques de développement pris ces dernières années.tony a écrit : 20 nov. 2024, 09:51 Dans ce cas la partie la plus sensible serait sécurisée par Mozilla, qui me semble digne de confiance. Pour l'instant ils n'ont que du Ubuntu en magasin, mais si ça rencontre un besoin ça risque de s'étoffer je pense.
questions diverses sur le VPN
- zargos
- Membre
- Messages : 174
- Inscription : 07 juil. 2023, 13:34
- Status : Hors-ligne
- piratebab
- Site Admin
- Messages : 5583
- Inscription : 24 avr. 2016, 18:41
- Localisation : sud ouest
- Status : Hors-ligne
Encore une fois, il faut définir le risque. Sur le wifi public, le risque est par exemple que ta connexion soit écoutée (man in the middle). Pour se protéger de ça, il faut que tu garantisses que ta liaison https est bien avec le serveur , et pas avec un proxi https qui va décoder ton flux, l'écouter , puis le réencoder vers le serveur.
Pour cela il faut que ton client VPN soit configuré correctement, ça devrait étre le cas chez mozilla. Le client mozilla doit trés certainement vérifier qu'il se connecte bien au serveur de mozilla.
Mais ça ne te protège pas du fait que le serveur de mozilla décode le flux et l'écoute. Soit tu es très parano et tu ne fais confiance à personne (et surtout pas aux employés de mozilla), soit tu estimes le risque acceptable.
C'est ta décision.
Pour cela il faut que ton client VPN soit configuré correctement, ça devrait étre le cas chez mozilla. Le client mozilla doit trés certainement vérifier qu'il se connecte bien au serveur de mozilla.
Mais ça ne te protège pas du fait que le serveur de mozilla décode le flux et l'écoute. Soit tu es très parano et tu ne fais confiance à personne (et surtout pas aux employés de mozilla), soit tu estimes le risque acceptable.
C'est ta décision.
-
- Membre
- Messages : 336
- Inscription : 10 juil. 2023, 00:54
- Status : Hors-ligne
surtout que je suis allé un peu vite pour tirer des conclusions: il ne s'agit pas d'un serveur VPN de Mozilla, mais d'un serveur à sélectionner parmi un choix offert par l'application VPN Mozilla: serveurVPNpiratebab a écrit : 20 nov. 2024, 20:10 ...........
Pour cela il faut que ton client VPN soit configuré correctement, ça devrait étre le cas chez mozilla. Le client mozilla doit trés certainement vérifier qu'il se connecte bien au serveur de mozilla.
Mais ça ne te protège pas du fait que le serveur de mozilla décode le flux et l'écoute. Soit tu es très parano et tu ne fais confiance à personne (et surtout pas aux employés de mozilla), soit tu estimes le risque acceptable.
C'est ta décision.
J'ai corrigé en conséquence.
Debian 12/ Xfce
- Blaise
- Messages : 4
- Inscription : 25 nov. 2024, 07:49
- Status : Hors-ligne
Salut !
le HTTPS chiffre bien les informations entre ton appareil et le serveur auquel tu te connectes, donc ton mot de passe et identifiants sont protégés. Cependant, en wifi public, même si les données sont cryptées, un attaquant peut potentiellement intercepter ta connexion avant qu'elle n'atteigne le serveur final. C’est là que le VPN entre en jeu : il crée un tunnel sécurisé entre ton appareil et un serveur distant, ajoutant une couche de protection supplémentaire pour que tes données soient sécurisées dès leur sortie de ton appareil.
La "partie virtuelle" du VPN, c’est le réseau privé qui est créé entre ton appareil et le serveur VPN. Même si tu utilises Internet comme moyen de transport, tout ton trafic passe par ce tunnel privé, ce qui te permet de naviguer de manière anonyme et sécurisée, sans que les autres utilisateurs du réseau (ou même ton FAI) puissent voir ce que tu fais.
Concernant la partie serveur dans OpenVPN, en fait, le "serveur" que tu installes sur ton PC est plus destiné à simuler un serveur local lors de tests ou dans des configurations particulières. Mais dans un VPN classique, c’est le serveur distant (chez ton fournisseur de VPN) qui fait le gros du travail, en relayant ton trafic. Le serveur local installé chez toi peut être utilisé dans des scénarios où tu veux configurer ton propre serveur VPN, par exemple si tu veux accéder à ton réseau à distance.
le HTTPS chiffre bien les informations entre ton appareil et le serveur auquel tu te connectes, donc ton mot de passe et identifiants sont protégés. Cependant, en wifi public, même si les données sont cryptées, un attaquant peut potentiellement intercepter ta connexion avant qu'elle n'atteigne le serveur final. C’est là que le VPN entre en jeu : il crée un tunnel sécurisé entre ton appareil et un serveur distant, ajoutant une couche de protection supplémentaire pour que tes données soient sécurisées dès leur sortie de ton appareil.
La "partie virtuelle" du VPN, c’est le réseau privé qui est créé entre ton appareil et le serveur VPN. Même si tu utilises Internet comme moyen de transport, tout ton trafic passe par ce tunnel privé, ce qui te permet de naviguer de manière anonyme et sécurisée, sans que les autres utilisateurs du réseau (ou même ton FAI) puissent voir ce que tu fais.
Concernant la partie serveur dans OpenVPN, en fait, le "serveur" que tu installes sur ton PC est plus destiné à simuler un serveur local lors de tests ou dans des configurations particulières. Mais dans un VPN classique, c’est le serveur distant (chez ton fournisseur de VPN) qui fait le gros du travail, en relayant ton trafic. Le serveur local installé chez toi peut être utilisé dans des scénarios où tu veux configurer ton propre serveur VPN, par exemple si tu veux accéder à ton réseau à distance.
-
- Membre
- Messages : 336
- Inscription : 10 juil. 2023, 00:54
- Status : Hors-ligne
Ok... un tunnel virtuel en somme.... ça fait sens... et 1 + 1 commencent à faire 2, pour ce qui est basique du moins.Blaise a écrit : 27 nov. 2024, 13:52 ..........
La "partie virtuelle" du VPN, c’est le réseau privé qui est créé entre ton appareil et le serveur VPN. Même si tu utilises Internet comme moyen de transport, tout ton trafic passe par ce tunnel privé, ce qui te permet de naviguer de manière anonyme et sécurisée, sans que les autres utilisateurs du réseau (ou même ton FAI) puissent voir ce que tu fais.
...........
merci pour toutes ces précisions.
Debian 12/ Xfce
- zargos
- Membre
- Messages : 174
- Inscription : 07 juil. 2023, 13:34
- Status : Hors-ligne
Malheureusement, Mozilla n'est plus aussi digne de confiance qu'avant du fait de choix stratégiques.tony a écrit : 20 nov. 2024, 09:51 Jusqu'à présent je n'ai jamais voulu utiliser mon portable en dehors de chez moi à cause des risques présentés par les réseaux Wifi publics. Je viens de voir que Mozilla propose un VPN:
VPN
Le schéma serait donc:Dans ce cas la partie la plus sensible serait sécurisée par Mozilla, qui me semble digne de confiance. Pour l'instant ils n'ont que du Ubuntu en magasin, mais si ça rencontre un besoin ça risque de s'étoffer je pense.Code : Tout sélectionner
appli Mozilla sur le PC > réseau wifi > serveur VPN [sur une liste établie par]² Mozilla > internet (https) > retour PC.
ps: [ ]² = correction qui invalide en grande partie le "sécurisée par Mozilla".
- franb
- Membre
- Messages : 120
- Inscription : 04 nov. 2017, 09:41
- Status : En ligne
Ce point est faux, ou bien cela signifie qu'on ne tient pas compte de a vérification du certificat du serveur. L'attaque man in the middle suppose que la personne au milieu (le serveur VPN en l'occurrence) se fasse passer pour le site, alors même qu'il est incapable de fournir un certificat valide pour le site pour lequel il veut se faire passer. Il y a eu un seul cas à ma connaissance en France, sur un service (d'état) qui a été capable de faire certifier son serveur. Cela avait fait bcp de bruit à l'époque. [PS: J'aimerais avoir des précisions sur cette histoire que je n'ai eu que par source orale]. C'est pour cela que pour les proxy https, le client délivre la requête au proxy (qui sert plutôt de filtre comme par exemple dans les lycées), le proxy effectue la requête après filtrag, vérifie le certificat et renvoit le tout.zargos a écrit : 05 oct. 2024, 16:58
Et pour le HTTPS il pourra mettre en place un proxy papillon (un nom qui était en usage il y a plus de 20 ans).
Ce type de proxy est simple, c'est un double proxy. le premier fait l'interface avec vous et génère le flux https entre vous et le proxy.
Le deuxième fait l'interface avec internet, c'est donc lui qui génère les flux HTTPS avec le site distant.
Entre les deux proxy les flux sont déchiffrés et permette de voir TOUT ce qui passe.
Par ailleurs, l'identification d'une personne sur les sites se fait essentiellement par les cookies mais aussi par un faisceau de traces laissées par la machine sur le serveur (user-agent, localisation, etc). En fait l'intérêt d'un VPN est surtout
1) Pour la connexion à un de ses réseaux
2) Pour contourner une censure mais il faut avoir un VPN bien localisé.
3) Pour établir un LAN dédié à une partie sensible (un concours par exemple) à l'intérieur d'un réseau physique exisant s'étalant parfois sur plusieurs VLAN et surtout non controlé, par exemple le réseau d'une université. [J'ai fait ce genre de choses pendant des années]
À noter que certains serveurs refusent de répondre à une requête venant d'un VPN.
- piratebab
- Site Admin
- Messages : 5583
- Inscription : 24 avr. 2016, 18:41
- Localisation : sud ouest
- Status : Hors-ligne
Code : Tout sélectionner
À noter que certains serveurs refusent de répondre à une requête venant d'un VPN.
- zargos
- Membre
- Messages : 174
- Inscription : 07 juil. 2023, 13:34
- Status : Hors-ligne
Il n'est pas faux, il est juste très difficile à faire aujourd'hui. Il faut effectivement disposer du certificat du site ou de niveau supérieur au site. C'est un des risques d'impacts lié à par exemple, l'incident de corruption de chaîne de certificats chez Google il y a quelques années.franb a écrit : 10 déc. 2024, 21:16
Ce point est faux, ou bien cela signifie qu'on ne tient pas compte de a vérification du certificat du serveur. L'attaque man in the middle suppose que la personne au milieu (le serveur VPN en l'occurrence) se fasse passer pour le site, alors même qu'il est incapable de fournir un certificat valide pour le site pour lequel il veut se faire passer.
- franb
- Membre
- Messages : 120
- Inscription : 04 nov. 2017, 09:41
- Status : En ligne
C'est peut être cet incident dont j'ai entendu parler. Ça ne peut être fait que si on est une autorité capable de servir un certificat ou si la personne est suffisamment stupide pour passer outre le souci de certificat qui sera affiché. Seul l'état peut se permettre de faire ça en France.
- piratebab
- Site Admin
- Messages : 5583
- Inscription : 24 avr. 2016, 18:41
- Localisation : sud ouest
- Status : Hors-ligne
Ce n'est plus un problème lié à l'utilisation d'un VPN, mais on problème plus général lié au principe de la chaîne de certification et de confiance. C'est un des piliers d'internet. Imaginez ce qui se passerait si une faille dans Ltes enscrypt était exploitée ....