Lexique et notions de base liés aux usages VPN

Protocole de tunneling, clé de chiffrement 256 bits, DNS, obfuscation, Kill Switch, fingerprinting… La liste des termes techniques gravitant autour des VPN est longue et parfois incompréhensible pour le grand public.

Voici quelques définitions qui devraient vous permettre de mieux appréhender l’univers du VPN, de comprendre comment fonctionnent ces services et de garder en mémoire les critères importants dans le choix d’une solution plutôt qu’une autre..

VPN

Un VPN (Virtual Private Network, ou réseau privé virtuel) est un dispositif permettant d’accéder à un réseau de manière sécurisée grâce à la création d’un tunnel virtuel.

Appliqué au web, le VPN virtualise un tunnel de connexion à l’aide d’un protocole spécifique (OpenVPN, WireGuard, IKEv2, L2TP/IPSec, etc.). Ce tunnel sert à relier un appareil connecté (ordinateur, smartphone) et le serveur VPN. Les données qui circulent via ce tunnel sont généralement chiffrées à la source pour préserver leur confidentialité en cas d’interception du trafic, puis déchiffrées sur le serveur avant d’être transmises aux plateformes web interrogées.

Utiliser un VPN comme relais de connexion renforce considérablement l’anonymat de l’internaute, à condition que le fournisseur VPN soit lui-même respectueux vis-à-vis des informations personnelles de ses utilisateurs (audits indépendants réguliers, non-journalisation des connexions, etc.). D’une part, l’adresse IP visible des sites et pages web visités n’est plus celle de l’utilisateur, mais celle du serveur VPN. D’autre part, suivant la localisation du (ou des) serveur(s) VPN, l’internaute est en mesure de dissimuler sa véritable position géographique, et donc de contourner censure et/ou blocage de contenus géolocalisés.

Bien que les usages domestiques et grand public du VPN poussent les internautes à se tourner vers des fournisseurs professionnels, le statut open source et la prise en charge native par les appareils connectés de certains protocoles permettent à tous de créer et configurer leur propre réseau VPN. Niveau d’expertise requis : élevé. Il faut néanmoins garder à l’esprit qu’un VPN artisanal n’offre pas les mêmes avantages qu’un service d’entreprise (serveur unique, géolocalisation à la maison, consommation excessive de bande passante, erreurs de configuration, etc.).

Fournisseur VPN

Le fournisseur VPN est l’entreprise à laquelle on souscrit un abonnement pour profiter d’un service VPN. Sont compris les serveurs et l’ensemble des technologies destinées à consolider la sécurité et l’anonymat : protocoles de tunnelisation fiables, chiffrements solides, maintenance et mises à jour.

Certains fournisseurs VPN proposent leurs services gratuitement. Méfiance ! Gérer un réseau de centaines, voire de milliers de serveurs à travers le monde entraîne forcément des coûts élevés de maintenance. Si le service est gratuit, il leur faut nécessairement trouver des fonds ailleurs : collecte, exploitation et revente des données personnelles par l’entreprise elle-même sont très probablement à redouter.

Serveur(s) VPN

Un serveur VPN est un équipement relais par lequel passe le trafic Internet, à l’aller comme au retour. C’est son adresse IP qui sera visible des sites et pages web visités. Aujourd’hui, la plupart des services de VPN considérés comme fiables disposent de centaines, voire de milliers de serveurs dispersés à travers le monde. Les internautes peuvent alors sélectionner celui qui leur convient en fonction de sa géolocalisation et du nombre d’utilisateurs déjà connectés.

Plus un service de VPN propose de serveurs, meilleures les conditions de navigation et de sécurité sont. Un vaste choix permet en effet de profiter d’une connexion plus performante (moins d’engorgements, alternatives possibles aux IP blacklistées), de brouiller les pistes plus efficacement (les plateformes en ligne identifient toujours partiellement les internautes, même après changement d’IP ; voir « Fingerprinting ») et de contourner les restrictions géographiques de très nombreux pays.

Chiffrement

Le chiffrement est une méthode mathématique permettant de convertir des données lisibles en données codées. Dans le cadre d’Internet, le chiffrement revient à brouiller et verrouiller les données de trafic afin qu’elles soient connues de l’émetteur et du destinataire seulement. Attention : le chiffrement n’empêche pas l’interception du trafic par un tiers. Néanmoins, si l’algorithme utilisé est suffisamment solide, il lui sera impossible d’en exploiter le contenu.

Pour déchiffrer des données sécurisées par un algorithme de chiffrement, il faut une clé secrète. Cette clé agit comme un mot de passe extrêmement complexe. Elle peut être stockée par le système interlocuteur ou transmise en même temps que les données chiffrées.

Dans le détail, il existe deux méthodes de chiffrement :

• Le chiffrement symétrique : une même clé est utilisée pour chiffrer et déchiffrer les données. C’est ce que proposent les services de VPN actuels. Ce type de chiffrement est très rapide et peu gourmand en ressources, ce qui en fait une solution idéale pour coder un très grand volume de données. La taille de la clé est un critère important pour garantir sa résistance aux attaques de force brute. Dans l’idéal, mieux vaut opter pour du 128 à 256 bits, soit des clés de 2128 à 2256 combinaisons ou valeurs possibles. Attention également à l’algorithme utilisé : privilégiez l’AES (jamais compromis jusqu’à présent), éventuellement le Twofish.

• Le chiffrement asymétrique : la sécurisation des données repose sur une clé publique, connue de tous, et une clé privée, à ne communiquer sous aucun prétexte. Ces deux clés (différentes, d’où la notion d’asymétrie) sont couplées mathématiquement et déchiffrent ce que leur alter ego a précédemment chiffré. Cette méthode, beaucoup plus lente que le chiffrement symétrique, est généralement réservée à l’authentification des données (signature numérique, par exemple).

Obfuscation

L’obfuscation (parfois offuscation) est le fait de dissimuler du trafic chiffré dans du trafic standard. Dans le cadre d’une utilisation VPN, cette technique consiste à faire passer le trafic VPN pour du trafic non-VPN, permettant ainsi aux internautes d’utiliser un VPN dans les pays où ce type de service est interdit, de continuer à accéder à des sites et plateformes blacklistant les VPN, ou encore de contourner certains pare-feux.

Paquet

Un paquet est une unité de transmission contenant une partie des données qui circulent sur un réseau. Ainsi, lorsqu’un internaute formule une requête depuis son navigateur, le message est découpé en plusieurs paquets envoyés les uns après les autres au serveur cible. De cette manière, en cas de pertes de paquets, seuls ceux manquants seront rechargés.

En plus d’encapsuler une partie des données, un paquet contient un en-tête regroupant les informations et règles indispensables au transport et à la reconstitution du message (protocole, adresse des systèmes émetteur et récepteur, numérotation, taille, somme de contrôle, etc.).

Bien évidemment, si le chiffrement des données implique le chiffrement des paquets.

Protocole

Le protocole VPN correspond à un ensemble de règles permettant d’établir une connexion sécurisée entre le client VPN et le serveur VPN. Il en existe plusieurs et tous ne se valent pas, tant en termes de sécurité que de rapidité.

Certains protocoles VPN sont intrinsèquement liés à des solutions de chiffrement. C’est notamment le cas d’OpenVPN qui utilise la bibliothèque OpenSSL et propose donc l’AES comme algorithme de chiffrement des données.

D’autres protocoles comme L2TP ne proposent aucun chiffrement. C’est pourquoi il est bien souvent associé à IPSec qui utilise lui-même des algorithmes de chiffrement permettant le transport sécurisé des données sur les réseaux IP (Internet).

Le choix du protocole est primordial lorsque l’on souscrit à un service VPN. Parmi les plus sécurisés et performants, on retiendra OpenVPN et WireGuard. En revanche, on oublie PPTP, certes rapide, mais vieillissant et vulnérable. Gare également à L2TP s’il n’est pas couplé à IPSec.

Tunnel

Un tunnel est un canal virtuel privé permettant d’acheminer des données confidentielles dans un réseau public en toute sécurité. En pratique, ce tunnel chiffré isole le trafic qui y transite du reste du trafic Internet.

Pour établir un tunnel sécurisé, il faut recourir à un protocole de tunneling (voir paragraphe précédent).

Split tunneling

Le split tunneling permet de choisir quelles données emprunteront le tunnel VPN et quelles données circuleront sur le réseau public via une connexion standard. Autrement dit, il s’agit de sélectionner les applications se connectant à Internet via le VPN et celles se connectant à Internet sans intermédiaire. De cette manière, le trafic transitant via les serveurs du VPN est allégé et permet de conserver de bonnes performances de connexion.

FAI

Le fournisseur d’accès à Internet (FAI) est l’organisme qui raccorde les internautes au réseau Internet. À cet effet, il leur attribue un numéro d’identification et peut tracer leurs activités en ligne (heures, dates et lieux de connexions, durée des sessions, équipement utilisé, quantité de données échangées, pages web visités… en bref, tout, sauf le contenu du trafic). En théorie, le FAI n’a pas le droit de recouper ni de communiquer ces informations, sauf ordre de justice ou de police administrative dans le cadre d’une enquête. Dans le cadre de la loi, toutes ces données d’identification et métadonnées doivent être conservées un an.

Le recours à un VPN ne permet pas de se cacher entièrement du FAI. L’opérateur sait que l’utilisateur se connecte à une IP (le serveur du VPN), connaît la durée de la connexion et journalise la quantité de données échangées. La parade sert uniquement à masquer les métadonnées de connexion générées après le VPN, soit le détail des pages visitées, les durées de visites, la quantité de données échangées sur chaque plateforme, etc. En clair, tout ce qu’intercepte le FAI semble uniquement provenir de l’IP du VPN.

Adresse IP

L’adresse IP est un numéro d’identification attribué par le FAI à un équipement connecté à Internet. Ce numéro peut être statique (fixe) ou dynamique (fréquence de changement variable suivant les FAI).

Du côté des FAI, l’adresse IP identifie l’utilisateur en temps que client ayant souscrit auprès d’un opérateur (nom, coordonnées). Les services et sites auxquels l’internaute se connecte accèdent également à l’adresse IP, mais ne peuvent en tirer que des informations techniques (estimation de la position géographique et nom du FAI). Il leur est en revanche possible de tracer les activités en ligne liées aux adresses IP et de dresser un profil utilisateur plutôt précis de leurs visiteurs (durée des visites, nombre de pages vues, nombre de connexions au site, URL des pages consultées). Dans cette configuration, l’usage d’un VPN permet de masquer sa véritable adresse IP auprès des sites web interrogés.

Aujourd’hui, les adresses IP sont réparties entre deux versions du protocole IP : la version 4 et la version 6. Les adresses IPv4 sont notées sous la forme de quatre nombres entiers séparés par des points (plages comprises entre 0.0.0.0 et 255.255.255.255), et codées sur 32 bits (232 combinaisons possibles, soit un peu plus de 4 milliards).

On considère qu’il n’existe plus assez d’adresses IPv4 pour répondre aux connexions Internet simultanées dans le monde. D’où le déploiement des IPv6, codées sur 128 bits (2128 combinaisons possibles, soit 34×1037 environ).

IPv4 et IPv6 n’étant pas compatibles, des solutions provisoires comme l’attribution des deux types d’adresses aux serveurs ont été mises en place. À terme, les adresses IPv4 devraient définitivement disparaître au profit d’adresses IPv6, plus récentes, fiables et sécurisées.

DNS

Un serveur DNS (Domain Name System) s’apparente à un annuaire nécessaire à la traduction des noms de domaine en adresses IP. Dans un réseau IP (Internet), tous les équipements connectés / domaines sont identifiés à l’aide d’une adresse IP. Lorsque l’on saisit le nom de domaine d’un site web dans la barre d’URL, la connexion transite via le DNS qui traduit le domaine (langage humain) en adresse IP, avant de parvenir au serveur interrogé. C’est ce qu’on appelle la résolution de domaine. Ce système est indispensable : sans DNS, il nous faudrait obligatoirement saisir les adresses IPv4 et IPv6 des sites auxquels on souhaiterait accéder.

Fuite DNS

Une fuite DNS est une anomalie dans le processus de tunnelisation mis en place par le VPN. Malgré l’établissement d’une connexion sécurisée, les requêtes DNS échappent au tunnel virtuel, devenant accessibles aux opérateurs de services DNS (FAI le plus souvent). En d’autres termes, le VPN n’est plus qu’à moitié fonctionnel puisque ces opérateurs peuvent désormais savoir quels sites sont visités par l’internaute.

Pour contrer ces failles de sécurité, la plupart des services VPN disposent de leurs propres serveurs DNS et proposent des options de tests pour vérifier que la connexion VPN n’est pas redirigée vers des DNS externes.

Pare-feu

Le pare-feu est un logiciel jouant le rôle de filtre entre un ordinateur et un réseau externe. Selon les règles auxquelles il répond, il peut analyser le trafic entrant (Internet vers PC) et/ou sortant (PC vers Internet). Ces mêmes règles lui permettent de bloquer les connexions préalablement spécifiées comme interdites, empêchant les internautes d’accéder à certains sites et services.

Une règle de pare-feu doit spécifier le trafic et les ports utilisés par ce trafic. Ainsi, un pare-feu configuré pour bloquer la navigation web sur le port 80 empêchera l’internaute d’accéder aux sites HTTP. Un pare-feu peut également bloquer une connexion VPN si le protocole de tunneling utilise un port non autorisé. D’où l’importance de bien choisir son protocole VPN.

Hotspot

Un hotspot est un point d’accès au réseau Wi-Fi. Il peut être gratuit (accès public ouvert à tous) ou payant (accès public réservé aux abonnés d’un FAI, par exemple). Dans tous les cas, il convient de sécuriser sa connexion lorsque l’on se connecte à un réseau Wi-Fi public afin d’éviter toute tentative de piratage. Le trafic peut aisément être intercepté, au même titre que les données personnelles. Un VPN permet de chiffrer les données et de les rendre illisibles en cas de cyberattaque.

Kill switch

Le Kill Switch est un bouton d’arrêt d’urgence qui déconnecte instantanément les appareils d’Internet lorsque la connexion au VPN est interrompue. Cette fonctionnalité est essentielle dans le cadre d’usages à risques, notamment en cas d’utilisation de réseaux Wi-Fi publics où une déconnexion VPN expose les données de l’utilisateur aux cyberattaques.

No log policy

Pour rediriger la connexion des internautes vers les serveurs interrogés, le VPN en déchiffre les données sur ses propres serveurs. Il convient alors que s’assurer que le service n’enregistre aucune trace de la connexion. Dans le cas contraire, ces journaux de connexions pourraient compromettre la sécurité des informations personnelles et l’anonymat de l’internaute (saisie des serveurs, piratage, revente des données par le fournisseur VPN à des tiers). Un VPN de confiance doit donc appliquer une politique de non-journalisation (no log policy en anglais). De nombreux services tentent de montrer patte blanche à l’aide d’audits indépendants fréquents. Dans les faits, il est très compliqué de vérifier la bonne foi des fournisseurs VPN qui demeurent des entreprises privées. Il faudra essentiellement s’appuyer sur la réputation des services pour les croire sur parole.

IP dédiée / IP partagée

Dans la majorité des cas, les VPN proposent à leurs utilisateurs des adresses IP partagées : tous les internautes se connectant à un même serveur se verront attribuer la même adresse IP. De la sorte, le trafic individuel est noyé dans la masse. Il est alors plus difficile pour les plateformes en ligne de dresser un profil précis de leurs visiteurs à partir de leur adresse IP d’emprunt. Toutefois, les adresses IP partagées présentent également des inconvénients : un mauvais voisinage (l’internaute pâtit forcément des comportements en ligne de ceux qui partagent son IP), une inscription sur liste noire (certains services empêchent la connexion d’IP spécifiques à leurs serveurs), des contrôles d’authentification supplémentaires (captcha).

En sus de cette fonction de base, certains services VPN proposent de payer pour une IP dédiée. L’utilisateur se voit attribuer une IP unique et statique qui lui octroie une réputation irréprochable sur le web et facilite la connexion aux services sécurisés. Mais l’IP dédiée présente elle aussi des inconvénients puisque son caractère immuable et individuel en fait un élément d’identification de l’utilisateur pour les plateformes en ligne. Bien que cette IP diffère de la véritable adresse de l’internaute, elle n’empêche pas le tracking et la publicité ciblée.

Five / Nine / Fourteen Eyes

Les Five Eyes (Cinq Yeux) désignent l’alliance des services de renseignement de cinq pays que sont les États-Unis, le Canada, le Royaume-Uni, l’Australie et la Nouvelle-Zélande. Initiée durant la Seconde Guerre mondiale, cette alliance visait à surveiller et partager les informations concernant les communications de l’URSS et du Bloc de l’Est. Toujours actifs, les Five Eyes ont défrayé la chronique en 2013 avec les révélations d’Edward Snowden concernant la surveillance de masse des citoyens américains, britanniques, australiens, canadiens et néo-zélandais.

Pa extension, les Nine Eyes désignent l’alliance des Five Eyes agrémentée du Danemark, de la Norvège, des Pays-Bas et de la France. Les objectifs restent inchangés : mettre en commun des informations exploitables par les différents services de renseignement propres à chaque pays.

Les Fourteen Eyes désignent les Nine Eyes, la Belgique, l’Allemagne, l’Italie, l’Espagne et la Suède.

Géoblocage

Le géoblocage consiste à restreindre l’accès à du contenu et/ou à des services en fonction de la géolocalisation de l’internaute. Cette géolocalisation est définie grâce à l’adresse IP. Depuis 2018, le géoblocage injustifié est interdit par l’Union européenne au sein des États membres. Concrètement, cela signifie que les citoyens européens peuvent acheter des biens et services à une plateforme (ex : Netflix, Spotify…) ou une boutique en ligne (ex : Amazon) basées dans un autre pays de l’UE aux mêmes conditions que les clients résidant dans ce pays. Sont exclus de cette obligation les e-services soumis à certaines exigences légales comme la non-détention des droits de propriété intellectuelle dans un autre pays.

Le géoblocage explique, par exemple, que l’on ne puisse accéder à HBO depuis la France, ou à certains titres Spotify en fonction du pays où l’on réside.

Cybercensure

La cybercensure, ou censure d'Internet, est une forme de géoblocage destiné à empêcher les internautes d’un pays, résidents ou en transit, d'accéder à des services et contenus étrangers à des fins politiques et/ou idéologiques.

Fingerprinting

Le fingerprinting est une technique de tracking mise en place par certains services web et qui consiste à récupérer l’empreinte digitale d’un navigateur pour établir un profil de l’internaute, même si son adresse IP est masquée et que les cookies sont désactivés.

Parmi les informations délivrées par le navigateur, on peut citer le numéro de version, les plugins installés, la langue utilisée, le fuseau horaire, mais également le système d’exploitation installé sur l’appareil connecté à Internet, les polices de caractères installées, les équipements détectés (micro, webcam, accéléromètre, haut-parleurs, gyroscope, etc.) L’ensemble de toutes ces informations font qu’il n’existe pas une empreinte de navigateur identique à une autre, mettant à mal la notion d’anonymat en ligne. Il n’existe pas de moyen efficace et durable pour empêcher le fingerprinting. On peut tout de même changer certains comportements de navigation pour s’en prémunir au maximum (utiliser un navigateur populaire, désactiver les scripts, installer un minimum d’extensions, passer par Tor, etc.).