VPN & sécurité avancée : Leaks, explications et configuration (IPv6/DNS)

16
431

VPN leaks : Comment ne pas perdre bêtement son anonymat avec un VPN ? UnderNews a décidé de vous informer sur un sujet peu connu mais pourtant incontournable pour ceux souhaitant un vrai anonymat via un VPN. Explications.

Beaucoup ont déjà opté pour un VPN pour protéger leur anonymat en ligne, accéder à certains services bloqués ou tout simplement pour sécuriser leur connexion Internet. Mais peut sont conscients des risques liés à l’exploitation de l’IPv6. En effet, via l’utilisation par défaut d’IPv6, un leak d’informations personnelles peut se produire et mener à la perte complète ou partielle de l’anonymat…

Énormément de personnes sont concernées à ce jour en France puisque les principaux FAI ont le support d’IPv6 activé par défaut (Free et SFR par exemple). Idem si la Box Internet gère l’IPv6.

ipv6-vpn

Leak IPv6

Dans un souci de performances, tous les systèmes préfèrent actuellement sortir en IPv6, si une connectivité le permet. C’est le cas notamment chez Free ou encore SFR.  Si le VPN ne gère et tunnelise que l’IPv4, tout le trafic sort en IPv6 sans être le moins du monde protégé par le VPN !

Le pire c’est que cela se fait de manière transparente, sans que vous puissiez le détecter simplement : si vous vous rendez sur “monip.com“, vous aurez en effet l’illusion d’être protégés puisque le site en question n’écoute qu’en IPv4… et que dans ce cas précis, votre IP externe aura bien changée. Ce qui n’est absolument pas le cas en IPv6.

Tous les peers n’acceptant uniquement IPv6 peuvent alors voir votre vraie adresse IP et géolocalisation. Vous imaginez facilement les pièges possibles pour mettre à mal l’anonymat d’une cible en exploitant cette technique.

Les solutions envisageables concernant IPv6

La première chose possible, est de choisir (ou de demander) à votre fournisseur VPN de gérer IPv6. A ce jour, tous devraient gérer l’IPv6 !

Dans le cas contraire, il vous reste la possibilité de désactiver le support IPv6 sur votre Box Internet.

Attention, il ne suffit pas de désactiver IPv6 sur la configuration de l’interface de connexion : si IPv4 est bien le seul activé sur l’interface pricipale, votre système pourra tout de même tenter de sortir en IPv6 via une interface secondaire (LAN/WiFi, 3G, etc).

Le cas des DNS Leaks

Le DNS est utilisé pour traduire un domaine en adresse IP directement utilisable pour l’acheminement des paquets de données. Seulement, le problème est que la plupart des FAI attribuent à leurs clients des serveurs DNS dont ils ont le contrôle, ce qui leur permet, entre autres, l’enregistrement de votre activité sur Internet.

La solution est donc de changer ses DNS. Mais certains fournisseurs internet utilisent dorénavant une technologie appelée « Transparent DNS proxies ». Utilisant cette technologie, ils interceptent toutes les requêtes DNS (TCP/UDP port 53). Ceci vous force en sorte à utiliser leurs services DNS à chaque fois que vous accédez un site.

Si on a changé les serveurs DNS sur l’ordinateur et que l’on utilise des DNS libres comme Google Public DNS, Comodo Secure DNS, OpenDNS ou openNIC, en espérant que tout le trafic DNS n’est désormais plus espionné par le FAI, si celui-ci utilise le « Transparent DNS proxying » on risque d’être surpris.

dnsleak

N’oubliez donc pas aussi de faire un DNS Leak Test sur le site dnsleaktest.com et suivre de suivre les instructions pour éviter qu’un peer ne puisse remonter à votre adresse IP réelle même à travers le meilleur VPN utilisé.

Certains fournisseurs VPN Premium sérieux proposent une fonctionnalité embarquées dans leur logiciel VPN : DNS Leak Protection. C’est par exemple le cas de Private Internet Access.

Micro-coupures = perte totale d’anonymat

Même chose ici : il est primordial d’utiliser un fournisseur VPN de qualité proposant une gestion complète des potentielles déconnexion lors de l’utilisation du VPN. En effet, si celui-ci ne gère pas ces interruptions, vous perdrez votre anonymat et la sécurité de votre connexion chiffrée.

Heureusement, la plupart des gros acteurs du marchés sont tous équipés de protections efficaces  contre les déconnexions et micro-coupures, comme c’est le cas pour HideMyAss Pro VPN.

Conclusion

Quoi qu’il en soit, gardez en tête que l’accès à l’anonymat complet sur Internet est complexe et qu’il ne faut rien laisser au hasard. Attention aussi à la récente faille WebRTC qui était présentes dans les navigateurs Firefox et Chrome. Depuis, des mises à jours ont corrigé ce problème.

L’usage d’un VPN est un choix très judicieux pour se protéger aujourd’hui, encore faut-il maîtriser les aspects techniques autour afin d’appréhender les choses dans leur globalité pour un maximum d’efficacité. Le niveau de sécurité dépendra aussi du protocole choisi pour utiliser un VPN (OpenVPN, PPTP, SSTP, IPSec & L2TP).

Merci à Optix et au forum Wareziens pour l’idée de sujet.

Note : Cet article contient des liens affiliés.

16 Commentaires

  1. bonjour explication des fuites Dns et du Webrtc 1er voire si votre Ip est bien celui du Vpn? 2 voire si le Webrtc IpV4 correspond à votre Vpn? si vous êtes connecté à un VPN et vous voyez votre fournisseur d’accès IP? votre système à une fuite Wertc!? détection d’adresse si vous êtes connecté à un VPN et entre le DNS détecté où vous voyez vos DNS du FAI, alors votre système n’est pas protégé pour les connaisseurs le mieux et de passer par un serveur en ayant 2 vpn un vpn sur votre ordinateur et un autre sur un serveur là vous êtes protégé à 1000%
    Je conseille à tous de vous acheter un serveur vous en avez pas cher pour les connaisseurs si vous avez des questions n’hésiter pas

    • Un navigateur internet quel qu’il soit n’est en rien responsable des fuites DNS ou “WebRTC IP”. Concernant la détection “WEBRTC IP” elle est facilement résolue en utilisant par exemple une extension via son navigateur web.

      A propos des fuites DNS, là encore je crois que beaucoup de gens n’ont pas bien saisi le déroulement du test IPLEAK en ligne. Lorsque vous réalisez ce test en ligne IPLEAK.NET, SEULE L’ADRESSE IP DE VOTRE SERVEUR VPN DOIT S’AFFICHER.

      SI VOUS VISUALISEZ L’IP DE VOTRE SERVEUR VPN DANS LA DETECTION WEBRTC C’EST MORT! VOUS N’ETES PAS ANONYMES ET NI PROTÉGÉ !

      SI VOUS VOYEZ LES ADRESSES DNS DE VOS SERVEURS DNS VPN OU DE VOTRE FAI OU N’IMPORTE QUELLE ADRESSE IP, C’EST MORT !!! VOUS N’ETES PAS ANONYMES ET NI PROTÉGÉ.

      En résumé, la détection IPLEAK.NET ne doit afficher aucune adresse IP dans la détection WebRTC et la détection DNS !

      Grossomodo, voici comment procéder avec n’importe quelle solution VPN. Installez DNSCrypt (par exemple) d’OpenDNS. Puis vous devez DÉGAGER SEC le Client DNS Windows et le cache DNS Windows tout de suite !!! DNSCrypt configurera automatiquement votre DNS en localhost (127.0.0.1) sur vos propriétés TCP/IP (Windows). Ensuite sélectionnez par exemple “Ipredator.se Server” via la console “DNSCrypt”, et refaites le test IPLEAK.NET. Vous découvrirez avec surprise qu’il n’y plus aucune fuites DNS ! 🙂 Même en activant l’exécution javascript du navigateur !

      EN RÉALITÉ CEUX SONT LES SERVEURS DNS DE VOTRE SOLUTION VPN QUI CRÉENT LE BOXON DANS VOTRE ANONYMAT RELATIF.

      Pour les fans du navigateur Tor, idem ! Faites une dizaine de test IPLEAK.NEt en activant l’exécution javascrip (sinon le test en ligne ne fonctionnera pas il sera faussé). Pour chaque test changer le circuit Tor, et vous constaterez une fuites DNS !

      Une astuce parmi d’autre est d’ISOLER TOTALEMENT sa machine hôte (physisque) d’internet et de son résau local. Ensuite utilisez un Client VPN payant sérieux. Puis trnsitez par le réseau Tor pour naviguer sur le Web (Tor Browser) 🙂

      Disons que votre anonymat et votre protection seront meilleurs…

      Pour les plus curieux installez “PeerBlock” et vous constaterez certainement de drôles de choses sur le port HTTPS 443 notamment… !! LoL!! 🙂

      L’anonymat est un leurre ! Il est relatif…

      En espérant vous avoir aidé, je vous souhaite mes sincères salutations 🙂
      See you later…

      • Bonsoir,
        Je viens de me mettre au VPN avec private Internet access qui est ma foi plutôt performant et peu cher. Me renseignant sur les leaks, je m’attarde sur le dns.
        Vous dites: “SI VOUS VOYEZ LES ADRESSES DNS DE VOS SERVEURS DNS VPN OU DE VOTRE FAI OU N’IMPORTE QUELLE ADRESSE IP, C’EST MORT !!! VOUS N’ETES PAS ANONYMES ET NI PROTÉGÉ.”.
        En quoi le fait de voir l’IP de mon vpn en resultat d’un test DNSleak est-il préjudiciable?
        En appliquant la solution DNScrypt j’ai toujours une IP d’affichée (celle du serveur que j’ai choisi en configurant DNScrypt).
        Soit je m’y suis mal pris, soit vouv vous êtes mal exprimé. Dans tout les cas pourriez-vous s’il vous plaît m’apporter un peu de lumière sur ce point?
        Je vous remercie. Bien à vous.

  2. Cette première astuce concerne la faille web rtc ..
    Pour les fuites de DNS il suffit d’ouvrir Cmd en administrateur et de taper ipconfig /flushdns. Il faut impérativement le faire avant de se connecter au vpn et une fois que vpn est connecté… après le choix des DNS c est un tout autre sujet.

  3. Il faut penser a boucher les fuites DNS et la faille de navigateur Webrtc..
    Vous avez juste a taper dans la barre d adresse:
    about:config et chercher l’option “media.peerconnection.enabled” pour la passer à “False”.

  4. Merci pour l’article, je n’y connais pas grand chose mais ai tout compris grâce à toi !
    Et en effet j’ai un vpn qui change mon IPV4 mais pas mon IPV6. J’ai remarqué ça par hasard, en fouillant un peu. Pour les personnes qui ne le savent pas mais pour lesquelles l’anonymat est vraiment important, c’est un putain de problème !

Les commentaires sont fermés.