Comment se produisent les fuites de VPN
Les bases de l'utilisation d'un VPN sont assez simples: vous installez un package logiciel sur votre ordinateur, votre appareil ou votre routeur (ou utilisez son logiciel VPN intégré). Ce logiciel capture tout le trafic de votre réseau et le redirige, via un tunnel crypté, vers un point de sortie distant. Pour le monde extérieur, tout votre trafic semble provenir de ce point distant plutôt que de votre emplacement réel. Ceci est idéal pour la confidentialité (si vous voulez vous assurer que personne entre votre appareil et le serveur de sortie ne voit ce que vous faites), c'est idéal pour le saut de frontière virtuel (comme regarder des services de streaming américains en Australie), et c'est un excellent moyen dans l'ensemble pour masquer votre identité en ligne.
Cependant, la sécurité informatique et la vie privée sont toujours un jeu de chat et de souris. Aucun système n'est parfait, et avec le temps, des vulnérabilités sont mises à jour qui peuvent compromettre votre sécurité - et les systèmes VPN ne font pas exception. Voici les trois principaux moyens par lesquels votre VPN peut divulguer vos informations personnelles.
Protocoles et bugs défectueux
En 2014, il a été démontré que le bogue Heartbleed, largement diffusé, divulguait l'identité des utilisateurs de VPN. Début 2015, une vulnérabilité de navigateur Web a été découverte, qui permet à un tiers d'envoyer une demande à un navigateur Web afin de révéler la véritable adresse IP de l'utilisateur (contournant l'obfuscation fournie par le service VPN).
Ces types de vulnérabilités sont les pires car elles sont impossibles à prévoir, les entreprises tardent à les corriger et vous devez être un consommateur averti pour que votre fournisseur de réseau privé virtuel gère correctement les menaces connues et nouvelles. Néanmoins, une fois qu’ils sont découverts, vous pouvez prendre des mesures pour vous protéger (comme nous le soulignerons dans un instant).
Fuites DNS
Même en l'absence de bogues et de failles de sécurité, le problème des fuites DNS (toujours dû à de mauvais choix de configuration par défaut du système d'exploitation, à une erreur d'utilisateur ou à une erreur de fournisseur VPN) est toujours présent. Les serveurs DNS convertissent les adresses conviviales que vous utilisez (comme www.facebook.com) en adresses conviviales pour les machines (telles que 173.252.89.132). Si votre ordinateur utilise un serveur DNS différent de celui de votre VPN, il peut vous donner des informations vous concernant.
Les fuites DNS ne sont pas aussi graves que les fuites IP, mais elles peuvent toujours révéler votre emplacement. Si, par exemple, votre fuite DNS indique que vos serveurs DNS appartiennent à un petit fournisseur de services Internet, cela réduit considérablement votre identité et vous permet de vous localiser rapidement.
Tout système peut être vulnérable à une fuite de DNS, mais Windows est historiquement l’un des pires contrevenants, en raison de la manière dont le système d’exploitation traite les requêtes et la résolution DNS. En fait, la gestion des DNS par Windows 10 avec un VPN est si grave que la branche de la sécurité informatique du département de la Sécurité intérieure des États-Unis, Computer Emergency Readiness Team, a publié un exposé sur le contrôle des requêtes DNS en août 2015.
Fuites IPv6
Enfin, le protocole IPv6 peut provoquer des fuites pouvant révéler votre localisation.et permettre à des tiers de suivre vos déplacements sur Internet. Si vous n’êtes pas familier avec IPv6, consultez notre explicatif ici: il s’agit essentiellement de la prochaine génération d’adresses IP et de la solution au manque d’adresses IP dans le monde entier, car le nombre de personnes (et de leurs produits connectés à Internet) grimpe en flèche.
Même si IPv6 est idéal pour résoudre ce problème, il n’est pas aussi bon pour le moment pour les personnes soucieuses de la vie privée.
Bref récit: certains fournisseurs de VPN traitent uniquement les requêtes IPv4 et ignorent les requêtes IPv6. Si votre configuration réseau et votre fournisseur d'accès Internet sont mis à niveau pour prendre en charge IPv6mais votre VPN ne traite pas les demandes IPv6, vous pouvez vous retrouver dans une situation où un tiers peut faire des demandes IPv6 qui révèlent votre véritable identité (parce que le VPN les transmet aveuglément à votre réseau / ordinateur local, qui répond honnêtement à la demande ).
À l’heure actuelle, les fuites IPv6 sont la source la moins menaçante de données divulguées. Le monde a été si lent à adopter IPv6 que, dans la plupart des cas, votre FAI, même en le supportant, vous protège du problème. Néanmoins, vous devez être conscient du problème potentiel et vous protéger de manière proactive contre celui-ci.
Comment vérifier les fuites
Alors, où tout cela vous laisse-t-il, l'utilisateur final, en matière de sécurité? Cela vous laisse dans une position où vous devez être activement vigilant concernant votre connexion VPN et tester fréquemment votre propre connexion pour vous assurer qu'elle ne fuit pas. Ne paniquez pas, cependant: nous allons vous guider tout au long du processus de test et de correction des vulnérabilités connues.
La vérification des fuites est une affaire assez simple - bien qu’il soit plus difficile de les corriger, comme on le verra dans la section suivante. Internet regorge de personnes soucieuses de la sécurité et les ressources disponibles en ligne ne manquent pas pour vous aider à vérifier les vulnérabilités de connexion.
Remarque: Bien que vous puissiez utiliser ces tests de fuite pour vérifier si votre navigateur Web mandaté diffuse des informations, les mandataires sont une bête complètement différente des VPN et ne doivent pas être considérés comme un outil de confidentialité sécurisé.
Première étape: Trouvez votre adresse IP locale
Commencez par déterminer l’adresse IP réelle de votre connexion Internet locale. Si vous utilisez votre connexion domestique, il s’agit de l’adresse IP fournie par votre fournisseur de services Internet (ISP). Si vous utilisez le Wi-Fi dans un aéroport ou un hôtel, par exemple, il s’agit de l’adresse IP deleur FAI. Quoi qu'il en soit, nous devons déterminer à quoi ressemble une connexion nue entre votre emplacement actuel et Internet.
Notez cette adresse, car c’est l’adresse que vous avezne pas veux voir apparaître dans le test VPN que nous allons mener sous peu.
Deuxième étape: exécuter le test de fuite de référence
Ensuite, déconnectez votre VPN et lancez le test de fuite suivant sur votre ordinateur. C’est vrai, nous ne pas voulez que le VPN fonctionne pour l'instant - nous devons d'abord obtenir des données de base.
Pour nos besoins, nous allons utiliser IPLeak.net, car il teste simultanément votre adresse IP, si votre adresse IP présente une fuite via WebRTC et les serveurs DNS que votre connexion utilise.
De plus, toutes les entrées DNS de la «Détection d’adresse DNS» en bas concordent avec les paramètres DNS de notre machine (notre ordinateur est configuré pour se connecter aux serveurs DNS de Google). Donc, pour notre test de fuite initial, tout est vérifié, puisque nous ne sommes pas connectés à notre VPN.
Lors du test final, vous pouvez également vérifier si votre ordinateur présente une fuite d'adresses IPv6 avec IPv6Leak.com. Comme nous l'avons mentionné précédemment, même s'il s'agit d'un problème rare, le fait d'être proactif ne fait jamais de mal.
Il est maintenant temps d’allumer le VPN et d’effectuer plus de tests.
Troisième étape: connectez-vous à votre VPN et relancez le test de fuite
Il est maintenant temps de vous connecter à votre VPN. Quelle que soit la routine requise par votre VPN pour établir une connexion, le moment est venu de l'exécuter: démarrez le programme VPN, activez le VPN dans les paramètres de votre système ou utilisez la méthode de connexion habituelle.
Une fois la connexion établie, il est temps de relancer le test de fuite. Cette fois, nous devrions (espérons-le) voir des résultats totalement différents. Si tout fonctionne parfaitement, nous aurons une nouvelle adresse IP, aucune fuite WebRTC et une nouvelle entrée DNS. Encore une fois, nous allons utiliser IPLeak.net:
Dans la capture d'écran ci-dessus, vous pouvez voir que notre VPN est actif (car notre adresse IP indique que nous sommes connectés depuis les Pays-Bas au lieu des États-Unis) et que notre adresse IP détectée estet les adresses WebRTC sont les mêmes (ce qui signifie que nous ne divulguons pas notre adresse IP réelle via la vulnérabilité WebRTC).
Cependant, les résultats DNS en bas montrent les mêmes adresses qu'auparavant, en provenance des États-Unis, ce qui signifie que notre VPN laisse fuir nos adresses DNS.
Ce n’est pas la fin du monde du point de vue de la confidentialité, dans ce cas particulier, puisque nous utilisons les serveurs DNS de Google au lieu de ceux de notre fournisseur de services Internet. Mais il indique toujours que nous appartenons aux États-Unis et qu’il indique toujours que notre VPN laisse filtrer des requêtes DNS, ce qui n’est pas bon.
REMARQUE: Si votre adresse IP n’a pas changé du tout, il n’ya probablement pas de «fuite». Au lieu de cela, 1) votre VPN est configuré de manière incorrecte et ne se connecte pas du tout, ou 2) votre fournisseur de VPN a totalement perdu la balle et vous devez contacter sa ligne d'assistance et / ou trouver un nouveau fournisseur de VPN.
De même, si vous avez exécuté le test IPv6 dans la section précédente et avez constaté que votre connexion répondait aux requêtes IPv6, vous devez également réexécuter le test IPv6 maintenant pour voir comment votre VPN traitait les requêtes.
Alors que se passe-t-il si vous détectez une fuite? Parlons de la façon de les gérer.
Comment prévenir les fuites
Bien qu’il soit impossible de prévoir et d’empêcher toutes les vulnérabilités de sécurité potentielles, nous pouvons facilement empêcher les vulnérabilités de WebRTC, les fuites DNS et d’autres problèmes. Voici comment vous protéger.
Utiliser un fournisseur de VPN réputé
Tout d’abord, vous devez utiliser un fournisseur de réseau privé virtuel réputé qui tient ses utilisateurs au courant de ce qui se passe dans le monde de la sécurité (ils feront les devoirs afin que vous n’ayez pas à le faire), et agit sur ces informations pour boucher les trous de manière proactive (et vous avertir lorsque vous devez apporter des modifications). À cette fin, nous recommandons vivement StrongVPN - un excellent fournisseur de VPN que nous avons non seulement recommandé auparavant, mais que nous utilisons nous-mêmes.
Vous voulez un test rapide et sale pour voir si votre fournisseur de VPN est digne de confiance à distance? Lancez une recherche sur leur nom et leurs mots clés, tels que «WebRTC», «ports perdus» et «fuites IPv6». Si votre fournisseur n'a pas de blog public ni de documentation de support traitant de ces problèmes, vous ne souhaiterez probablement pas utiliser ce fournisseur de réseau privé virtuel, car ils ne parviennent pas à adresser et à informer leurs clients.
Désactiver les requêtes WebRTC
Si vous utilisez Chrome, Firefox ou Opera en tant que navigateur Web, vous pouvez désactiver les demandes WebRTC pour fermer la fuite WebRTC.Les utilisateurs de Chrome peuvent télécharger et installer l'une des deux extensions Chrome: WebRTC Block ou ScriptSafe. Les deux vont bloquer les requêtes WebRTC, mais ScriptSafe présente l'avantage supplémentaire de bloquer les fichiers JavaScript, Java et Flash malveillants.
Les utilisateurs d’Opera peuvent, moyennant quelques modifications mineures, installer des extensions Chrome et utiliser les mêmes extensions pour protéger leurs navigateurs. Les utilisateurs de Firefox peuvent désactiver la fonctionnalité WebRTC à partir du menu about: config. Il suffit de taper
about:config
dans la barre d’adresse de Firefox, cliquez sur le bouton «Je ferai attention», puis faites défiler la liste jusqu’à ce que le message
media.peerconnection.enabled
entrée. Double-cliquez sur l'entrée pour la basculer sur «faux».
Plug DNS et les fuites IPv6
Le branchement des fuites DNS et IPv6 peut être extrêmement ennuyeux ou facile à réparer, selon le fournisseur de réseau privé virtuel que vous utilisez. Dans le meilleur des cas, vous pouvez simplement demander à votre fournisseur VPN, via les paramètres de votre VPN, de brancher les trous DNS et IPv6, et le logiciel VPN se chargera de tout.
Si votre logiciel VPN ne fournit pas cette option (et qu’il est assez rare de trouver un logiciel qui modifiera votre ordinateur de cette manière), vous devrez définir manuellement votre fournisseur DNS et désactiver IPv6 au niveau du périphérique. Même si vous avez un logiciel VPN utile qui fera le gros du travail pour vous, nous vous recommandons toutefois de lire les instructions suivantes sur la façon de modifier manuellement les éléments afin de pouvoir vérifier que votre logiciel VPN apporte les modifications correctes.
Nous montrerons comment procéder sur un ordinateur exécutant Windows 10, car Windows est un système d'exploitation très répandu.et parce qu’il présente également une fuite incroyable (par rapport à d’autres systèmes d’exploitation). La fuite de Windows 8 et 10 est due à une modification de la manière dont Windows a géré la sélection du serveur DNS.
Dans Windows 7 et les versions ultérieures, Windows utiliserait simplement les serveurs DNS que vous avez spécifiés dans l’ordre dans lequel vous les avez spécifiés (ou, dans le cas contraire, uniquement ceux spécifiés au niveau du routeur ou du fournisseur de services Internet). À partir de Windows 8, Microsoft a introduit une nouvelle fonctionnalité appelée «Résolution nommée intelligente multi-hébergée». Cette nouvelle fonctionnalité a changé la manière dont Windows traitait les serveurs DNS. Pour être juste, cela accélère réellement la résolution DNS pour la plupart des utilisateurs, si les serveurs DNS principaux sont lents ou ne répondent pas. Pour les utilisateurs de VPN, toutefois, cela peut provoquer des fuites DNS, Windows pouvant se rabattre sur des serveurs DNS autres que ceux affectés au VPN.
Le moyen le plus sûr de résoudre ce problème dans Windows 8, 8.1 et 10 (éditions Home et Pro) consiste à définir simplement les serveurs DNS manuellement pour toutes les interfaces.
Pour chaque carte réseau, décochez «Internet Protocol Version 6» pour vous protéger contre les fuites IPv6. Ensuite, sélectionnez “Internet Protocol Version 4” et cliquez sur le bouton “Propriétés”.
Répétez cette procédure en spécifiant les adresses DNS de chaque adaptateur sur votre ordinateur compatible VPN afin de vous assurer que Windows ne pourra jamais avoir recours à la mauvaise adresse DNS.
Les utilisateurs de Windows 10 Pro peuvent également désactiver l'intégralité de la fonctionnalité de résolution nommée Smart Multi-Homed via l'éditeur de stratégie de groupe, mais nous vous recommandons également de suivre les étapes ci-dessus (au cas où une mise à jour ultérieure l'activerait, votre ordinateur commencerait à perdre des données DNS).
Pour ce faire, appuyez sur Windows + R pour afficher la boîte de dialogue Exécuter, entrez «gpedit.msc» pour lancer l'éditeur de stratégie de groupe locale et, comme indiqué ci-dessous, accédez à Modèles d'administration> Réseau> Client DNS. Recherchez l'entrée «Désactiver la résolution de noms intelligente multi-hébergée».
Donc, avec tous ces changements adoptés, à quoi ressemble notre test de fuite maintenant?
Jouer au jeu Private Investigator sur votre propre connexion n’est pas une façon passionnante de passer une soirée, mais c’est une étape nécessaire pour vous assurer que votre connexion VPN ne soit pas compromise et que vos informations personnelles ne fuient pas. Heureusement, avec l'aide des bons outils et un bon VPN, le processus est simple et vos informations IP et DNS restent confidentielles.
