Le "safe Internet" est-il une utopie ? Comment surfer anonymement et échanger des données confidentielles ?

Katleen Erna · 24/06/2010, 05h34

Le "safe Internet" est-il une utopie ? Comment surfer anonymement et échanger des données confidentielles aujourd'hui ?

Les réseaux privés virtuels (ou VPN, pour Virtual Private Network) sont actuellement largement utilisés de par le monde. Ils sont censés fournir une protection des données échangées entre deux réseaux locaux, en chiffrant les informations qu'ils échangent via un "tunnel". Les données transitent sur le Net en version cryptée et ne sont théoriquement décodables que par les réseaux locaux expéditeurs et destinataires, seuls possesseurs du code permettant de les déchiffrer.

Des sites très populaires s'appuient sur des VPN basés sur le protocole PPTP pour garantir l'anonymat de leurs utilisateurs. Par exemple, le fameux IPREDator de The Pirate Bay.

Récemment, un chercheur se faisant appeler "Agent Kugg", s'est attaqué à ce VPN, tout en précisant que les autres services du même type étaient également vulnérables aux failles qu'il a présentées.

Donc, dans le cas de The Pirate Bay, il raconte avec quelle facilité il a pu casser la clé d'encodage des transmissions. Il lui a suffit de quelques minutes, "tout le monde peut le faire", ajoute-t-il.

Il explique que comme le VPN est considéré comme un réseau local, il peut permettre à un autre utilisateur du même VPN de récupèrer le nom et l'adresse MAC de votre ordinateur.

Ensuite, rien de plus facile pour l'individu, s'il est mal intentionné, que de récupérer votre identifiant et votre mot de passe VPN et d'accèder ainsi à toutes vos données partagées.

Cette faille d'une simplicité extrême n'est pourtant pas la pire, d'après le chercheur.

De plus grands risques encore viendraient des connexions via une IPv6. L'agent Kugg explique : en cas de connexion à un contenu hébergé en ligne avec une IPv6, si la machine est compatible (Windows Vista, 7, etc.) elle répondra en envoyant la véritable adresse IP de l'internaute ainsi que son adresse MAC.

Cette technique est notamment utilisée sur Bit Torrent pour identifier les personnes coupables de téléchargements illégaux.

Certaines firmes et agences gouvernementales exploitent ces failles pour obtenir l'identité de contrevenants ou de toute autre personne qu'ils ciblent. De quoi faire peur.

Comment s'en prémunir ?

La seule solution actuellement consiste à désactiver le support de l'IPv6 pendant le surf, explique le spécialiste tout en rappelant qu'un firewall local sera impuissant à contrer cette vulnérabilité, puisque le VPN et les données en provenant sont considérées comme dignes de confiance.

Alors comment être anonyme sur le Net aujourd'hui ?

Source : L'intervention de l'Agent Kugg lors de la Telecomix Cyphernetics Assembly en Suède (à partir de 2h17 dans la vidéo) : http://bambuser.com/channel/telecomix/broadcast/832366

L'agent Kugg a également présenté d'autres failles présentes dans des alternatives au VPN : FTP, proxy... Des problèmes venant de faiblesses du proxy, d'extensions FireFox, du lecteur Flash, etc.
Toutes sont utilisées par les gouvernements. Que pensez-vous de l'utilisation de ces failles par les autorités ?

Comment surfer et échanger des fichiers de manière anonyme et fiable ?

buzzkaido · 24/06/2010, 08h54

Si mes souvenirs sont bons, ce n'est pas la première fois que des failles sont découvertes sur le protocole PPTP.

Par contre, je me demande bien ce qu'il en est du protocole OpenVPN ?

Citation:

L'agent Kugg a également présenté d'autres failles présentes dans des alternatives au VPN : FTP, proxy... Des problèmes venant de faiblesses du proxy, d'extensions FireFox, du lecteur Flash, etc.

Si on est connecté via un VPN qui fait bien son boulot, l'exploitation d'une faille FTP/Flash/autre renverra toujours l'identité du VPN, non ?

alex61 · 24/06/2010, 09h38

Citation:

Comment surfer et échanger des fichiers de manière anonyme et fiable ?

proxy , non ?

Firwen · 24/06/2010, 12h36

Citation:

proxy , non ?

Proxy, I2P, TOR, VPN ou simple redirection de ports via ssh.

Son argumentation sur IPV6 me parait douteuse.

Sauf erreur de ma part, l'adresse MAC est couche 2, donc ne dépasse pas votre FAI et donc n'est pas détectable par le premier pelerin venu.

Quant à l'IPv6, le risque vient surtout du fait qu'on peut en attribuer une immuable par personne. Mais est-ce le cas actuellement ?

Pasokoniidesuka · 24/06/2010, 13h13

Je ne sais pas exactement comment marche un VPN mais si ça fonctionne comme un réseau local alors les adresses MAC sont diffusées sur le réseau privé virtuel. En tout cas ça dépend si on fait aussi transiter les requêtes ARP je pense. Mais bon c'est une hypothèse. J'en sais rien en fait.

unBonGars · 24/06/2010, 13h50

Je n'utilise pas de protocole d'échange crypté. Il me semble que les notions de protocole et de cryptage sont subtilement antinomiques. Si le protocole est vraiment incassable, on risque de se voir accusé de passer dieu sait quoi , si il est trop cassable, il ne sert à rien.

Je transporte mes données sensibles sur clé usb après cryptage par AxCrypt au cas ou on ma clé se ferait détourner...

Mais quid d'utiliser ce type de logiciel sur machine locale avant d'envoyer quoi que ce soit sur la ligne... Un serveur d'échange n'est-il pas par définition une passoire ??

Si ça se trouve, le pirate possède le sniffeur qui décrypte automatiquement le protocole machin bidule, pas de pot !! Si ça se trouve, il n'a jamais entendu parler de cryptage et il ne sait pas que ça existe, il utilise juste le BON sniffeur

La sécurité est un sujet bizarre qui révèle souvent la personnalité de ceux qui en parlent. L'internet n'est PAS sûr !! il ne l'a jamais été et ne le sera jamais. Le disque dur d'une machine connectée à l'internet est un poil plus sûr mais pas de beaucoup, à condition d'avoir installé des suites de sécurité qui sont -du moins je l'espère- franchissables par les services de MON gouvernement (le mien à moi). Pour être vraiment peinard , il faut une machine protégée et déconnectée sur laquelle on peut décrypter les fichiers, bosser avec , ré-encrypter.
Le reste est un peu du vent.
Ou bien la sécurité des échanges relève d'une hierarchie qui dit : encrypte avec xyz.exe car tout le monde le fait. Dans ce cas, je suis déresponsabilisé du problème et si des données vont là où il faut pas, je me contenterai de dire que j'ai suivi la "procédure"...
Mais voilà, personne ne veut en parler et encore moins prendre une responsabilité en cas de problème. Donc , la procédure , c'est @minima et si possible , elle provient d'un livre qui permettra à l'admin de dire qu'il a "appliqué la procédure du livre"..

Il y a ce vieux truc du gars qui roule sur un vieux bicloune pourri pour ne pas se le faire piquer. Profil bas. L'air de rien. S'il est une politique de sécurité qui fonctionne , elle passe en tous cas par un minimum de discrétion..

La paranoïa n'est pas une façon de vivre. Aussi faut il réfléchir à tout cela un bon coup, appliquer les règles et ne plus y penser.. jusqu'à ce qu'on les change

unBonGars · 24/06/2010, 14h23

Citation:

Envoyé par Firwen

Proxy, I2P, TOR, VPN ou simple redirection de ports via ssh.

Son argumentation sur IPV6 me parait douteuse.

Sauf erreur de ma part, l'adresse MAC est couche 2, donc ne dépasse pas votre FAI et donc n'est pas détectable par le premier pelerin venu.

Quant à l'IPv6, le risque vient surtout du fait qu'on peut en attribuer une immuable par personne. Mais est-ce le cas actuellement ?

Pas dans un avenir prévisible, il faudrait s'enregistrer en préfecture au service des cartes grises IP

Alors l'adresse v6 vous serait attribuée à vie et tamponnée sur le permis de respirer ...

Quel que soit l'argument il faudra des lustres pour que notre administration comprenne les subtilités d' ipv6.

Anyway, il faudrait changer de profil pour chaque utilisateur d'une machine, ce qui suppose une identification à chaque accès ou un changement drastique de la quincaillerie informatique actuelle. L'ironie du sort est qu'on utilise ipV6 en s'iposant les mêmes contraintes qu'avec V4 , DHCP etc..

L'attribution dynamique d'ip est tellement entrée dans les moeurs que toutes les procédures gouvenementales s'appuient dessus. Il faudrait un electrochoc terrible pour que ça évolue. En attendant V6 offre un surcroit d'adresses que les pro pourront exploiter en donnant un ip fixe à tous les devices.. Pour les humains , il faudrait mettre à jour l'administration , quand je vois le temps qu'il a fallu pour que les sites web ne relèvent plus de la loi sur le dépôt légal datant de François Premier.... V6 restera un havre pour les éditeurs, les geeks et peut être les pirates ! (qui bossent aussi parfois je suppose)

Firwen · 24/06/2010, 14h49

Citation:

Pas dans un avenir prévisible, il faudrait s'enregistrer en préfecture au service des cartes grises IP Alors l'adresse v6 vous serait attribuée à vie et tamponnée sur le permis de respirer ...

C'est pas si simple, de nos jours les pc ont une IP, les téléphones ont une IP, les box TV ont une IP, même certaines voitures ont une IP.

Une attribution une IP par personne est impossible, une pool d'ip par personne serait déja plus envisageable.
Mais une attribution pareil serait un magnifique nid à problème :
Comment faire lorsque le pc change d'utilisateur ? dans le cas d'un device mobile ? d'un device partagé ( TV, auto, etc) ? ou comment identifier un pc qui se connecte à une borne ?
Sans parler des problèmes en cas d'utilisation d'une Ip qui n'est pas la notre

.

Ah moins que nos brillants dirigeants decident de perséverer dans la stupidité ( Hadopi... ), l'allocation dynamique reste la meilleure solution même en V6.

ILP · 24/06/2010, 16h16

Citation:

Envoyé par Firwen

Sauf erreur de ma part, l'adresse MAC est couche 2, donc ne dépasse pas votre FAI et donc n'est pas détectable par le premier pelerin venu.

Le problème c'est que l'adresse MAC de la machine est utilisée pour former l'adresse IPv6 (cf Wikipédia), donc l'adresse MAC risque de se retrouver également sur la couche réseau

.

Firwen · 24/06/2010, 18h03

Citation:

Le problème c'est que l'adresse MAC de la machine est utilisé pour former l'adresse IPv6 (cf Wikipédia), donc l'adresse MAC risque de se retrouver également sur la couche réseau

Merci j'avais zappé cette possibilité.

Ceci dit, ce n'est pas une obligation de générer les adresses v6 à partir du MAC de la carte réseau, c'est juste une possibilité.

24/06/2010, 05h34	#1
Katleen Erna Expert Confirmé Sénior Inscription : juillet 2009 Messages : 1 553 Détails du profil Informations personnelles : Localisation : France, Paris (Île de France) Informations forums : Inscription : juillet 2009 Messages : 1 553 Points : 71 052 Points : 71 052	Le "safe Internet" est-il une utopie ? Comment surfer anonymement et échanger des données confidentielles ? Le "safe Internet" est-il une utopie ? Comment surfer anonymement et échanger des données confidentielles aujourd'hui ? Les réseaux privés virtuels (ou VPN, pour Virtual Private Network) sont actuellement largement utilisés de par le monde. Ils sont censés fournir une protection des données échangées entre deux réseaux locaux, en chiffrant les informations qu'ils échangent via un "tunnel". Les données transitent sur le Net en version cryptée et ne sont théoriquement décodables que par les réseaux locaux expéditeurs et destinataires, seuls possesseurs du code permettant de les déchiffrer. Des sites très populaires s'appuient sur des VPN basés sur le protocole PPTP pour garantir l'anonymat de leurs utilisateurs. Par exemple, le fameux IPREDator de The Pirate Bay. Récemment, un chercheur se faisant appeler "Agent Kugg", s'est attaqué à ce VPN, tout en précisant que les autres services du même type étaient également vulnérables aux failles qu'il a présentées. Donc, dans le cas de The Pirate Bay, il raconte avec quelle facilité il a pu casser la clé d'encodage des transmissions. Il lui a suffit de quelques minutes, "tout le monde peut le faire", ajoute-t-il. Il explique que comme le VPN est considéré comme un réseau local, il peut permettre à un autre utilisateur du même VPN de récupèrer le nom et l'adresse MAC de votre ordinateur. Ensuite, rien de plus facile pour l'individu, s'il est mal intentionné, que de récupérer votre identifiant et votre mot de passe VPN et d'accèder ainsi à toutes vos données partagées. Cette faille d'une simplicité extrême n'est pourtant pas la pire, d'après le chercheur. De plus grands risques encore viendraient des connexions via une IPv6. L'agent Kugg explique : en cas de connexion à un contenu hébergé en ligne avec une IPv6, si la machine est compatible (Windows Vista, 7, etc.) elle répondra en envoyant la véritable adresse IP de l'internaute ainsi que son adresse MAC. Cette technique est notamment utilisée sur Bit Torrent pour identifier les personnes coupables de téléchargements illégaux. Certaines firmes et agences gouvernementales exploitent ces failles pour obtenir l'identité de contrevenants ou de toute autre personne qu'ils ciblent. De quoi faire peur. Comment s'en prémunir ? La seule solution actuellement consiste à désactiver le support de l'IPv6 pendant le surf, explique le spécialiste tout en rappelant qu'un firewall local sera impuissant à contrer cette vulnérabilité, puisque le VPN et les données en provenant sont considérées comme dignes de confiance. Alors comment être anonyme sur le Net aujourd'hui ? Source : L'intervention de l'Agent Kugg lors de la Telecomix Cyphernetics Assembly en Suède (à partir de 2h17 dans la vidéo) : http://bambuser.com/channel/telecomix/broadcast/832366 L'agent Kugg a également présenté d'autres failles présentes dans des alternatives au VPN : FTP, proxy... Des problèmes venant de faiblesses du proxy, d'extensions FireFox, du lecteur Flash, etc. Toutes sont utilisées par les gouvernements. Que pensez-vous de l'utilisation de ces failles par les autorités ? Comment surfer et échanger des fichiers de manière anonyme et fiable ?
	20

24/06/2010, 13h13	#5
Pasokoniidesuka Membre du Club Opérateur Inscription : novembre 2006 Messages : 76 Détails du profil Informations professionnelles : Activité : Opérateur Informations forums : Inscription : novembre 2006 Messages : 76 Points : 58 Points : 58	Je ne sais pas exactement comment marche un VPN mais si ça fonctionne comme un réseau local alors les adresses MAC sont diffusées sur le réseau privé virtuel. En tout cas ça dépend si on fait aussi transiter les requêtes ARP je pense. Mais bon c'est une hypothèse. J'en sais rien en fait.
	00

24/06/2010, 13h50	#6
unBonGars Membre éprouvé Lionel Inscription : décembre 2008 Messages : 305 Détails du profil Informations personnelles : Nom : Lionel Localisation : France, Paris (Île de France) Informations forums : Inscription : décembre 2008 Messages : 305 Points : 429 Points : 429	Je n'utilise pas de protocole d'échange crypté. Il me semble que les notions de protocole et de cryptage sont subtilement antinomiques. Si le protocole est vraiment incassable, on risque de se voir accusé de passer dieu sait quoi , si il est trop cassable, il ne sert à rien. Je transporte mes données sensibles sur clé usb après cryptage par AxCrypt au cas ou on ma clé se ferait détourner... Mais quid d'utiliser ce type de logiciel sur machine locale avant d'envoyer quoi que ce soit sur la ligne... Un serveur d'échange n'est-il pas par définition une passoire ?? Si ça se trouve, le pirate possède le sniffeur qui décrypte automatiquement le protocole machin bidule, pas de pot !! Si ça se trouve, il n'a jamais entendu parler de cryptage et il ne sait pas que ça existe, il utilise juste le BON sniffeur La sécurité est un sujet bizarre qui révèle souvent la personnalité de ceux qui en parlent. L'internet n'est PAS sûr !! il ne l'a jamais été et ne le sera jamais. Le disque dur d'une machine connectée à l'internet est un poil plus sûr mais pas de beaucoup, à condition d'avoir installé des suites de sécurité qui sont -du moins je l'espère- franchissables par les services de MON gouvernement (le mien à moi). Pour être vraiment peinard , il faut une machine protégée et déconnectée sur laquelle on peut décrypter les fichiers, bosser avec , ré-encrypter. Le reste est un peu du vent. Ou bien la sécurité des échanges relève d'une hierarchie qui dit : encrypte avec xyz.exe car tout le monde le fait. Dans ce cas, je suis déresponsabilisé du problème et si des données vont là où il faut pas, je me contenterai de dire que j'ai suivi la "procédure"... Mais voilà, personne ne veut en parler et encore moins prendre une responsabilité en cas de problème. Donc , la procédure , c'est @minima et si possible , elle provient d'un livre qui permettra à l'admin de dire qu'il a "appliqué la procédure du livre".. Il y a ce vieux truc du gars qui roule sur un vieux bicloune pourri pour ne pas se le faire piquer. Profil bas. L'air de rien. S'il est une politique de sécurité qui fonctionne , elle passe en tous cas par un minimum de discrétion.. La paranoïa n'est pas une façon de vivre. Aussi faut il réfléchir à tout cela un bon coup, appliquer les règles et ne plus y penser.. jusqu'à ce qu'on les change
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email