38 réponses à ce sujet

[Ravaged]

Si je vous demande quelle est la meilleure protection pour votre anonymat sur internet??
La plupart d'entre-vous me répondront......Le vpn !!

Et bien l'efficacité du VPN vient d'être contestée, à cause d'une faille d'IPv6.

Voici un pauvre copier/coller© venant de l'article de PCINpact. :
Lors de la Telecomix Cyphernetics Assembly en Suède, un chercheur se faisant appeler Agent Kugg a révélé les techniques utilisées par les gouvernements et des entreprises privées pour contourner la protection offerte par les VPN basés sur le PPTP. C'est le protocole utilisé par la majorité de ces services. Pour la démonstration, l'agent Kugg a utilisé IPREDator, le très populaire VPN proposé par The Pirate Bay. Mais il précise que les autres services sont également vulnérables.

Les failles des VPN

Pour commencer léger, il explique que le VPN étant considéré comme un réseau local, une personne connectée au même VPN que vous peut ainsi, dans certains cas, récupérer le nom de votre ordinateur, et son adresse MAC. De même, la clé d'encodage des transmissions entre vous et le VPN est très faible, et selon le chercheur « il m'a fallu quelques minutes pour la casser. N'importe qui peut le faire ». L'attaquant peut alors récupérer votre identifiant et votre mot de passe pour le VPN, et lire toutes les données échangées. Et cette faille n'est pas la pire.

Car si vous vous connectez à un contenu hébergé sur Internet avec une IPv6, une machine compatible (ce qui inclut tous les Windows Vista et Seven) répondra en envoyant votre vraie adresse IP, et votre adresse MAC. Largement de quoi vous trouver, et même assez pour prouver que le téléchargement provenait bien de votre machine. Cette technique fonctionne également pour trouver les IP des personnes téléchargeant des fichiers en utilisant le protocole BitTorrent.

Un pare-feu local même parfaitement configuré est inutile contre ces failles, puisque la connexion VPN a été configurée comme "digne de confiance", et tous les paquets en provenant sont considérés comme venant d'un réseau local sûr...

La seule ressource contre cette faille est pour l'instant de désactiver le support de l'IPv6 de la connexion :

Les gestionnaires de IPREDator sont au courant de ces problèmes, et ont assuré TorrentFreak être en train de s'en occuper.

Faut-il abandonner les VPN ?

Si vous trouvez que le VPN n'est plus assez sécurisé et souhaitez vous tourner vers d'autres solutions d'anonymisation, vous risquez d'être déçu.

Car des contournements de la protection offerte par des proxy ou par Tor ont aussi été montrés lors de la présentation, et la plupart sont extrêmement simples à mettre en place. Ainsi, afficher une image hébergée sur un FTP permettrait de récupérer la vraie IP de 50 % des utilisateurs de ces services, victimes d'une mauvaise configuration. Pire, un lecteur de vidéo Flash, un document Microsoft Word ou bien une extension FireFox se connecteront directement à Internet sans passer par le proxy. Beaucoup d'autres failles existent, certaines décrites lors de la conférence. Beaucoup de ces failles sont aussi utilisées par les gouvernements.

On le voit, préserver son anonymat sur Internet peut être beaucoup plus compliqué qu'on ne le croit. La base est évidemment d'éviter tout plugin ou extension, sources de failles de sécurité innombrables.

Voici la vidéo en anglais de la partie qui nous intéresse de cette conférence. L'agent Kugg intervient à partir de 2h17. La partie sur le Torrent commence vers 2h34 :

http://bambuser.com/v/832366

[M*G]

Les vpn de type PPTP sont les moin securisé c'est pas nouveau et c'est evidament pas la seule façon de créer une connexion vpn !

Regard les vpn avec interface TUN ou TAP (openVpn)
http://openvpn.net/
http://en.wikipedia.org/wiki/TUN/TAP

Apres entre nous pour que quelqu'un se connecte sur le meme reseau ou meme vpn, c'est que ça vien pas de la connexion vpn ^^ mais ça, c'est une autre histoire.

Et voila quoi !


@+

[Ravaged]

Oui, j'ai vu que le PPTP est chiffré en clé 40bits, et l'openVPN en 128bits, c'était pour le signaler à ceux (nombreux) qui croient qu'avec ce VPN ils sont à l'abri de tout.

[Psichopat]

Serais-ce possible que quelqu'un qui s'y connaît en VPN fasse un tuto bien clair ?
parce-que je suis un peu perdu là dedans moi ^^

Merci d'avance

[Janus24]

Psichopat, le 19 juin 2010 - 13:25, dit :

Serais-ce possible que quelqu'un qui s'y connaît en VPN fasse un tuto bien clair ?
parce-que je suis un peu perdu là dedans moi ^^

Merci d'avance

Euh un tuto pour faire quoi?

[subjack]

petite question du noob que je suis :

je désactive l ipv6 de mon vpn ou de mes deux accès ( comme j ai forcément l acces de mon FAI et celui de mon VPN en meme temps)??

[Brunho]

subjack, le 19 juin 2010 - 19:28, dit :

petite question du noob que je suis :

je désactive l ipv6 de mon vpn ou de mes deux accès ( comme j ai forcément l acces de mon FAI et celui de mon VPN en meme temps)??

bonne question

j'ai désactivé TOREDO et laissé IPv6 up, j'espère avoir bien compris les explications de Bashy ( en attendant que VyprVPN passe au OpenVPN )

[Bashy]

Je viens copier mon commentaire déjà écrit sur la news en question pour pousser mon coup de gueule ...
Il fait arrêter de dire des conneries, ce n'est pas la faute des prestataires VPN, mais du tunnel TEREDO actif par défaut sur 7/Vista...
De plus inutile de discréditer l'IPv6, on devra faire avec bientôt, que vous le vouliez ou non...
(Si vous voulez pas il y aura du WIDE-NAT)

Et pour infos... :
L'association AdresseMAC<->IPv6, ça fait bien longtemps que Windows utilise du random ... (qui est activable chez linux )
J'encourage l'utilisation des tunnelbrokers pour ceux voulant utiliser ipv6 (ou alors IPv6oVPN), et je conseille vivement de désactiver teredo, qui offre une connexion médiocre par rapport aux autres solutions.

Citation

C:\>netsh int ipv6 show privacy
Recherche du statut actif...

Paramètres d'adresses anonymes
-----------------------------------------------------
Utiliser les adresses anonymes : enabled
Tentatives de détection d'adresses en double : 5
Durée de vie maximale : 7d
Durée de vie maximale préférée : 1d
Temps de régénération : 5s
Temps aléatoire maximale : 10m
Temps aléatoire : 0s

Pour désactiver TEREDO :

Citation

netsh int ipv6 set teredo disable

[mastergb]

Merci bashy pour ces explications ca confirme ce que je pensais

[subjack]

ok a priori anonine conseille de désactiver également l ipv6 de la connexion principale :

guidetoipv6

je l ai fait je verrai bien si je rencontre des soucis ou autre!

[Bashy]

Bin oui au lieu de régler le problème (teredo) on vire complètement l'usage d'un protocole , de mieux en mieux les mentalités.

[tetsuhito]

Bashy, le 20 juin 2010 - 19:39, dit :

Je viens copier mon commentaire déjà écrit sur la news en question pour pousser mon coup de gueule ...
Il fait arrêter de dire des conneries, ce n'est pas la faute des prestataires VPN, mais du tunnel TEREDO actif par défaut sur 7/Vista...
De plus inutile de discréditer l'IPv6, on devra faire avec bientôt, que vous le vouliez ou non...
(Si vous voulez pas il y aura du WIDE-NAT)

Et pour infos... :
L'association AdresseMAC<->IPv6, ça fait bien longtemps que Windows utilise du random ... (qui est activable chez linux )
J'encourage l'utilisation des tunnelbrokers pour ceux voulant utiliser ipv6 (ou alors IPv6oVPN), et je conseille vivement de désactiver teredo, qui offre une connexion médiocre par rapport aux autres solutions.


Pour désactiver TEREDO :

Salut je suis sous win7 et je vois pas ou taper les commandes ?
J'ai essayé dans CMD et exécuter et ça ne marche pas je supposes que je me plante.
est ce que tu pourrais détaillé la marche a suivre pour les grosse buse comme moi

Bon j'ai avancé j'ai vue qu'il fallait taper
netsh interface ipv6 dans l'invité de commande avant


Par contre j'aimerais bien comment que tu m'expliques comment faire ça

Citation

J'encourage l'utilisation des tunnelbrokers pour ceux voulant utiliser ipv6 (ou alors IPv6oVPN), et je conseille vivement de désactiver teredo, qui offre une connexion médiocre par rapport aux autres solutions.

parce que là j'ai rien capter.

Toute ce que je sais pour le moment c'est que je suis en ip v6 sur ma freebox et dans win7 aussi (enfin je crois) et qu'avec Ipredator, ça fonctione en pptp

[blaspheme]

Bashy, le 21 juin 2010 - 19:01, dit :

Bin oui au lieu de régler le problème (teredo) on vire complètement l'usage d'un protocole , de mieux en mieux les mentalités.

j'ai opté pour ta solution , j'ai également envoyé un mail à mon "fournisseur VPN" pour voir si cette faille à été mise à jours chez eux.

[mastergb]

Un autre solution serait de ne pas utiliser windows #troll#

[Bashy]

tetsuhito, le 22 juin 2010 - 08:06, dit :

Bon j'ai avancé j'ai vue qu'il fallait taper
netsh interface ipv6 dans l'invité de commande avant

il faut tapper netsh int ipv6 set teredo disable en une seule fois puis tapper sur entrée (avec les droits administrateurs il me semble), cela devrait suffir.

Citation

Par contre j'aimerais bien comment que tu m'expliques comment faire ça
parce que là j'ai rien capter.
Toute ce que je sais pour le moment c'est que je suis en ip v6 sur ma freebox et dans win7 aussi (enfin je crois) et qu'avec Ipredator, ça fonctione en pptp

IPv6oVPN comme je l'appel c'est simplement le fait que le prestataire VPN te délivre une IPv6 en plus de l'IPv4. (pour se cacher )
Les tunnelbrokers sont simplement des prestataires qui te fournissent une connexion IPv6 en encapsulant les paquets IPv6 dans des paquets IPv4, là par contre tu n'es pas anonyme, mais c'est simplement destiné aux personnes voulant disposer d'une connexion IPv6 lorsque leur FAI ne leur en fournissent pas.
Tu n'as donc pas besoin de tunnelbroker puisque Free te fournit une connexion IPv6 (si tu n'utilises pas de routeur externe), mais ce n'est pas anonyme !

[tetsuhito]

Donc si je comprend bien toredo ne me sert pas vue que je suis en ipv6
mais je suis pas anonyme pour autant vue que je suis en pptp ?
Par contre est ce que ça change quelque chose que les echange passant par le VPN sois crypté en 128 bits?

[Bashy]

Oui teredo est inutile pour toi.
Tu ne seras pas anonyme pour les connexions IPv6 (via free), je te conseille à ce moment là de configurer le pare-feu convenablement, ou d'aller vers un prestataire VPN proposant l'IPv6

[tetsuhito]

qu'est ce que tu entend par convenablement ?
Pour le moment déjà j'ai configurer le pare-feu pour que par exemple µtorrent ne marche que si le vpn est activé et il n'y a qu'un seul pour d'ouvert (celui que j'ai choisi 45000) en tcp et udp, il y aurait d'autre truc a rajouté ?

j'avais suivit ça

Citation

[utorrent.exe]
App=[YOUR PATH]
CommandLine=
UseCommandLine=0

Name=DNS Service
Enable=1
Allow=1
Log=0
Warning=0
Protocol=UDP
Direction=OutboundStream
RemotePort=53

Name=Allow TCP Connections [IN] ([YOUR PORT])
Enable=1
Allow=1
Log=0
Warning=0
Protocol=TCP
Direction=InboundStream
LocalPort=[YOUR PORT]

Name=Allow TCP Connections [OUT] (Ephemeral)
Enable=1
Allow=1
Log=0
Warning=0
Protocol=TCP
Direction=OutboundStream
LocalPort=1024-5000

Name=Allow UDP Packets [IN/OUT] (Ephemeral, [YOUR PORT])
Enable=1
Allow=1
Log=0
Warning=0
Protocol=UDP
Direction=InboundOutbound
LocalPort=1024-5000, [YOUR PORT]

Where [YOUR PATH] should be replaced with the full path to your µTorrent executable, and [YOUR PORT] is replaced with the port µTorrent listens on. Save the above (with the proper information filled in) as a INI file using a plain text editor (such as Notepad -- not Microsoft Word or the likes) and import it into Kaspersky's firewall rules. Works for me without hiccups.

ou je peux repasser en ipv4 sur la freebox en attendant

[Bashy]

Bloquer le trafic IPv6 pour µTorrent par exemple (firewall windows) :
Pare-feu Windows avec fonctions de sécurité > Nouvelle règle... > Personnalisée > Au programme ayant pour chemin d'accès Mettre µTorrent puis Suivant > Type de protocole : IPv6 puis Suivant > Suivant

Tu peux limiter ce blocage avec les IPv6 FREE uniquement (Si tu comptes par la suite utiliser IPv6 sur un VPN par exemple) À quelles adresses IP locales cette règle s'applique-t-elle : Ces adresses IP (locales) : 2a01:e3X:XXXX:XXX0::/64 où X est ton adresse IPv4 en héxadécimal.
Je précise que je n'ai pas testé si la règle fonctionne bien.

[blaspheme]

j'utilise Drakker comme VPN (openVPN) , j'ai posé la question suivante :

Citation

bonjour ,

pouvez vous me confirmer que la faille du protocole ipv6 (liée à teredo) n'est pas exploitable sur votre VPN.

Merci de votre attention

j'ai eut la réponse suivante :

Citation

Bonjour,

Je vous remercie pour cette belle question, inhabituelle en support.
La faille que vous évoquez est typique des VPN basés sur du PPTP : authentification par login/password puis masquage depuis les serveurs distants.
Nous avons dés la V1 écarté cette technique car beaucoup trop rudimentaire et présentant la possibilité de remonter jusqu'à l'ordinateur initiateur de la connexion, fusse-t-elle en VPN. C'est malheureusement le cas de la plupart de nos concurrents (Pirate Bay, Ipodah, IPJetable, Strong VPN, Vyper, etc).
Drakker est 100% OpenVPN, et le seul fournisseur à implémenter le concept de "Full Mobile Privacy".
L'authentification ne s'effectue pas par login/password (utilisés uniquement pour vérifier l'inscription au service), mais par échange de certificats uniques et privatifs, différents pour chaque utilisateur Drakker.
La connexion est encryptée dés la sortie de votre ordinateur. D'autre part, nous n'effectuons jamais de port forwarding, y compris en téléchargement, car il s'agit une nouvelle fois d'une faille (par ailleurs méconnue) qui permettrait de remonter jusqu'à la machine initiatrice.
Le VPN Drakker assure que les connexions de pair à pair, ainsi que les connexions vers les trackers s'effectuent en full VPN.
Même si la machine qui héberge les fichiers n'est pas protégée (ou est un noeud espion), elle ne pourra dans aucun cas remonter jusqu'à la machine cliente.
Là encore, Drakker se distingue radicalement de l'immense majorité de ses concurrents.
Notre but est de protéger la liberté d'opinion, d'expression et de partage des citoyens internautes.
Cette liberté est au prix de l'exigence technique, plutôt que d'une approche commerciale.
C'est également la raison pour laquelle nos traifs sont les plus bas du marché.

A votre disposition pour plus d'informations.

--
Salutations,

xxxxxxxxxxxx
Equipe Support Drakker

Comme je m'en doutais ce type de faille n'est pas exploitable pour le VPN drakker , je n'ai pas l'habitude de faire de la publicité et je n'ai aucun intérêt dans cette société , mais j'avoue être plus que satisfait du service.