S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Faille dans l'anonymat des VPN : l'IPv6 mis à l'index

Et à l'auriculaire ?

Lors de la Telecomix Cyphernetics Assembly en Suède, un chercheur se faisant appeler Agent Kugg a révélé les techniques utilisées par les gouvernements et des entreprises privées pour contourner la protection offerte par les VPN basés sur le PPTP. C'est le protocole utilisé par la majorité de ces services. Pour la démonstration, l'agent Kugg a utilisé IPREDator, le très populaire VPN proposé par The Pirate Bay. Mais il précise que les autres services sont également vulnérables.

Les failles des VPN

Pour commencer léger, il explique que le VPN étant considéré comme un réseau local, une personne connectée au même VPN que vous peut ainsi, dans certains cas, récupérer le nom de votre ordinateur, et son adresse MAC. De même, la clé d'encodage des transmissions entre vous et le VPN est très faible, et selon le chercheur « il m'a fallu quelques minutes pour la casser. N'importe qui peut le faire ». L'attaquant peut alors récupérer votre identifiant et votre mot de passe pour le VPN, et lire toutes les données échangées. Et cette faille n'est pas la pire.

Car si vous vous connectez à un contenu hébergé sur Internet avec une IPv6, une machine compatible (ce qui inclut tous les Windows Vista et Seven) répondra en envoyant votre vraie adresse IP, et votre adresse MAC. Largement de quoi vous trouver, et même assez pour prouver que le téléchargement provenait bien de votre machine. Cette technique fonctionne également pour trouver les IP des personnes téléchargeant des fichiers en utilisant le protocole BitTorrent.

Un pare-feu local même parfaitement configuré est inutile contre ces failles, puisque la connexion VPN a été configurée comme "digne de confiance", et tous les paquets en provenant sont considérés comme venant d'un réseau local sûr...

La seule ressource contre cette faille est pour l'instant de désactiver le support de l'IPv6 de la connexion :

Hamachi IPv6

Les gestionnaires de IPREDator sont au courant de ces problèmes, et ont assuré TorrentFreak être en train de s'en occuper.

Faut-il abandonner les VPN ?


Si vous trouvez que le VPN n'est plus assez sécurisé et souhaitez vous tourner vers d'autres solutions d'anonymisation, vous risquez d'être déçu.

Car des contournements de la protection offerte par des proxy ou par Tor ont aussi été montrés lors de la présentation, et la plupart sont extrêmement simples à mettre en place. Ainsi, afficher une image hébergée sur un FTP permettrait de récupérer la vraie IP de 50 % des utilisateurs de ces services, victimes d'une mauvaise configuration. Pire, un lecteur de vidéo Flash, un document Microsoft Word ou bien une extension FireFox se connecteront directement à Internet sans passer par le proxy. Beaucoup d'autres failles existent, certaines décrites lors de la conférence. Beaucoup de ces failles sont aussi utilisées par les gouvernements.

On le voit, préserver son anonymat sur Internet peut être beaucoup plus compliqué qu'on ne le croit. La base est évidemment d'éviter tout plugin ou extension, sources de failles de sécurité innombrables.

Voici la vidéo en anglais de la partie qui nous intéresse de cette conférence. L'agent Kugg intervient à partir de 2h17. La partie sur le Torrent commence vers 2h34 :

Publiée le 18/06/2010 à 16:39

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 170 commentaires

Avatar de Thald' INpactien
Thald' Le vendredi 18 juin 2010 à 16:40:29
Inscrit le jeudi 26 novembre 09 - 1462 commentaires
C'est pour ça qu'en plus d'iPredator, j'ai TOR


Comment ça je suis parano ?

Erf, ça passe aussi

Edité par Thald' le vendredi 18 juin 2010 à 16:42
Avatar de ogotto INpactien
ogotto Le vendredi 18 juin 2010 à 16:43:32
Inscrit le vendredi 16 juin 06 - 195 commentaires
(ce qui inclut tous les Windows Vista et Seven)
La seule ressource contre cette faille est pour l'instant de désactiver le support de l'IPv6 de la connexion :


Ou d'utiliser Linux ?

Edité par ogotto le vendredi 18 juin 2010 à 16:46
Avatar de bingo.crepuscule INpactien
bingo.crepuscule Le vendredi 18 juin 2010 à 16:44:03
Inscrit le vendredi 20 juin 08 - 2981 commentaires
Il était temps qu'une officialisation soit faite !!!

Depuis le temps qu'on sait que le protocole ptpp pour le VPN c'est archi naze, et qu'il faut que ces services passent à l'openVPN...

Ça serait bien que ça fasse en sorte qu'ils se bougent le cul.

Edité par bingo.crepuscule le vendredi 18 juin 2010 à 16:47
Avatar de jacklejack INpactien
jacklejack Le vendredi 18 juin 2010 à 16:44:10
Inscrit le lundi 6 décembre 04 - 390 commentaires
Je repense à tous les inpactiens qui prônaient le VPN comme technique hadopi-proof.

Décidément, trop de confiance tue la sécurité.
Avatar de fwak INpactien
fwak Le vendredi 18 juin 2010 à 16:46:03
Inscrit le jeudi 3 mars 05 - 1209 commentaires
le très populaire VPN proposé par The Pirate Bay.


Très populaire ??? Des statistiques/chiffres sur le taux/nombre d'abonnement(s) à ce service payant ?

Edité par fwak le vendredi 18 juin 2010 à 16:46
Avatar de aenor INpactien
aenor Le vendredi 18 juin 2010 à 16:46:27
Inscrit le samedi 6 janvier 07 - 150 commentaires
Je repense à tous les inpactiens qui prônaient le VPN comme technique hadopi-proof.

Décidément, trop de confiance tue la sécurité.

Un bon VPN IPsec, il n'y a que ca de bon,

quoi que je suis sur qu'on puisse trouver des failles la bas aussi
Avatar de Paul-Hewson INpactien
Paul-Hewson Le vendredi 18 juin 2010 à 16:47:21
Inscrit le mercredi 19 avril 06 - 2076 commentaires
Et dire qu'il y en a qui paye pour ce genre de service !
Avatar de kseb INpactien
kseb Le vendredi 18 juin 2010 à 16:48:24
Inscrit le mercredi 3 mars 10 - 28 commentaires
Bon, PPTP c'est naze apparemment... mais concernant l'OpenVPN, y a des infos ??? Les clés y sont quand même plus grandes.
Avatar de dosibox INpactien
dosibox Le vendredi 18 juin 2010 à 16:48:28
Inscrit le samedi 1 août 09 - 1969 commentaires
l'agent Kugg
ex-agent du KGB ?
Avatar de Freud INpactien
Freud Le vendredi 18 juin 2010 à 16:48:47
Inscrit le vendredi 27 juin 03 - 2689 commentaires

Ou d'utiliser [strike]Linux[/strike] OpenVPN ?


Hey les fanboys, faut arrêter d'évangéliser linux comme si c'était la solution à tous les problèmes...

La le problème est dans le protocole.

OpenVPN utilise une clé de 128 bits (Blowfish), soit largement suffisant pour tenir jusqu'en 2030 sans problème. Et encore, même en 2030, il faudra les ressources d'un gouvernement pour casser une telle clé.

Mais certains clients PPTP utilisent une pauvre clé de 40 bits... Cassable en quelques heures avec un PC classique.
;