Faille dans l'anonymat des VPN : l'IPv6 mis à l'index
Et à l'auriculaire ?
Lors de la Telecomix Cyphernetics Assembly en Suède, un chercheur se faisant appeler Agent Kugg a révélé les techniques utilisées par les gouvernements et des entreprises privées pour contourner la protection offerte par les VPN basés sur le PPTP. C'est le protocole utilisé par la majorité de ces services. Pour la démonstration, l'agent Kugg a...Lors de la Telecomix Cyphernetics Assembly en Suède, un chercheur se faisant appeler Agent Kugg a révélé les techniques utilisées par les gouvernements et des entreprises privées pour contourner la protection offerte par les VPN basés sur le PPTP. C'est le protocole utilisé par la majorité de ces services. Pour la démonstration, l'agent Kugg a utilisé IPREDator, le très populaire VPN proposé par The Pirate Bay. Mais il précise que les autres services sont également vulnérables.
Les failles des VPN
Pour commencer léger, il explique que le VPN étant considéré comme un réseau local, une personne connectée au même VPN que vous peut ainsi, dans certains cas, récupérer le nom de votre ordinateur, et son adresse MAC. De même, la clé d'encodage des transmissions entre vous et le VPN est très faible, et selon le chercheur « il m'a fallu quelques minutes pour la casser. N'importe qui peut le faire ». L'attaquant peut alors récupérer votre identifiant et votre mot de passe pour le VPN, et lire toutes les données échangées. Et cette faille n'est pas la pire.
Car si vous vous connectez à un contenu hébergé sur Internet avec une IPv6, une machine compatible (ce qui inclut tous les Windows Vista et Seven) répondra en envoyant votre vraie adresse IP, et votre adresse MAC. Largement de quoi vous trouver, et même assez pour prouver que le téléchargement provenait bien de votre machine. Cette technique fonctionne également pour trouver les IP des personnes téléchargeant des fichiers en utilisant le protocole BitTorrent.
Un pare-feu local même parfaitement configuré est inutile contre ces failles, puisque la connexion VPN a été configurée comme "digne de confiance", et tous les paquets en provenant sont considérés comme venant d'un réseau local sûr...
La seule ressource contre cette faille est pour l'instant de désactiver le support de l'IPv6 de la connexion :
Les gestionnaires de IPREDator sont au courant de ces problèmes, et ont assuré TorrentFreak être en train de s'en occuper.
Faut-il abandonner les VPN ?
Si vous trouvez que le VPN n'est plus assez sécurisé et souhaitez vous tourner vers d'autres solutions d'anonymisation, vous risquez d'être déçu.
Car des contournements de la protection offerte par des proxy ou par Tor ont aussi été montrés lors de la présentation, et la plupart sont extrêmement simples à mettre en place. Ainsi, afficher une image hébergée sur un FTP permettrait de récupérer la vraie IP de 50 % des utilisateurs de ces services, victimes d'une mauvaise configuration. Pire, un lecteur de vidéo Flash, un document Microsoft Word ou bien une extension FireFox se connecteront directement à Internet sans passer par le proxy. Beaucoup d'autres failles existent, certaines décrites lors de la conférence. Beaucoup de ces failles sont aussi utilisées par les gouvernements.
On le voit, préserver son anonymat sur Internet peut être beaucoup plus compliqué qu'on ne le croit. La base est évidemment d'éviter tout plugin ou extension, sources de failles de sécurité innombrables.
Voici la vidéo en anglais de la partie qui nous intéresse de cette conférence. L'agent Kugg intervient à partir de 2h17. La partie sur le Torrent commence vers 2h34 :
Les failles des VPN
Pour commencer léger, il explique que le VPN étant considéré comme un réseau local, une personne connectée au même VPN que vous peut ainsi, dans certains cas, récupérer le nom de votre ordinateur, et son adresse MAC. De même, la clé d'encodage des transmissions entre vous et le VPN est très faible, et selon le chercheur « il m'a fallu quelques minutes pour la casser. N'importe qui peut le faire ». L'attaquant peut alors récupérer votre identifiant et votre mot de passe pour le VPN, et lire toutes les données échangées. Et cette faille n'est pas la pire.
Car si vous vous connectez à un contenu hébergé sur Internet avec une IPv6, une machine compatible (ce qui inclut tous les Windows Vista et Seven) répondra en envoyant votre vraie adresse IP, et votre adresse MAC. Largement de quoi vous trouver, et même assez pour prouver que le téléchargement provenait bien de votre machine. Cette technique fonctionne également pour trouver les IP des personnes téléchargeant des fichiers en utilisant le protocole BitTorrent.
Un pare-feu local même parfaitement configuré est inutile contre ces failles, puisque la connexion VPN a été configurée comme "digne de confiance", et tous les paquets en provenant sont considérés comme venant d'un réseau local sûr...
La seule ressource contre cette faille est pour l'instant de désactiver le support de l'IPv6 de la connexion :
Les gestionnaires de IPREDator sont au courant de ces problèmes, et ont assuré TorrentFreak être en train de s'en occuper.
Faut-il abandonner les VPN ?
Si vous trouvez que le VPN n'est plus assez sécurisé et souhaitez vous tourner vers d'autres solutions d'anonymisation, vous risquez d'être déçu.
Car des contournements de la protection offerte par des proxy ou par Tor ont aussi été montrés lors de la présentation, et la plupart sont extrêmement simples à mettre en place. Ainsi, afficher une image hébergée sur un FTP permettrait de récupérer la vraie IP de 50 % des utilisateurs de ces services, victimes d'une mauvaise configuration. Pire, un lecteur de vidéo Flash, un document Microsoft Word ou bien une extension FireFox se connecteront directement à Internet sans passer par le proxy. Beaucoup d'autres failles existent, certaines décrites lors de la conférence. Beaucoup de ces failles sont aussi utilisées par les gouvernements.
On le voit, préserver son anonymat sur Internet peut être beaucoup plus compliqué qu'on ne le croit. La base est évidemment d'éviter tout plugin ou extension, sources de failles de sécurité innombrables.
Voici la vidéo en anglais de la partie qui nous intéresse de cette conférence. L'agent Kugg intervient à partir de 2h17. La partie sur le Torrent commence vers 2h34 :
Jeff,
Le 18 juin 2010 à 16:39
(58 949
lectures)
Soutenez l'indépendance de PC INpact en devenant Premium
- Tout le contenu de PC INpact sans pub
- Et bien plus encore...
Il y a 170 commentaires
INpactien
C'est pour ça qu'en plus d'iPredator, j'ai TOR 
Comment ça je suis parano ?
Erf, ça passe aussi
Edité par Thald' le vendredi 18 juin 2010 à 16:42
Comment ça je suis parano ?
Erf, ça passe aussi
Edité par Thald' le vendredi 18 juin 2010 à 16:42
INpactien
(ce qui inclut tous les Windows Vista et Seven)
La seule ressource contre cette faille est pour l'instant de désactiver le support de l'IPv6 de la connexion :
Ou d'utiliser Linux ?
Edité par ogotto le vendredi 18 juin 2010 à 16:46
INpactien
bingo.crepuscule
Le vendredi 18 juin 2010 à 16:44:03
#3
Inscrit
le vendredi 20 juin 08
-
2476
commentaires
Il était temps qu'une officialisation soit faite !!!
Depuis le temps qu'on sait que le protocole ptpp pour le VPN c'est archi naze, et qu'il faut que ces services passent à l'openVPN...
Ça serait bien que ça fasse en sorte qu'ils se bougent le cul.
Edité par bingo.crepuscule le vendredi 18 juin 2010 à 16:47
Depuis le temps qu'on sait que le protocole ptpp pour le VPN c'est archi naze, et qu'il faut que ces services passent à l'openVPN...
Ça serait bien que ça fasse en sorte qu'ils se bougent le cul.
Edité par bingo.crepuscule le vendredi 18 juin 2010 à 16:47
INpactien
Je repense à tous les inpactiens qui prônaient le VPN comme technique hadopi-proof.
Décidément, trop de confiance tue la sécurité.
Décidément, trop de confiance tue la sécurité.
INpactien
le très populaire VPN proposé par The Pirate Bay.
Très populaire ??? Des statistiques/chiffres sur le taux/nombre d'abonnement(s) à ce service payant ?
Edité par fwak le vendredi 18 juin 2010 à 16:46
INpactien
Je repense à tous les inpactiens qui prônaient le VPN comme technique hadopi-proof.
Décidément, trop de confiance tue la sécurité.
Décidément, trop de confiance tue la sécurité.
Un bon VPN IPsec, il n'y a que ca de bon,
quoi que je suis sur qu'on puisse trouver des failles la bas aussi
INpactien
Paul-Hewson
Le vendredi 18 juin 2010 à 16:47:21
#7
Inscrit
le mercredi 19 avril 06
-
2076
commentaires
Et dire qu'il y en a qui paye pour ce genre de service ! 
INpactien
Bon, PPTP c'est naze apparemment... mais concernant l'OpenVPN, y a des infos ??? Les clés y sont quand même plus grandes.
INpactien
l'agent Kugg
ex-agent du KGB ?
ex-agent du KGB ?
INpactien
Ou d'utiliser [strike]Linux[/strike] OpenVPN ?
Hey les fanboys, faut arrêter d'évangéliser linux comme si c'était la solution à tous les problèmes...
La le problème est dans le protocole.
OpenVPN utilise une clé de 128 bits (Blowfish), soit largement suffisant pour tenir jusqu'en 2030 sans problème. Et encore, même en 2030, il faudra les ressources d'un gouvernement pour casser une telle clé.
Mais certains clients PPTP utilisent une pauvre clé de 40 bits... Cassable en quelques heures avec un PC classique.
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Facebook dévoilera sa nouvelle « grande idée » le 20 juin
(20)
On espère que ce sera mieux que Home -
SVOD : Jook Video pour 3 € pendant 3 mois sur Vente Privée
(9)
De la VoD illimitée pour pas cher... -
Tout est vrai (ou presque) : la vie de Kim Dotcom en trois minutes
(15)
Impossible de faire moins -
Envie de tester la fibre de SFR à 1 Gb/s ? Les inscriptions sont ouvertes
(26)
Ouiiiiiiiiiiiiiiii
Comment profiter du nouveau Google Maps sans invitation
Les chats gouvernent Internet, cela passe donc par les cookies
434ème édition des LIDD : Liens Idiots Du Dimanche
Java, Batman, Hobbit et GoT au menu, et aussi un ours
-
99,90 € pour un disque dur Toshiba de 3 To en S-ATA 6 Gb/s
Valable jusqu'au 20 juin -
Une GeForce GTX 680 avec le jeu Metro Last Light pour 299,90 €
Valable jusqu'au 21 juin -
Un iPad 2 blanc de 16 Go pour 349 €
Valable jusqu'au 23 juin -
DVD, Blu-ray et série TV : 45 € de réduction à partir de 90 € d'achat
Valable jusqu'au 14 juillet
