La question que je me pose est alors: Et-il possible de chaîner les VPN ? Ou, mieux dit, de les structurer en "oignon" ?

Je m'explique.

1) Sans VPN on a:

Internaute FAI internet (où désigne une connexion simple, non cryptée)


2) Avec un seul vpn, on a:

internaute FAIVPN internet (où est une connexion cryptée)

L'internet, ici, ne voit que l'IP du VPN, et le FAI ne voit pas ce que l'internaute échange avec le reste du monde; par contre le FAI connaît le VPN par lequel l'internaute est connu du reste du réseau.

De plus, le VPN connait l'IP réelle (ie l'IP FAI) de l'internaute, et voit ce que l'internaute fait sur le réseau: Le VPN voit ce que fait quelqu'un qu'il connait.


3) avec deux VPN en oignon, on aurait:

Intenaute FAI VPN1 VPN2 internet (où désigne le cryptage réalisé par le VPN2, et la composition de 2 cryptages: celui réalisé par le VPN1, et celui réalisé par le VPN2).

Dans ce cas, le VPN1 connait l'IP "réelle" de l'internaute, mais ne voit pas ce qu'il fait; et le VPN2 (qui voit ce que fait l'internaute), ne voit pas son IP réelle. En bref, celui qui voit quoi ne sait pas qui, et celui qui sait qui ne voit pas quoi...Le FAI, quant à lui, est complètement dans les choux (aux fuites de DNS prêt, réglable par opendns, ou privoxy si on est très méfiant): Il n'arrive à lire aucun paquet, il voit juste que l'internaute est connecté au VPN1, alors que c'est sous l'adresse VPN2 que l'internaute est connu du réseau.


La question que je me pose c'est: Est-ce qu'un truc tel que 3) est possible.

Tu te fourvoies dans le vpn, tu oublies que faut être client vpn au départ. Tu deviendras internaute par le biais de la connexion web du serveur vpn
client vpn serveur du fai (les paquets sont cryptés le cryptage bouge sans arrêt le fai voit que dalle de cohérant) serveur vpn(qui donne une ip dynamique ou fixe définie dans une plage ou qui se sert de l’ip du client suivant la configuration du vpn)--

Tu deviendras internaute par le biais de la connexion web du serveur vpn

Ce point là, je suis d'accord, et je ne l'ai pas oublié (ou alors, à l'insue de mon plein grès)

tu oublies que faut être client vpn au départ

Si par "client du vpn" du veux dire qu'il faut être connecté au serveur VPN afin, par son intermédiaire, accéder au net, je suis d'accord (cf point précédent). Mais si par "client vpn" tu fait référence à une application spécifique que l'internaute aurait installée, je saisis moins. Parce que OpenVpn exige bien l'installation d'un soft particulier, mais pas le pptp vpn. Dans ce dernier cas, ma compréhension des choses est la suivante: L'internaute (dont 'IP fai est par ex 12.34.56.78) se connecte via son FAI, et en crypté, à un serveur VPN. Le serveur vpn attribue à l'internaute une adresse ip locale (192.168.x.y ou 172.a.b.c), avec laquelle l'internaute communique à l'intérieur du VPN, et une IP externe (mettons 33.58.61.12), avec laquelle il communique avec le monde extérieur. Dans ce cas, le serveur VPN connait la vraie IP de l'internaute, et voit ce qu'il fait sur internet. A partir de là, il ne me parait pas idiot d'envisager un 2eme VPN "en oignon avec le premier", un peu à la manière dont marche Tor. Je ne dis pas que c'est indispensable, je demande juste si ça a un sens, si c'est possible. Dans mon esprit, comme je l'ai dit, l'aventage du truc est que le serveur VPN qui connait ma vraie IP (le "VPN interne") ne voit pas ce que je fais, et que le VPN qui voit ce que je fais (le VPN externe) ne connaît pas mon adresse IP.

Et maintenant que j'y pense, je vois une 2eme différence entre le systeme monovpn et le systeme bivpn, c'est au niveau des logs. Suppose que le serveur vpn externe et le serveur vpn interne (appartenant à 2 sociétés différentes, qui n'ont rien à voir), sont situés dans des juridictions qui exigent la conservation des logs pendant 5j. Une requete est lancée au VPN externe pour qu'il délivre les logs de connexion d'une certaine IP à une certaine date. Le temps que le VPN externe reçoive la requête, en considère la légalité, demande une ou 2 précisions, et y réponde, il s'est écoulé 4j. Là, le requerant reçoit du serveur VPN externe l'IP du serveur VPN interne. Le requerant formule alors une assignation pour le serveur VPN interne, en faisant bien attention de respecter la forme requise par la juridiction à laquelle ce serveur interne est soumis, l'envoie à qui de droit, qui considère la demande, et répond "ouhla ! je voudrais bien vous aider, mais cette connexion date de 7 jours, or, nous ne sommes tenus à conserver les logs que 5 jours.. nous n'avons plus les données disponibles!"

Pour les logs de ceux qui se connectent a lui, le serveur vpn peut ou pas les conservés c’est selon la configuration. Mais s’il est a l’étranger pas grandes chances de les voir., surtout si la législation du pays ne l’impose pas.
Pour être client vpn il faut que les ports spécifique soit en écoute (- PPTP port 1723 en TCP- L2TP port 1701 en UDP) et que le cryptage/décryptage soit fait, donc t’actives bien un service. Tu n’es pas client vpn sans qu’il se passe certaine chose pour l’être, même si c’est transparent pour toi.
Non, le serveur vpn n’attribue pas une adresse pour le wan au client, il fait passerelle. Je me répète, il attribue une adresse dynamique ou fixe ou la propre adresse du client suivant sa configuration pour le faire, afin d’adresser le client vpn.
Quand le client vpn surf et demande au serveur vpn : je veux voir « tartempion », ça transite crypté par son Fai a qui il est impossible de voir la demande « tartempion », ça arrive sur le serveur vpn qui lui déchiffre que le client vpn veut voir « tartempion » le serveur vpn se connecte a tartempion par son adresse, son Fai propre et redirige la demande vers l’adresse (qu’il a créé) du client vpn en cryptant a nouveau la réponse de tartempion.

On peut s'amuser à brouiller les pistes en chaînant les intermédiaires, mais il est déjà bien difficile de te retrouver avec un seul. Supposons que j'ouvre une session ssh sur une machine distante M1. Mon FAI n'y voit que du feu et, contrairement à ce que tu penses, il ne sait pas que je me suis connecté à M1. Il ne pourrait le faire qu'en pratiquant l'inspection des paquets et, jusqu'à preuve du contraire, ce n'est pas le cas.

Si maintenant j'utilise M1 pour "pirater", c'est l'ip de M1 qui est exposée et éventuellement poursuivie par les foudres de la Justice. Mais même l'administrateur de M1 sera incapable de dire qui a piraté. ssh loge la date et l'heure de ma connexion, mais il ne loge pas ma déconnexion (ça doit pouvoir se configurer mais je ne l'ai jamais vu). Si je me suis connecté lundi et que le fait a eu lieu mercredi, il va être bien difficile de dire que c'est moi plutôt qu'un autre utilisateur.

Ça ne veut pas dire pour autant qu'il y a impunité. Le propriétaire de M1 va être inquiété. Si une machine en Suède ou ailleurs se met subitement à pomper des oeuvres par giga-octets, tu penses bien que le tentation sera grande de la faire couper d'une manière ou d'une autre. Si c'est le fait d'un million de machines, ça sera plus difficile. Imaginons: un million d'internautes français ont chacun un pote dans une région du monde où il n'existe pas de «riposte graduée» et qui les autorise à passer par leur machine. Là c'est plus coton.

Hello Jiang !

Je suis pas expert mais je vais te donner mon avis : ces histoires de VPNs commerciaux ne servent à rien.

Je vais reprendre ta notation :

Internaute [color="#FF0000"] FAI [color="#FF0000"] internet [color="#FF0000"] Fournisseur VPN

C'est disons le cycle pour t'abonner chez ton fournisseur de VPN : tu n'as pas de sécurité !

Le premier 'man-in-the-middle' (attaquant) : c'est ton FAI ou plutot ceux qui ont la main dessus, légalement surtout !!

Il a de grande chance d'avoir les clefs que t'a envoyé ton fournisseur VPN en fait, non ?
Ca marche comment l'enregistrement sur ces trucs ?
Tu reçois un mail crypté avec ta clef GPG ?

A moins que ne soit pas du bluff et qu'il t'envoies ta clef par courrier postale (le vrai !).
Mais j'en doute ...

Et les FAI ont obligation d'enregistrer et te conserver tout se qui peut entrer/sortir de ta machine.
Donc même si ce n'est pas eux les premiers, ils suffit à un juge de pouvoir leur demander de jeter un coup ½il sur tes mails pour te voir rapidement fusiller à l'aube ...
Non ?

Hello Jiang !

J
Le premier 'man-in-the-middle' (attaquant) : c'est ton FAI ou plutot ceux qui ont la main dessus, légalement surtout !!

Il a de grande chance d'avoir les clefs que t'a envoyé ton fournisseur VPN en fait, non ?

D'après ce que j'ai compris, la ou les cles sont définies lorsqu'on se connecte (en https) sur le sitte du VPN provider. Il n'ya pas plus de chance que le FAI ou toute autre entité connaisse les clefs définies à ce moment la, quee de chance qu'il connaisse les identifiants bancaires lors des achats en ligne.

Ceci y a plusieurs actégories de VPN, par ordre de sécurité:

PPTP < L2TP/IPSec < OpenVPN, avec des protocoles d'identification différents.

Toujours d'après ce que j'ai compris, une attaque MIM peut à la rigueur être faite sur les PPTP, mais beaucoup plus difficilement encore sur les L2TP-Ipsec (qui utilise, en plus, des certificats), et sur les OpenVpn.

Et les FAI ont obligation d'enregistrer et te conserver tout se qui peut entrer/sortir de ta machine.
Donc même si ce n'est pas eux les premiers, ils suffit à un juge de pouvoir leur demander de jeter un coup œil sur tes mails pour te voir rapidement fusiller à l'aube ...
Non ?

Non, et heureusement: Les fai ne conservent que les logs de connexions, pas les contenus échangés (et en particulier pas les contenus mails). Un peu comme pour le tel, il ne conserve que les n° appelés (ou appelants?) et pas le contenu des appels ! Tu imagines des peta octets si les fai devaient consercer tout ce que tu dis ?

http://www.pcinpact....-enfin.htm?vc=1

Hello Jiang !

D'après ce que j'ai compris, la ou les cles sont définies lorsqu'on se connecte (en https) sur le sitte du VPN provider. Il n'ya pas plus de chance que le FAI ou toute autre entité connaisse les clefs définies à ce moment la, que de chance qu'il connaisse les identifiants bancaires lors des achats en ligne.

Je ne remet absolument pas en cause la sécurité des connexions HTTPS, ni celle des VPNs.

Ce que je me demande, c'est comment tu reçois ta "clef" (celle du réseau VPN en question) ?

\milo

Hello Jiang !

D'après ce que j'ai compris, la ou les cles sont définies lorsqu'on se connecte (en https) sur le sitte du VPN provider. Il n'ya pas plus de chance que le FAI ou toute autre entité connaisse les clefs définies à ce moment la, que de chance qu'il connaisse les identifiants bancaires lors des achats en ligne.

Je ne remet absolument pas en cause la sécurité des connexions HTTPS, ni celle des VPNs.

Ce que je me demande, c'est comment tu reçois ta "clef" (celle du réseau VPN en question) ?

\milo

Dans le cas de VPN PPTP basiques de chez basique, le protocole utuutilisé est MS CHAPv1. Il marche comme ça:

(...)
1. Le client fait une demande d'épreuve au serveur.
2. Le serveur envoie une épreuve avec 8 octets aléatoires.
3. Le client utilise le hachage LAN Manager de son mot de passe pour en dériver trois clés DES. Chacune de ces clés est utilisée pour chiffrer l'épreuve. Les trois blocs sont concaténés dans une réponse de 24 octets. Le client crée alors une seconde réponse de 24 octets en utilisant le hachage Windows NT, avec la même procédure.
4. Le serveur utilise les hachages du mot de passe client, conservés dans une base de données, afin de déchiffrer ses réponses. Si les blocs une fois déchiffrés correspondent à l'épreuve, alors l'authentification est complète et un paquet de "succes" est transmis au client.
(...)

http://www.schneier....-pptpv2-fr.html

L'utilisateur du VPN n'a rien à recevoir: Le "mot de passe" est ici une chaine de caractères choisie par celui qui s'abonne au service VPN, et définie par lui lors d'une connexion en mode https sur le site sur fournisseur de VPN.

L'utilisateur du VPN n'a rien à recevoir: Le "mot de passe" est ici une chaine de caractères choisie par celui qui s'abonne au service VPN, et définie par lui lors d'une connexion en mode https sur le site sur fournisseur de VPN.

D'accord !

Maintenant, j'ai compris : un login/password.

C'est efficace, s'il n'y a pas d' "attaque" ...

, contrairement à ce que tu penses, il ne sait pas que je me suis connecté à M1. Il ne pourrait le faire qu'en pratiquant l'inspection des paquets et, jusqu'à preuve du contraire, ce n'est pas le cas.

Il y a effectivement un truc que j'ai pas pigé alors. Comment le Fai peut-il ne pas voir qu'on se connecte sur un serveur VPN, puisqu'il faut bien indiquer au FAI l'adresse IP du VPN pour qu'on puisse s'y connecter??

L'utilisateur du VPN n'a rien à recevoir: Le "mot de passe" est ici une chaine de caractères choisie par celui qui s'abonne au service VPN, et définie par lui lors d'une connexion en mode https sur le site sur fournisseur de VPN.

D'accord !

Maintenant, j'ai compris : un login/password.

C'est efficace, s'il n'y a pas d' "attaque" ...

En fait, il paraît que MS CHEAPv1 possède des failles. Qui sont la raison pour laquelle MS a imaginé MSCHEAPv2 (qui a l'air d'etre une unique à gaz). Lequel doit j'imagine être attaquable encore, mais avec dees moyens disons "lourds". Attaquer une connexion cryptée, c'est quand même un peu s'introduire chez les gens par effraction en forçant les serrures de leurs portes blindées... Ca n'est pas complètement trivial, ni sur un plan technique, ni sur un plan juridique. Surtout lorsqu'il y a plusieurs portes, et que chacunes est située dans un pays différent. B)

Ce qui est important, c'estque les solutions VPN et P2P sécurisés ne sont pas exclusives l'une des autres, mais complémentaires. On peut je pense utiliser un VPN avec Tor, Imule, Kommute, Stealthnet OneSwarm j'imagine (mais tu pourras bien mieux que moi nous éclairer là dessus).