Il peut arriver que malgré l’utilisation d’un VPN, votre adresse réseau IP initiale soit communiquée au site Web que vous souhaitez visiter, à la place de l’adresse réseau IP de votre fournisseur de VPN. A ce jour, deux possibilités pour que cela se produise : - les fuites DNS (DNS Leaks), - la faille du protocole WebRTC.
DNS (Domain Name System, ou Server selon mon humeur ) : c’est quoi au juste ?
En gros, c’est un répertoire, appelé aussi annuaire (situé sur un serveur informatique), permettant d’associer l’adresse réseau IP d’un serveur (ex : 88.25.235.12 , composé de 4 nombres séparés par un point) à un nom de domaine, parce que Internet sait uniquement interpréter des adresses réseau IP. Toujours en gros, sans rentrer dans le détail, un nom de domaine, c’est le « petit » nom du serveur (ex : lebeauserveur.com , où « lebeauserveur » est un nom de domaine).
Ainsi dans notre exemple, lebeauserveur.com correspond à l’adresse réseau IP 88.25.235.12 ; le DNS va « simplement » mémoriser cette adresse en l’associant à lebeauserveur.com , comme le ferait votre répertoire téléphonique sur votre smartphone, en associant un nom de contact à son numéro de téléphone. Ainsi par exemple, quand vous saisissez lebeauserveur.com dans votre navigateur préféré pour accéder à ce site Web, le navigateur envoie une requête à un serveur DNS avec lebeauserveur.com comme paramètre, afin d’être dirigé vers l’adresse réseau IP (88.25.235.12) dudit serveur ; c’est aussi « simple » que cela.
Tout comme avec votre smartphone, le répertoire téléphonique va communiquer à l’application Téléphone le numéro de téléphone du correspondant que vous tentez de joindre ; cela vous évite ainsi de saisir le numéro de téléphone que vous ne connaissez pas obligatoirement par cœur .
Maintenant que vous possédez les concepts, passons aux fuites DNS.
La plupart du temps, votre fournisseur d’accès internet (FAI) vous assigne automatiquement ses propres serveurs DNS. Dans ce cas, votre FAI sait donc parfaitement quels sont les sites que vous consultez.
Avec une connexion VPN, la requête est adressée à un serveur DNS géré par votre fournisseur de VPN (et donc pas à votre FAI), si et seulement si bien sûr, votre fournisseur de VPN propose ses propres serveurs DNS.
Il peut se produire malgré tout que certains navigateurs ne tiennent pas compte du VPN qui a été établi, et envoient la requête DNS à votre FAI. Du coup, votre FAI sait quel site vous voulez consulter ; c’est cela « une fuite DNS ».
2) La faille du protocole WebRTC
Sans entrer dans le détail technique, le protocole WebRTC est utilisé dans les navigateurs afin d’établir un lien direct avec des applications, sans utiliser les plugins du navigateur.
L’implémentation de ce protocole dans certains navigateurs (Chrome et Firefox) peut conduire à ce que le navigateur communique malgré tout au site Web que vous souhaitez visiter, votre adresse réseau IP initiale, et non pas celle du fournisseur de VPN.
Pour éviter que cela se produise :
- Sous Firefox, il suffit de saisir about:config dans la fenêtre du navigateur, et de positionner à « False » le paramètre « media.peerconnection.enabled », afin de désactiver le protocole WebRTC.
- Sous Chrome, il semble qu’il faille installer l’extension ScriptSafe (je n’ai pas fait le test, car je n’utilise pas Chrome ).
Je laisse les plus techniques d'entre vous amender, corriger ce Post .
Mon expérience (formation, conférences, sensibilisation des décideurs...) m'a permis de me rendre compte qu'il ne faut pas le faire uniquement pour Madame Michu.
J'ai travaillé avec des ingénieurs qui parlaient en utilisant des acronymes, sans en connaître ni la signification, ni les fondamentaux qui y étaient attachés; ce n'est pas une critique, mais un simple constat.
Par ailleurs, il y a beaucoup à dire : - sur les VPN (beaucoup croient que c'est la panacée en matière de protection des libertés individuelles), et aussi - sur la règlementation des différents pays quant au respect de nos libertés individuelles.
Cela va être je pense le grand débat des mois et années qui viennent, étant donné que peu ou prou, notre société se "digitalise".
Effectivement, cela ne va pas être simple...c'est un gros dossier: -VPN et la loi en Europe -les VPN fiables et ou sont basés les serveurs ? -Que font ils de nos données ? sont elles perdues ou gardent ils un log ? -Les VPN illégaux aux yeux de la loi et pourquoi ? -etc...
(ex : lebeauserveur.com , où « lebeauserveur » est un nom de domaine).
Non, lebeauserveur.com est bien le nom de domaine (1er et 2nd niveaux).
Concernant WebRTC avec Firefox : • Désactiver WebRTC améliore votre vie privée mais empêche certains services de fonctionner. Il est aussi peut-être tant de chercher d'autres logiciels/services • L'excellente (Web)Extension uBlock Origin dispose d'une option dédiée "Empêcher la fuite des adresses IP locales via WebRTC". Plus d'informations • Dans about:config (ou user.js pour les utilisateurs avancés), utilisez les paramètres suivants pour totalement désactiver le bazar : user_pref("media.peerconnection.enabled", false); user_pref("media.peerconnection.use_document_iceservers", false); user_pref("media.peerconnection.video.enabled", false); user_pref("media.peerconnection.identity.enabled", false); user_pref("media.peerconnection.identity.timeout", 1); user_pref("media.peerconnection.turn.disable", true); user_pref("media.peerconnection.ice.tcp", false); user_pref("media.navigator.video.enabled", false); user_pref("media.peerconnection.ice.default_address_only", true); // (FF42-FF50) user_pref("media.peerconnection.ice.no_host", true); // (FF51+)
Ce qui est entre "" doit être recherché ou créé dans about:config.
Pour info, WebRTC signifie "Web Real-Time Communication".