L'utilisation du VPN a considérablement augmenté au cours des cinq dernières années. Alors que les utilisateurs occidentaux sont moins susceptibles de se connecter via un client VPN, ceux des pays asiatiques et BRICS sont les principaux abonnés. Cela permet la confidentialité en ligne, le cryptage et même contourne le verrouillage régional - utile pour regarder la télévision à l'étranger ou Netflix. Mais qu'est-ce que vous obtenez pour vos 10 € par mois ? Pour savoir ce qui se passe dans les coulisses d'un serveur VPN, nous avons parlé à NordVPN. Dans ce qui est considéré comme une première dans l'industrie, TechRadar Pro et NordVPN se sont associés pour une visite guidée d'un serveur VPN. Les techniciens de NordVPN ont mis en place une session SSH pour démontrer les aspects clés d'une sélection aléatoire de serveurs VPN. Mark Halstead est le CTO de NordVPN et il nous a expliqué la politique de journalisation de l'entreprise et comment elle est mise en œuvre. Son collègue Tom Okman nous a également rejoint pour plus d'explications.
Anatomie d'un serveur VPN
Nous commençons par examiner un serveur VPN. L'utilisation d'un VPN est simple en tant qu'abonné. Il se connecte au serveur via le client VPN, qui crypte et achemine toutes les activités de votre PC vers le serveur VPN choisi par défaut. À partir de ce moment, le serveur VPN authentifie l'accès et fournit une passerelle vers Internet au-delà. Le serveur est protégé par NAT/pare-feu, tandis que le DNS récursif permet d'assurer une connexion réussie au site Web ou au service fourni (peut-être en diffusant une chaîne YouTube). Une base de données de session en direct pourrait également être en cours d'exécution, en plus de la surveillance statistique. Un VPN est censé améliorer votre vie privée et garantir l'anonymat en ligne. L'un des principaux avantages de l'utilisation d'un abonnement VPN payant est que la société qui fournit l'accès à ses serveurs VPN conserve le moins d'informations possible sur vous et votre activité. Les systèmes d'exploitation créent des journaux par défaut, ce qui signifie que tout fournisseur de VPN consciencieux prendrait des mesures pour le désactiver. Alors, à quel point NordVPN était-il minutieux ? La session a révélé que les serveurs NordVPN Linux sont configurés avec divers outils qui améliorent la sécurité, la confidentialité et l'authentification. FreeRADIUS est utilisé pour l'authentification, tandis que le logiciel proxy Squid est également utilisé. SaltStack est utilisé pour la configuration correcte du serveur, en contrôlant l'infrastructure. Un serveur VPN en cours d'exécution (dans ce cas, une boîte basée en Irlande avec 149 jours de disponibilité) est configuré avec OpenVPN et IPsec pour le cryptage des données. Quatre threads en TCP et quatre en UDP sont acheminés via OpenVPN, les deux protocoles de transport ont le même état.Comment éviter les fuites DNS
Un aspect important de la confidentialité VPN est la protection contre les fuites DNS. Cela se produit lorsque les requêtes adressées à un serveur DNS (essentiellement un index des adresses IP et des URL de sites Web correspondantes) sont visibles par toute personne surveillant la connexion, malgré l'utilisation d'un VPN. L'observation de votre activité en ligne à cet égard peut révéler des informations qui pourraient au mieux être problématiques. Les fuites DNS peuvent être vérifiées sur IPleak.com, mais que font les services VPN pour empêcher les fuites DNS ? Les serveurs de NordVPN, comme prévu, utilisent leur propre DNS. Mais les systèmes d'exploitation présentent des défis. Par exemple, sur Android, le système d'exploitation doit désactiver IPv6 pour éviter la possibilité d'une fuite DNS. Cependant, cela semble être une solution à court terme, car NordVPN prévoit de provisionner des serveurs VPN IPv6. Un autre risque pour les utilisateurs de VPN qui s'est produit ces derniers mois est l'arrivée de serveurs VPN qui prétendent être dans le pays X mais sont en fait situés dans le pays Y. Ce n'est pas quelque chose que NordVPN fait bien. "Nous avons une politique très stricte à ce sujet... nous pensons que nous ne devrions avoir nos serveurs que là où nous le disons."Assurez-vous qu'il n'y a pas de politique de journalisation
Les utilisateurs de VPN s'attendent à ce que leur activité soit privée. Étant donné que les données sont cryptées entre l'appareil client et le serveur VPN, il est raisonnable de supposer que les journaux ne seront pas enregistrés au-delà. Mais que se passe-t-il si un gouvernement l'exige ? La loi obligerait les VPN basés dans certains pays (comme les États-Unis, le Canada, le Royaume-Uni, l'Australie et la Nouvelle-Zélande, les Five Eyes) à fournir des journaux d'activité des abonnés sur un ou plusieurs serveurs. L'approche de NordVPN à l'absence de journalisation consiste simplement à désactiver la journalisation sur leurs serveurs. En créant l'entreprise au Panama, vous êtes sous la juridiction d'une autorité qui n'a pas de lois obligatoires sur la conservation des données. De plus, le Panama ne participe pas aux alliances Five Eyes ou Fourteen Eyes. NordVPN exploite une page "proxy" sur son site afin que les abonnés puissent vérifier si le service VPN a reçu des mandats, des bâillons ou des "lettres de sécurité nationale". Nous avons déjà vu qu'un serveur VPN est compliqué ; Avec 5629 58 serveurs dans XNUMX pays, comment NordVPN s'assure-t-il que ses serveurs n'enregistrent pas l'activité des abonnés ? Les registres sont simplement configurés pour écrire sur un périphérique virtuel qui n'existe pas. Toutes les données générées sur les connexions, les destinations et les activités sont simplement jetées dans l'éther en utilisant le chemin dev/null. Pour le prouver, Mark nous a montré des serveurs en Italie, à Hong Kong et en Irlande. Hong Kong et l'Irlande étaient les choix de TechRadar Pro, tandis que l'Italie était celle de NordVPN. Dans les trois cas, une commande grep renvoyait l'état des serveurs sélectionnés (ou dans le cas de l'Italie, tous les serveurs). Chaque vérification a montré que les enregistrements ont été rejetés vers le chemin virtuel inexistant de dev/null. Le résultat est un serveur VPN sans journal - exactement ce que recherche un utilisateur VPN soucieux de la sécurité et de la confidentialité. NordVPN est tellement confiant dans sa politique de non-journalisation qu'il a engagé le géant de l'audit PricewaterhouseCoopers pour évaluer ses serveurs VPN. Les audits réussis sont un insigne d'honneur qui renforce la réputation.Sécurité et DDoS
La connexion à un serveur VPN devrait être simple. Cependant, avec le potentiel d'un si grand nombre d'activités exposées, les VPN sont régulièrement touchés par des attaques DDoS. Les attaques par déni de service distribué compromettent la capacité d'un serveur à traiter efficacement les données, obligeant le propriétaire du serveur à mettre le serveur hors ligne. "Si un fournisseur auprès duquel nous louons un serveur n'est pas prêt... il y avait des problèmes pour les clients qui se connectaient au serveur. C'était plus de 500 Go par seconde", nous a dit Mark. "Nous ne travaillons jamais dans un pays avec un seul fournisseur", explique Tom. "Nous avons un mécanisme qui surveille l'état du système et tue automatiquement le service de connexion rapide et les API." Cela signifie que le serveur de destination est intentionnellement rendu inaccessible aux PC et aux clients mobiles. "Nous travaillons avec des fournisseurs de cloud comme Cloudflare et Amazon dans certains cas, donc c'est plus mitigé." Alors que NordVPN a une stratégie pour faire face aux attaques DDoS lorsqu'elles sont ciblées, ils construisent également des serveurs plus rapides. En s'appuyant uniquement sur la RAM, ses serveurs sans disque et la nouvelle technologie TCP sont susceptibles d'avoir un impact sur l'accélération de l'ensemble de l'industrie VPN.Accélérez les VPN
Dans un marché occupé, les sociétés de VPN doivent se démarquer de la concurrence. Une façon d'y parvenir est d'offrir de meilleures performances aux clients VPN. NordVPN développe plusieurs technologies pour améliorer la vitesse et la sécurité et a pris le temps de partager les détails de deux d'entre elles. Les serveurs sans disque sont à peu près ce à quoi vous vous attendez, des serveurs sans pièces mobiles. Conçus pour démarrer à distance et s'appuyer sur la RAM au lieu d'un disque dur en rotation physique, les serveurs sans disque présentaient un triple avantage : réduire la dépendance aux serveurs loués, améliorer la sécurité et améliorer les performances. Dans une attaque DDoS théorique, un VPN exécuté sur un serveur sans disque peut être instantanément mis hors ligne, ce qui atténue considérablement l'impact de l'attaque. "Avec ces serveurs en RAM, je ne pense pas qu'il soit très utile de pirater le système", déclare Tom. "Une fois redémarré, une fois les informations d'identification modifiées, il se réinstalle automatiquement, à partir de zéro." Imaginez que vous vous connectez via un VPN et que vous découvrez que la vitesse de votre connexion Internet a augmenté. Cela sonne vrai, mais la technologie de fractionnement TCP en instance de brevet de NordVPN contourne la limitation du FAI (également connue sous le nom de mise en forme du trafic ou de hiérarchisation des données, bien que les termes ne soient pas exactement interchangeables). Les tests de NordVPN ont révélé que les connexions aux sites basés en dehors de l'Europe utilisant la division TCP sont plus rapides que celles établies sans la technologie en place. De telles performances peuvent améliorer le streaming et les jeux en ligne, sans parler de la collaboration en ligne sur des projets créatifs. Cela pourrait être la prochaine grande nouveauté du marketing VPN : "Obtenez un Internet plus rapide avec un VPN !"Améliorer l'industrie VPN
Quelques mauvaises décisions commerciales peuvent ruiner une réputation en ligne. Des applications logicielles de sécurité ont été trouvées, par exemple, dans la vente de données clients. Les sociétés VPN sont tombées au bord du chemin, mais il y a de la maturité dans l'industrie. Dans le cadre de l'Internet Infrastructure Coalition (i2Coalition), la VPN Trust Initiative (VTI) est un consortium de sociétés VPN dédié à l'amélioration de la sécurité numérique pour les clients. NordVPN a rejoint plusieurs sociétés VPN bien connues et influentes qui se sont inscrites auprès de VTI en tant que membres fondateurs. En lançant un programme de primes aux bogues en décembre 2019, NordVPN est à peu près aussi ouvert et honnête qu'un service de cryptographie peut l'être. Si le reste de l'industrie emboîte le pas, tout le monde en profitera.- Nous avons également mis en évidence les meilleurs services VPN.