Sécuriser ses échanges sur Internet

(Mise à jour 17/08/21 – 16h15) Je reprends ici le contenu des deux articles que j’ai rédigés la semaine dernière, ProtonVPN, un VPN Open Source et Obtenir une « adresse IP fixe » depuis tous ses appareils (ordinateur, téléphone, tablette). J’expliquais dans ces deux articles mon cheminement, mais ils manquent sans doute de clarté ! Le présent article a vocation à être un peu plus didactique 🙂 pour ceux qui, sans trop de connaissances informatiques, ou qui ne veulent pas passer du temps à configurer manuellement un VPN, souhaiteraient sécuriser leurs échanges sur Internet.

Quelques définitions

Parmi les termes qu’il est nécessaire de connaître :

  • SSL, pour Secure Socket Layer, est un protocole de chiffrement, qui a pour objectif de sécuriser le transport d’informations sur le réseau et donc de les rendre illisibles par un intrus ; c’est le protocole utilisé lorsqu’on voit une adresse web commençant par https ;
  • SSH, pour Secure Shell, sécurise la communication en imposant un échange de clés de chiffrement entre l’ordinateur client et le serveur ; ils sont tous les deux authentifiés ;
  • VPN, pour Virtual Private Network (réseau privé virtuel) est un tunnel chiffré qui protège sa connexion et ne permet pas d’être identifié lors de la consultation de pages web, d’achats, ou d’opérations bancaires par exemple ;
  • une adresse IP (IP pour Internet Protocol) est un numéro attribué à un appareil (ordinateur, téléphone, imprimante…) relié à un réseau informatique, sous la forme xxx.xxx.xxx.xxx. C’est de cette façon que l’appareil peut recevoir et envoyer des données sur le réseau vers d’autres appareils identifiés par leur propre adresse IP ;
  • une adresse IP dynamique : c’est le prestataire Internet qui attribue une adresse IP aux utilisateurs, en général elle ne reste pas identique, c’est pour cela qu’on l’appelle dynamique ;
  • une adresse IP fixe : une adresse IP fixe reste identique et permet de s’authentifier plus facilement sur un serveur distant par exemple ;
  • un serveur DNS, pour Domain Name System, est un serveur de noms qui “traduit” les adresses IP en “système de noms de domaine”, plus compréhensibles par les humains. C’est quand-même plus facile de retenir l’adresse lisetauber.fr qu’une suite de chiffres !

Choisir un VPN

On peut soi-même installer un VPN, ce n’est pas très compliqué ! mais cela suppose une surveillance du serveur sur lequel on l’a configuré, l’assurance qu’il est mis à jour régulièrement, que les versions de toutes les applications utilisées le sont également…

J’ai donc recherché une solution toute faite ! Et me suis orientée vers ProtonVPN, même si ce n’est pas le moins cher parmi les solutions commerciales ! Pourquoi ? d’une part parce que c’est un logiciel open source. Cela signifie que tout un chacun peut consulter le code et s’assurer que l’application ne fait pas autre chose que ce pourquoi elle est conçue. La communauté contribue à son maintien et à son évolution…

D’autre part, ProtonVPN permet de tester sa solution, compatible avec macOS, iOS, iPadOS, Android, Windows, Linux, gratuitement, avec des applications fonctionnelles ; la version gratuite est financée par les clients payants, et a comme limitation qu’on ne peut l’utiliser que sur deux appareils et qu’on n’accède qu’à trois serveurs, aux Pays-Bas, au Japon et aux Etats-Unis.

Un autre avantage, c’est que ProtonVPN offre des adresses IP statiques. Il ne s’agit pas d’adresses dédiées, c’est-à-dire qu’elles ne sont pas attribuées toujours au même utilisateur, mais elles sont statiques dans le sens où si l’on ne se déconnecte pas du VPN, on conserve la même adresse, y compris lors des mises en veille. ProtonVPN ne propose pas (encore ?) d’adresse dédiée, une des raisons en est que celle-ci peut permettre de remonter plus facilement à l’utilisateur, alors qu’une adresse statique, si elle “stabilise” sa connexion, change à chaque déconnexion/reconnexion au service.

Sur l’iPad, j’ai gardé la même adresse IP plusieurs jours, malgré les mises en veille successives et la déconnexion/reconnexion au WiFi.

ProtonVPNL’application ProtonVPN pour iOS et iPadOS dispose d’un widget, qui permet d’afficher la connexion en cours et l’adresse IP attribuée, et de se connecter/déconnecter du VPN rapidement.

 

 

 

 

(Ajout du 17/08/21 – 14h) Parmi les autres points positifs notés par les utilisateurs de ProtonVPN :

  • une offre gratuite, pleinement fonctionnelle, même si elle est limitée, avec l’idée que tout le monde a droit à la confidentialité sur Internet ;
  • son système de chiffrement crée un identifiant unique à chaque connexion ; aucune clé n’est réutilisée une seconde fois afin de garantir la sécurité des utilisateurs ;
  • ProtonVPN utilise OpenVPN et IKEv2, deux protocoles qui assurent une protection constante du tunnel chiffré, les informations échangées ne peuvent être lues par un tiers ;
  • ProtonVPN possède ses propres serveurs DNS, il ne recourt par à des serveurs tiers, l’adresse IP des utilisateurs n’est ainsi pas connue via le Domain Name System ;
  • les abonnements payants disposent d’autres fonctionnalités : les informations passent par plusieurs serveurs successifs, ce qui évite le “traçage”, un blocage des publicités, des traqueurs et des logiciels malveillants, une suspension du réseau Internet en cas de dysfonctionnement/déconnexion du VPN…

Une autre application pratique et gratuite est BigData IP Tools, qui affiche l’adresse IP grâce à un widget sur l’iPad et l’iPhone. Quant au Mac, on accède depuis la barre de menu à son adresse IP avec une petite app comme iStat Menus.

Pourquoi utiliser une adresse IP statique ?

Si l’on veut assurer la sécurité d’une connexion sur un serveur distant, on utilise une connexion SSH qui authentifie à la fois le client et le serveur. La seule façon que son ordinateur ou son téléphone soit reconnu par le serveur distant, c’est de lui indiquer une adresse IP fixe. Or, comme indiqué précédemment, l’adresse IP attribuée par le VPN peut changer. Une solution est l’utilisation d’un “résolveur DNS”, dont le rôle est, à partir d’une IP dynamique, d’obtenir un nom d’hôte fixe, comme si son ordinateur disposait d’une adresse permanente sur Internet.

DynuJ’ai choisi (pour le moment ?) comme résolveur DNS dynu.com parce que c’est le seul que j’ai trouvé, qui dispose d’une application iOS/iPadOS. Dynu propose des apps pour Windows, Linux, MacOS, iOS et Android.

(Ajout du 17/08/21 – 16h15) Dynu actualise très rapidement l’adresse IP, sur le Mac, toutes les deux minutes… celle-ci étant affichée par l’icône de la barre de menu et permettant ainsi de vérifier rapidement si le changement d’adresse du VPN est bien pris en compte ; en revanche sur l’iPad, il est parfois nécessaire de la “rafraîchir” manuellement.

Avec ce résolveur DNS, on peut par exemple créer une adresse monordinateur.dynuddns.net. Il est alors possible de paramétrer son routeur ou sa box avec cette adresse « fixe », de façon que tous les appareils connectés au même réseau soient reconnus par le serveur distant ; si l’on installe l’application fournie par le résolveur DNS sur son ordinateur, sa tablette ou son téléphone, chaque appareil peut-être ainsi identifié par le serveur, que l’on soit connecté via sa box ou en déplacement.

Mais si chacun des appareils est connecté au VPN distinctement, celui-ci attribue une adresse IP différente à l’un et à l’autre. Si ces deux appareils utilisent le même compte Dynu, le résolveur DNS ne pourra pas déterminer quelle adresse IP correspond au nom d’hôte (du moins le résolveur Dynu, je n’ai pas testé avec les autres, puisque seul Dynu propose une application pour iPad). J’ai créé un compte différent sur dynu.com, l’un pour le Mac, l’autre pour l’iPad.

Pour que le serveur distant reconnaisse le Mac et l’iPad, j’ai indiqué dans ses paramètres les deux noms d’hôtes du type monordinateur.dynuddns.net et matablette.dynuddns.net. Les adresses attribuées par ProtonVPN étant des adresses statiques, qui ne changent pas, tant qu’on ne s’est pas déconnecté du VPN, je peux ainsi me connecter au serveur distant facilement, depuis les deux appareils simultanément.


Ecrit par Lise - Site

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Laisser ces deux champs tels quels :

Protégé par Invisible Defender. 312 887 spammeurs ont vu s'afficher une page d'erreur 403.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.