Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Go Top

Un VPN gratuit pour tous

Un VPN gratuit pour tous

Daiyuu Nobori, un étudiant japonais de l'Université de Tsukuba a lancé un tout nouveau service de VPN qui a la particularité d'être 100% gratuit et qui peut être utilisé par tout le monde.

Pour son projet VPN Gate, il a utilisé un logiciel sous licence GPL baptisé SoftEther qui fonctionne sous Windows, Linux, Mac, FreeBSD et Solaris afin de créer un réseau de "volontaires" comme il les appelle, qui partagent leur connexion internet pour y faire transiter des connexions VPN. Ces "volontaires" sont des gens de partout dans le monde qui installent simplement le serveur SoftEther et qui le configurent pour en faire un relai VPN public.

tsukuba

À partir de là, les ressources sont partagées et ceux qui ont besoin d'un accès VPN peuvent se connecter librement à ce réseau de volontaires grâce au client (Windows et Linux uniquement d'après ce que j'ai vu). Une liste est mise à jour constamment via l'application. Ca me rappelle un peu l'initiative TOR.

SoftEther est un logiciel assez évolué et puissant puisqu'il autorise le tunneling (SSL VPN) via HTTPS (ce qui permet de passer outre les firewalls), supporte un chiffrement en AES 256 bit et RSA 4096 bit et tout ce qu'un bon OpenVPN peut faire.

0-03-3-4-1-2

0-00-4-2-1

Bref, c'est du costaud !

Évidemment, Daiyuu a fait traduire son site pour les anglophones et ceux qui parlent chinois. Ces derniers sont d'ailleurs les premiers à se servir de ce service puisqu'il est difficile pour leur gouvernement de filtrer tous les VPN de volontaires.

Je trouve que l'initiative est intéressante et si je trouve 5 minutes, j'installerai peut être un relai su un serveur pour soutenir ce projet.

Source


Facebook Twitter Email Copier Url

60 Responses to “Un VPN gratuit pour tous”

  1. Julien dit :

    Je n’y connais pas grand chose en réseaux alors je me permets de poser une ou deux questions :
    1°) Quelle différence avec Tor ?
    2°) J’ai entendu qu’à une époque le dernier noeud Tor était en mesure de voir “clairement” ce que contenait le flux qui transitait par lui (sauf pour HTTPS il me semble), la même chose est elle envisageable ici ?

    Merci à ceux qui pourront m’éclairer !

  2. Leaskim dit :

    Tor n’est pas chiffré, il n’a rien d’un VPN, il fait transiter que du TCP en clair. C’est plus une sorte de réseau de proxies/routeurs. Du coup effectivement en sortie, chaque gars qui possède un noeud de l’oignon peut tout sniffer. Eventuellement même du HTTPS s’il a un proxy qui le décapsule. Ici c’est un VPN donc le transport est chiffré de bout en bout, Ca permet d’éviter des parefeux d’états notamment. Par contre tu peux probablement sniffer en sortie de la même façon.

  3. Julien dit :

    Merci beaucoup !
    C’est plus clair maintenant

  4. Cédric Cabadet dit :

    Tor fait transiter du chiffré, plusieurs couches de chiffrement même (d’où le terme de chiffrement en oignon: plusieurs couches l’une dans l’autre). Si le service distant est interrogé en HTTP, le dernier relai (noeud de sortie) peut en effet tout voir.

    C’est pourquoi Tor est maintenant fourni sous forme de navigateur avec l’extension HTTPS-Everywhere qui réécrit les URLs en HTTPS lorsque le site visité le permet, cela permet de se protéger d’attaques qui réécrivent les requêtes HTTPS vers HTTP.

    Si le noeud de sortie tente de “décapsuler” HTTPS avec un faux certificat, le navigateur affiche une alerte “certificat invalide” et c’est à l’utilisateur de décider de lui faire confiance ou non.

    L’inconvénient de Tor ou de ce système est la vitesse à laquelle de nouveaux relais apparaissent et comment les clients obtiennent leur liste. Si un censeur étatique peut bloquer les relais plus vite qu’ils n’apparaissent, c’est inutile. D’où les “Bridge relay” de Tor dont les adresses sont distribuées avec précautions pour que l’entrée du réseau ne soit pas facilement blocable.

  5. Leaskim dit :

    Je me suis renseigné un peu. A priori Tor chiffre avec la clé privée de chacun de ses relais. Mais sinon, je savais pas que Tor utilisait un chiffrement, merci pour les détails. Je m’y étais penché il y a fort longtemps et ne suis pas revenu dessus depuis.

  6. Vincent Chalmel dit :

    N’est il pas possible qu’un “volontaire” s’inscrive sur ce réseau avec une version modifiée du serveur lui permettant d’intercepter le transit ?

  7. Leaskim dit :

    Le transit passe chez toi, donc l’intercepter, sauf erreur de ma part ou subtilité que j’ai pas saisi, c’est déjà possible sans rien modifier.

  8. Vincent Chalmel dit :

    Et la sécurité dans cette histoire, on a rien dans l’article sur le cryptage qui empecherait les les volontaires de récupérer des données sensibles, bancaires ou autres…

  9. Dodutils dit :

    Encore une fois attention à l’usage premier de SotfEther VPN, cet outil est fait pour gérer un vrai VPN personnel/d’entreprise et d’ailleurs un module DPI est prévu.

    Il y a un plug-in VPN Gate qui a été ajouté à SotfEther et c’est lui qui permet de créet un “hub” avec accés anonymous et enregistrement auto du “hub” sur vpngate.net

    Et c’est à cause de ce plug-in que beaucoup de sites parlent de SoftEther (y compris Korben).

    Et en effet comme tout VPN, celui qui a le serveur peut potentiellement espionner.

  10. BENETNATH dit :

    d’un point de vue légal, peut-on être responsable de ce qui transite par notre connection dans ce cas ?

  11. Leaskim dit :

    Je suis pas avocat, mais il me semble qu’Hadopi dit que t’es responsable de ta connexion

  12. Dodutils dit :

    Tu es responsable jusqu’à ce que tu puisse prouver la responsabilité d’un tiers étant donné qu’Hadopi ne t’identifie pas personnellement mais identifie le titulaire de l’abonnement qui doit ensuite se justifier.

  13. PofMagicfingers dit :

    Il me semble d’après leur site et le schema que tu as mis, que c’est compatible Mac OS, vu qu’on peut s’y connecter via L2TP. C’est inclus de base dans énormément d’OS (y compris mobile) ce protocole.

  14. Cactus007 dit :

    Et point de vue vitesse ça donne quoi? C’est aussi lent que TOR?

  15. NIPSEN dit :

    Tout dépend du serveur que tu choisis. Mais globalement, oui c’est plus rapide.

  16. Et légalement, si on installe ça sur un serveur et que quelqu’un télécharge des conneries via notre serveur, comment ça se passe?
    Je me doute que pour que ce soit viable, le fournisseur du serveur doit être protégé, mais je ne connais pas la legislation dans ce genre de cas.

  17. Dodutils dit :

    Dans ce cas c’est à toit de prouver que tu n’es pas en cause et fournir la preuve que c’est une autre personne qui a téléchargé les données. Et dans tous les cas ils se basent sur le fait que c’est à toi de sécuriser ton propre accès et que si tu ne le fais pas tu es “négligent” et le fait d’ouvrir ton accès aux anonymes qui peuvent faire ce qui veulent depuis ton IP est considéré comme une négligence caractérisée.

  18. Julien dit :

    En plus, en France un fournisseur d’accès (et tu en deviens un, au sens technique (et légal ?) du terme) doit conserver certaines données sur ses “abonnés” pendant 1 an il me semble.

  19. Rafale-D dit :

    Moi j’aimerais avoir un éclaircissement au niveau des VPN. UN VPN nous rend anonyme, crypte notre connexion, ect… Mais est ce que le service VPN auquel nous avons souscrit peux voir ce qui transite? Est ce que, si je fais mes achats en ligne alors que je suis connecté en VPN, mes données sont-elles aussi bien protégés?

  20. Julien dit :

    Normalement, et j’espère, que c’est crypté par une clef utilisateur, et non une clef généré par le serveur (parce que dans ce cas, le cryptage serait réversible).

  21. Leaskim dit :

    Même dans ce cas il existe des attaques pour déchiffrer à la volée (MITM). C’est ce que font les proxies professionnels avec la décapsulation du SSL. Tu as aussi les technos de DPI qui peuvent faire mal

  22. Julien dit :

    C’est aussi pour ça que j’utilise pas Tor. On ne sait pas qui se trouve derrière, et si il a les moyen pour le déchiffrage. J’ai eu le malheur une fois de lancer mon client IRC (authentification automatique…) sur un réseau, mon ID a été volé en l’espace d’une heure (TakeOver, ghost NickServ, etc).

    Ça relève de ma faute, mais on ne m’y reprendra pas à deux fois.

  23. Cédric Cabadet dit :

    Ca dépend du logiciel utilisé pour se connecter au service. Si un site propose de l’HTTPS, le navigateur affiche une alerte si le certificat est invalide et l’utilisateur peut réagir. Mais beaucoup de logiciels ne vérifient même pas la validité des certificats ou passent outre les erreurs. C’est ce qui permet beaucoup d’attaques contre SSL, en plus des autorités de certification qui délivrent des certificats à n’importe qui.

    Pour les clients IRC il y a l’OTR (Off-the-Record Messaging), par exemple, comme plugin pour Pidgin.

    Mais c’est sûr qu’utiliser des proxies augmente les chances d’être surveillé par le relais de sortie. Consulter des services qui propose du chiffrement de bout-en-bout et utiliser des logiciels dont on est sûr de la sécurité (vérification des certificats, de la chaîne de confiance: certificate pinning de Chrome, des listes de révocation,…) est plus que recommandé. Sinon, c’est bien plus dangereux qu’une connexion directe, à moins d’être sur un réseau non sûr (Wifi ouvert dans un hôtel…).

  24. Victor dit :

    Cédric, pourrais-tu indiquer ce que tu entends par chiffrement de bout-en-bout, un tunneling ? Comment peux-tu vérifier la chaîne de confiance?

    Enfin je comprend très bien l’idée que tu donne ici mais je ne voit pas comment tu t’y prends concrètement…

    Dans mon cas je passe par un VPN et je fait de mon mieux pour assurer la sécu de mon réseau mais très sincèrement mis a part un bonne dose de bon sens et de méfiance je n’ai rien mis d’autre en place pour me proteger…

  25. Cédric Cabadet dit :

    Chiffrement de bout-en-bout: le service que l’on consulte propose de chiffrer la connexion (HTTPS, FTPS), le serveur VPN de sortie ne peut pas lire les communications. Si le service ne propose pas de chiffrement, on ne peut rien y faire.

    Vérifier la chaîne de confiance: si le relais de sortie utilise un faux certificat pour faire du MitM SSL, ton logiciel doit le détecter et afficher une alerte.
    Si l’attaquant parvient à obtenir un certificat valide en trouvant une autorité de certification que ton logiciel connaît pour signer son certificat, son attaque réussira.
    Pour se protéger de ces certificats valides mais non légitimes, Google a inclus dans Chrome le mécanisme de “Certificate Pinning”. Les chaînes de certifications valides de Google (Equifax signe Google qui signe *.google.fr) sont inscrites en dur dans Chrome et si une autorité Chinoise signe un certificat pour google.fr, elle sera refusée. C’est ce qui a permis de découvrir le MitM SSL de l’Iran sur Gmail alors que les certificats étaient valides puisque signés par Comodo.

    Mais les chaînes de certifications sont trop nombreuses pour être toutes enregistrées comme ça.

    Il y a aussi des extensions comme Convergence et Perspectives qui veulent remplacer les autorités de certification par une liste de “notaires”.

    Comment tu t’y prends concrètement: je ne le fais pas. On peut consulter des services vraiment compatibles (que de l’HTTPS, pas d’inclusions de fichiers hébergés ailleurs en clair) et surveiller les certificats utilisés (vider son magasin de certificats puis les accepter au cas par cas, utiliser l’extension Certificate Patrol), mais on ne peut pas imposer son niveau de sécurité au service que l’on consulte.

  26. Dodutils dit :

    Sans chercher des moyens compliqués, techniquement il y a forcément un moment où tes données VPN finissent par sortir de ce tunnel pour transiter “en clair” (sauf si le flux de base est déjà chiffré comme par exemple une session HTTPS entre un navigateur et le site WEB final) et donc rien n’empêche le propriétaire du VPN d’installer un simple sniffeur au point de sortie.

  27. Rafale-D dit :

    C’est ce que je pensais. Globalement on dit que le VPN sécurise et rend anonyme… c’est vrai pour les autres qui nous regardent mais pas pour le propriétaire du service VPN.
    Finalement il faut bien se renseigner et ne pas forcement faire confiance a n’importe quel VPN.
    Je suis constamment connecté en VPN et je me demande si lors de mes achats il n’est pas plus preferable de désactiver le VPN momentanément.

  28. Dodutils dit :

    Normalement les sites de vente en ligne passent en HTTPS lors de la phase d’achat donc ton flux est chiffré de bout en bout y compris en sortie de tunnel.

  29. Leaskim dit :

    Sauf qu’un canal HTTPS ça se décapsule.

  30. Dodutils dit :

    Evidemment on peut TOUT faire et si on part de là on ne fait pas non plus rien !

  31. Cédric Cabadet dit :

    Confère mon post plus bas. On peut réécrire les requêtes et liens de HTTP vers HTTPS avec SSLStrip. On peut utiliser un certificat signé par une autorité de certification peu regardante, malveillante ou compromise. On peut tirer parti de serveurs mal configurés: acceptent SSLv2 ou des suites cryptographiques faibles (DES avec MD5), anciennes versions vulnérables…

    Mais il existe des outils pour s’en protéger sous forme d’extensions au navigateur, c’est juste très contraignant pour un usage courant, et si le service consulté est vulnérable, soit on ne l’utilise pas, soit on accepte le risque. Surtout qu’un certificat invalide n’est pas forcément synonyme d’attaque: date d’expiration, erreur de domaine par celui qui l’a fait signé, autorité populaire mais non reconnue (CACert).

  32. Leaskim dit :

    Oui oui, c’est juste qu’un tel outil sera utilisé par des dissidents à certains régimes, et que la moindre approximation pourra leur couter la vie ;)

  33. Guillaume MASSART dit :

    Peux t’on choisir la sortie du VPN et donc le pays au passage?

  34. Dodutils dit :

    Oui tu vas simplement sur le site vpngate.net et tu as la liste des serveurs (et leur pays) http://www.vpngate.net/en/

  35. Julien dit :

    Une chose qui me ferait me méfier tout de même : ils prétendent être “plus rapide” que OpenVPN et disent qu’ils sont basés sur HTTPS. Un réseau VPN qui utilise TCP comme couche de transport et qui se prétend “rapide”, je demande à voir !

  36. Julien dit :

    Je peux pondre un graphique du meme genre s’il le faut ;) Ca ne prouve pas grand chose.

    Mon interrogation porte plus sur le fait qu’un VPN base sur TCP ca ne peut, par design, pas etre plus rapide qu’un VPN base sur UDP. A cause des acquitements surtout.

    J’aimerais vraiment voir la description de leur protocole ainsi que leur facon des gerer les differents aspects de securite (dire qu’on est “securise” c’est du marketing/du vent). Mais je n’ai pas trouve ca sur leur site…

  37. Adrien dit :

    Je suis preneur d’un petit tuto s’il y en a un :)
    Je viens de l’essayer au boulot mais j’ai toujours la restriction (en même temps, j’ai testé sur le serveur de test par defaut)

  38. Adrien dit :

    Je ne lis jamais les manuels… (signe de vieillesse) Aww je vieillis merde ! :)

  39. Dodutils dit :

    Justement ce n’est pas un lien vers le manuel mais vers le tutorial

  40. Sfa dit :

    Ca m’a franchement l’air bien ficelé comme logiciel. Une sorte de réseau VPN en P2P en somme.

  41. Leaskim dit :

    Euh non, le transport est chiffré, mais faut bien que ça sorte quelque part. Si tu fais du P2P dans un VPN, tu fais quand même du P2P. Un gars utilise ta connexion pour de l’illégal, le détenteur de la connexion est responsable, sauf preuve qu’il ne l’est pas

  42. Viken dit :

    Oui, effectivement tu as raison !

  43. zaza dit :

    salut, je viens de tester, c’est parfait, c’est super rapide :)

  44. Carminbook dit :

    c’est clair :-)

  45. Dodutils dit :

    J’ai regardé un peu la doc et je vois ça :

    Current version of SoftEther VPN 1.0 hasn’t implemented the following features:

    DoS protection mechanism
    RADIUS / NT Domain user authentication
    RSA certificate authentication
    Deep-inspect packet logging **************
    Source IP address control list
    syslog transfer

    Donc il risque d’y avoir dans les prochaine versions une fonctionnalité/plug-in DPI

  46. Dodutils dit :

    Par contre attention à ne pas confondre le projet SoftEther VPN et VPN Gate.

    Par défaut SoftEther VPN est un VPN privé personnel ou d’entreprise et c’est le plugin VPN Gate qui permet d’en faire un VPN “public” à des fins … différentes, et l’auteur de SoftEther VPN met l’accent sur cette différence :

    We have great appreciation that SoftEther Project is mentioned by many news articles around the world recently. Unfortunately, some news articles seem to misunderstandd as if SoftEther Project is exactly equal to VPN Gate Project. That is not correct.

    – SoftEther VPN is a VPN suite. You can make your own private VPN by using SoftEther VPN.

    -VPN Gate is an extension module for SoftEther VPN. If you activate VPN Gate extension on VPN Server, then a Virtual Hub “VPNGATE” will be created on your VPN Server. The “VPNGATE” hub contains the “vpn” user with anonymous-attributes. This means that anyone who knows your VPN Server’s IP address can connect to the “VPNGATE” hub on your VPN Server. Additionally, VPN Gate extension registers your “VPNGATE” hub on the http://www.vpngate.net web site’s directory.

  47. Tu utilises le mode L2TP de SoftEther, et donc tu peux utiliser les fonctions de connection VPN de windows sans rien installer.
    Regarde ici : http://www.softether.org/4-docs/2-howto/L2TP%2F%2FIPsec_Setup_Guide_for_SoftEther_VPN_Server/4.Windows_L2TP_Client_Setup
    Par contre, il faut que le serveur VPN ait activé ce mode de fonctionnement.

  48. Carminbook dit :

    Heu….Tu es sûr de ce que tu avances ? o_O !

  49. Dodutils dit :

    Si j’installe un serveur chez moi, c’est chez moi que tu viendras te connecter et c’est de chez moi que tu sortiras et c’est mon IP qui sera vue, on est simplement en mode relais.

  50. Carminbook dit :

    Tu veux quoi comme client ?

  51. Carminbook dit :

    Une question, sur http://www.vpngate.net/en/ il y a une liste des VPN, par contre quelqu’un sait comment on peut rentrer les VPN dans son manager ? J’ai essayé mais apparemment il n’en veux pas… :-(
    Ps) Je vais continuer de chercher ^^

  52. NIPSEN dit :

    Télécharge la version de SoftEther qui se trouve sur le site VPNGate, comme ca tu aura le plugin de vnpgate installé, ensuite dans le manager tu aura un lien qui te permettra de choisir ton VPN facilement.

  53. Symen dit :

    Je pense qu’il est fondamental de le souligner.
    Même si je vois la mise en place de ce genre d’outils comme un acte citoyen, il faut être conscient des conséquences légales.
    Il y a quelques temps un blogueur expliquait comment des flics sont venus chez lui réquisitionner tout son matériel informatique (poussé), à l’arrache, car il était suspecté d’héberger de la pornographie infantile! Même son téléphone y est passé…
    Il a compris peu de temps après que c’était dû à un noeud de sortie TOR qu’il avait installé sur un serveur, mais supprimé depuis des mois.

    Je ne sais pas comment cela se passerait en France ou ailleurs mais je ne serais pas prêt à risquer ça.

    EDIT: Il s’agit en fait d’un Autrichien. Lien de l’article : http://webcache.googleusercontent.com/search?q=cache:http://raided4tor.cryto.net/&hl=fr&client=firefox-beta&hs=pLZ&rls=org.mozilla:fr:official&strip=1
    (L’original semble hors-ligne : http://raided4tor.cryto.net/)

  54. raysar dit :

    Tu viens de détailler la définition du serveur VPN …
    On a bien compris que c’est “dangereux” quand notre ligne est associé a notre nom en france.

  55. lemondedestuts dit :

    très belle idée mais la question qui se pose comme dis par julien Normalement, et j’espère, que c’est crypté par une clef utilisateur, et
    non une clef généré par le serveur (parce que dans ce cas, le cryptage
    serait réversible).

  56. hastag dit :

    il y a bien 2 versions, le client et l’autre pour le serveur. Si on n’utilise qu’en tant que client ou est le probleme pour qu’on nous retrouve ?

  57. Guillaume MASSART dit :

    corrigé !

La menace des failles 0-Day

capture-vjhj

"En avril 2014, les chercheurs en sécurité de Google sont tombé sur une vulnérabilité présente à l’intérieur de la bibliothèque cryptographique OpenSSL. Petit problème, OpenSSL est utilisé sur les 2/3 des sites web qui utilisent HTTPS mais aussi par les téléphones Android. Heartbleed était né."

Si comme moi vous êtes un passionné de sécurité informatique et que vous vous demandez qu'est-ce qu'un truc comme Heartbleed peut causer comme dommages, la lecture de cet article sur les failles 0-Day est pour vous...et je vous rassure je ne parle pas du dernier film Blackhat récemment vu au ciné ;)

Lire la suite

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email
Rejoignez les 55277 korbenautes
et réveillez le bidouilleur qui est en vous
abonnez-vous en savoir plus
"Vous aimez bidouiller ?" Oui j'adore l'informatique et la technologie
Suivez Korben Un jour ça vous sauvera la vie.. Ou celle d'un(e) ami(e)
  • Rejoignez les 55277 bidouilleurs de la grande famille des Korbenautes
    «Je considère que votre email est aussi important que le mien.»
    Korben
  • Univers Populaires

  • Site hébergé par
    Agarik Sponsor Korben
  • Vidéos

  • DANS TON CHAT (BASHFR)

    I morticia I : Mais tu etais la omi ^^ le preservatif devait servir de bombe a eau...
    Alaiing : Et heureusement qu'Omi ne nous a pas lui aussi assailli avec un préservatif.. ça fait toujours peur l'assault d'Omi.

    -- http://danstonchat.com/5567.html
  • Une astuce pour rendre

    Windows 10 plus rapide

    Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin. Cliquez dans la zone de recherche de la barre Windows et tapez le mot clé...lire la suite

    Cryptool pour s'initier à la cryptographie

    Alors attention, ce n'est pas nouveau, mais je me suis dit que ce serait intéressant de vous en parler si vous ne connaissez pas encore. Cryptool est un logiciel open source éducatif qui va vous permettre de comprendre les principes de base de la cryptographie. Dans sa version 2, Cryptool intègre...lire la suite

    En ce moment dans l'univers "Windows"

    Voir tous les articles »