L'utilisation du VPN a considérablement augmenté au cours des cinq dernières années. Alors que les utilisateurs occidentaux sont moins susceptibles de se connecter en ligne via un client VPN, ceux des pays d'Asie et des BRICS sont les principaux abonnés. Cela permet la confidentialité en ligne, le cryptage et même d'éviter le blocage de la région, utile pour regarder la télévision à l'étranger ou Netflix.
Mais qu'obtenez-vous pour vos 10 $ par mois? Pour savoir ce qui se passe dans les coulisses d'un serveur VPN, nous avons parlé à NordVPN.
Dans ce qui est considéré comme une première dans l'industrie, TechRadar Pro et NordVPN se sont associés pour une visite guidée d'un serveur VPN. Les techniciens de NordVPN ont utilement mis en place une session SSH pour démontrer les aspects clés d'une sélection aléatoire de serveurs VPN.
Mark Halstead est le CTO de NordVPN et il nous a guidés à travers la politique de l'entreprise sur la journalisation et comment elle est mise en œuvre. Son collègue Tom Okman s'est également joint à nous pour d'autres explications.
Sommaire
Anatomie d'un serveur VPN
Nous avons commencé par regarder un serveur VPN.
L'utilisation d'un VPN est simple en tant qu'abonné. Vous vous connectez au serveur via le client VPN, qui par défaut chiffre et achemine toutes les activités de votre PC vers le serveur VPN choisi. À partir de ce moment, le serveur VPN authentifie l'accès et fournit une passerelle vers Internet au-delà. Le serveur est protégé par un NAT / pare-feu, tandis que le DNS récursif aide à garantir une connexion réussie au site Web ou au service prévu (peut-être en streaming une chaîne YouTube). Une base de données de sessions en direct pourrait également être en cours d'exécution, parallèlement à un suivi statistique.
Un VPN est censé améliorer votre confidentialité et garantir l'anonymat en ligne. L'un des principaux avantages de l'utilisation d'un abonnement VPN payant est que l'entreprise fournissant l'accès à ses serveurs VPN conserve le moins d'informations possible sur vous et votre activité.
Les systèmes d'exploitation créent des journaux par défaut, ce qui signifie que tout fournisseur VPN consciencieux prendrait des mesures pour le désactiver. Alors, comment NordVPN a été méticuleux?
La session a révélé que les serveurs Linux de NordVPN sont configurés avec divers outils qui améliorent la sécurité, la confidentialité et l'authentification. FreeRADIUS est utilisé pour l'authentification, tandis que le logiciel proxy Squid est également utilisé. SaltStack est utilisé pour une configuration de serveur correcte, contrôlant l'infrastructure.
Un serveur VPN en cours d'exécution (dans ce cas, un boîtier basé en Irlande avec 149 jours de disponibilité) est configuré avec OpenVPN ainsi qu'IPsec pour le cryptage des données. Quatre threads sur TCP et quatre sur UDP sont acheminés via OpenVPN, avec les deux protocoles de transport à statut égal.
Comment les fuites DNS sont évitées
Un aspect important de la confidentialité des VPN est la protection contre les fuites DNS. Cela se produit lorsque les demandes à un serveur DNS (essentiellement un index des adresses IP et les URL de sites Web correspondants) sont visibles par toute personne surveillant la connexion, malgré l'utilisation d'un VPN.
L'observation de votre activité en ligne à cet égard pourrait divulguer des informations qui pourraient au mieux s'avérer gênantes. Les fuites DNS peuvent être vérifiées sur IPleak.com, mais que font les services VPN pour empêcher les fuites DNS?
Les serveurs de NordVPN, comme prévu, utilisent leur propre DNS. Mais les systèmes d'exploitation présentent des défis. Par exemple, sur Android, le système d'exploitation doit désactiver IPv6 pour éviter la possibilité de fuite DNS. Cela semble toutefois être une solution à court terme, car NordVPN prévoit de mettre en service des serveurs VPN IPv6.
Un autre risque pour les utilisateurs de VPN qui s'est produit ces derniers mois est l'arrivée de serveurs VPN qui prétendent être dans le pays X mais sont en fait situés dans le pays Y. Ce n'est pas quelque chose que NordVPN pratique. "Nous avons une politique très stricte à ce sujet … nous pensons que nous ne devrions avoir nos serveurs qu'aux emplacements où nous le disons."
Assurer la politique d'absence de journalisation
Les utilisateurs de VPN s'attendent à ce que leur activité soit privée. Comme les données sont cryptées entre l'appareil client et le serveur VPN, il est raisonnable de supposer que les journaux ne seront pas conservés au-delà.
Mais que faire si un gouvernement l'exige? Les VPN basés dans certains pays (comme les États-Unis, le Canada, le Royaume-Uni, l'Australie et la Nouvelle-Zélande, les Five Eyes) seraient obligés par la loi de fournir des journaux de l'activité de ses abonnés sur un ou plusieurs serveurs.
L'approche de NordVPN en matière de non-journalisation consiste simplement à désactiver les journaux sur leurs serveurs. En fondant la société au Panama, elle est sous la juridiction d'une autorité qui n'a pas de lois obligatoires sur la conservation des données. De plus, le Panama n'est pas impliqué dans les alliances Five Eyes ou Fourteen Eyes. NordVPN exploite une page "mandataire" sur leur site afin que les abonnés puissent vérifier si le service VPN a reçu des mandats, des ordres de bâillon ou des "lettres de sécurité nationale".
Nous avons déjà vu qu'un serveur VPN est compliqué; avec 5629 serveurs dans 58 pays, comment NordVPN s'assure-t-il que leurs serveurs ne consignent pas l'activité des abonnés?
Simplement, les journaux sont configurés pour écrire sur un périphérique virtuel qui n'existe pas. Toutes les données générées sur les connexions, les destinations et l'activité sont simplement jetées dans l'éther en utilisant le chemin dev / null.
Pour démontrer, Mark nous a montré des serveurs en Italie, à Hong Kong et en Irlande. Hong Kong et l'Irlande étaient TechRadar Prochoix, alors que l'Italie était NordVPN. Dans les trois cas, une commande grep a démontré l'état des serveurs choisis (ou dans le cas de l'Italie, tous les serveurs).
Chaque vérification a montré que les journaux étaient rejetés vers le chemin virtuel inexistant de dev / null. Le résultat est des serveurs VPN sans journal – exactement ce que recherche un utilisateur VPN soucieux de la sécurité et de la confidentialité.
NordVPN est si confiant dans sa politique de non-journalisation qu'il a engagé le géant de l'audit PricewaterhouseCoopers pour évaluer ses serveurs VPN. Les audits réussis sont un insigne d'honneur qui améliore la réputation.
Sécurité et DDoS
La connexion à un serveur VPN doit être simple. Cependant, avec le potentiel de tant d'activités exposées, les VPN sont régulièrement ciblés par des attaques DDoS. Les attaques par déni de service distribuées compromettent la capacité d'un serveur à traiter efficacement les données, ce qui a pour conséquence que le propriétaire du serveur les met hors ligne.
"Si un fournisseur auprès duquel nous louons un serveur n'est pas préparé… il y avait des problèmes pour les clients connectés au serveur. C'était plus de 500 Go par seconde", nous a expliqué Mark. "Nous ne travaillons jamais dans un pays avec un seul fournisseur", poursuit Tom. "Nous avons un mécanisme qui surveille la santé des systèmes et supprime automatiquement le service de la connexion rapide et des API."
Cela signifie que le serveur cible est rendu intentionnellement inaccessible pour les clients PC et mobiles.
"Nous travaillons avec des fournisseurs de cloud comme Cloudflare et Amazon dans certains cas, donc c'est plus atténué."
Alors que NordVPN a une stratégie pour faire face aux attaques DDoS lorsqu'il est ciblé, ils construisent également des serveurs plus rapides. S'appuyant uniquement sur la RAM, leurs serveurs sans disque et la nouvelle technologie TCP sont susceptibles d'avoir un impact sur l'accélération de l'ensemble de l'industrie VPN.
Accélérer les VPN
Dans un marché occupé, les sociétés VPN doivent se démarquer de la concurrence. Une façon de le faire est d'offrir de meilleures performances aux clients VPN. NordVPN développe plusieurs technologies pour améliorer la vitesse et la sécurité et a pris le temps de partager les détails de deux d'entre elles.
Les serveurs sans disque sont à peu près ce que vous attendez, des serveurs sans pièces mobiles. Conçus pour démarrer à distance et s'appuyer sur la RAM plutôt que sur un disque dur à rotation physique, les serveurs sans disque ont été introduits avec un triple avantage: réduire la dépendance à l'égard des serveurs loués, améliorer la sécurité et améliorer les performances.
Dans une attaque DDoS théorique, un VPN fonctionnant sur un serveur sans disque peut être mis hors ligne instantanément, ce qui atténue considérablement l'impact de l'attaque. "Avec ces serveurs en RAM, je ne pense pas que le piratage du système aurait beaucoup de sens", nous dit Tom. "Une fois qu'il a redémarré, une fois les informations d'identification modifiées, il est automatiquement réinstallé, frais dès le début."
Imaginez aller en ligne via un VPN et constater que la vitesse de votre connexion Internet a augmenté. Cela semble vrai, mais la technologie de fractionnement TCP de NordVPN, sur laquelle un brevet est en instance, surmonte la limitation du FAI (également connue sous le nom de mise en forme du trafic ou de priorisation des données, bien que les termes ne soient pas précisément interchangeables).
Les tests de NordVPN ont révélé que les connexions à des sites basés hors d'Europe utilisant le fractionnement TCP sont plus rapides que celles établies sans la technologie en place. De telles performances peuvent améliorer le streaming et les jeux en ligne, sans parler de la collaboration en ligne sur des projets créatifs. Cela pourrait bien être la prochaine grande chose dans le marketing VPN: "Obtenez un Internet plus rapide avec un VPN!"
Améliorer l'industrie VPN
Quelques mauvaises décisions commerciales peuvent ruiner une réputation en ligne. Des applications logicielles de sécurité ont par exemple été trouvées dans la vente de données clients. Les sociétés VPN sont tombées au bord du chemin, mais il y a une maturité dans l'industrie.
Faisant partie de la Coalition pour l'infrastructure Internet (i2Coalition), la VPN Trust Initiative (VTI) est un consortium de sociétés VPN visant à améliorer la sécurité numérique pour les clients. NordVPN a rejoint plusieurs sociétés VPN connues et influentes qui se sont inscrites au VTI en tant que membres fondateurs.
Avec le lancement d'un programme de bug bounty en décembre 2019, NordVPN se fait aussi ouvert et honnête qu'un service de cryptage peut l'être. Si le reste de l'industrie suit cet exemple, tout le monde en bénéficiera.
- Nous avons également mis en évidence les meilleurs services VPN
