En ce qui concerne les services VPN, chacun a ses préférences individuelles, et il en va de même pour les protocoles utilisés pour les chiffrer.
Les protocoles de cryptage OpenVPN et IPsec ont longtemps dominé le perchoir, mais le protocole émergeant WireGuard prouve que des niveaux de cryptage élevés peuvent être obtenus pour moins de frais généraux.
Nous avons rencontré Daniel Sagi, COO chez Kape Technologies, la société mère de Private Internet Access, pour en savoir plus sur la valeur que WireGuard peut offrir et sur l’approche de l’entreprise en matière de protocoles à l’avenir.
Sommaire
Vous avez contribué financièrement au protocole WireGuard et maintenant toutes vos applications de bureau et mobiles prennent en charge le protocole. Les clients mobiles manquent toujours de certaines fonctionnalités telles que les connexions par application. Quand seront-ils disponibles et y a-t-il d’autres fonctionnalités sur lesquelles vous travaillez actuellement?
La fonction de split-tunneling est disponible sur la version Android. Notant que les applications iOS utilisent le bac à sable Apple, la modification du comportement d’autres applications n’est pas prise en charge. Par conséquent, nous n’implémentons actuellement pas cette fonctionnalité sur iOS car il s’agit d’une limitation spécifique à la plate-forme.
Pour les clients de bureau, nous travaillons actuellement sur une nouvelle fonctionnalité de gestion de réseau La fonctionnalité de gestion de réseau permet aux utilisateurs de créer des règles d’automatisation dédiées pour chaque type de réseau (sans fil ou filaire, ouvert ou sécurisé). De cette manière, l’application PIA se connectera ou se déconnectera automatiquement lorsque l’utilisateur se connectera à ce réseau particulier de la manière que l’utilisateur avait dédiée via la règle d’automatisation.
Envisagez-vous de passer par défaut à WireGuard au lieu d’OpenVPN?
Nous ne voulons forcer personne à utiliser un protocole spécifique. Nous voulons donner à nos clients un contrôle total sur la configuration du protocole et voir cela comme une décision évolutive avec la fourniture du meilleur service à un client en fonction de ses besoins.
À cette fin, nous expliquons clairement les avantages du Wireguard dans des écrans d’introduction dédiés à partir desquels ils peuvent l’activer et nous chercherons des moyens pour le client d’optimiser automatiquement sa connexion recommandée en fonction de ses préférences cette année.
Pouvez-vous nous dire quelques-uns des avantages que WireGuard offre par rapport au vénérable OpenVPN? Quel est l’avantage d’avoir le WireGuard intégré directement dans le noyau Linux pour les utilisateurs de PIA?
WireGuard est un nouveau protocole VPN qui a été construit après que les spécialistes de la cryptographie ont étudié OpenVPN et IPsec et est venu avec une nouvelle conception qui améliore la pile réseau utilisée et dispose également d’une sélection moderne d’algorithmes de cryptage, ce qui se traduit par de meilleurs taux de transfert et des temps de connexion plus rapides. Jusqu’à ce point, WireGuard offre plus de stabilité et une meilleure vitesse.
Tous les logiciels qui s’exécutent dans «l’espace noyau» fonctionneront plus rapidement et consommeront moins de puissance CPU. Le noyau Linux a été le premier noyau à recevoir le support de WireGuard. Les utilisateurs qui utilisent le module noyau pour WireGuard connaîtront probablement de meilleurs taux de transfert (10% de vitesses plus élevées pour les téléchargements), et bénéficieront également d’une durée de vie de la batterie améliorée pour leurs appareils. Nous sommes ravis de voir les résultats lorsque de nouveaux appareils Android recevront le module de noyau WireGuard de l’usine, et nous espérons que Microsoft et Apple feront également un pas dans cette direction pour fournir des plongeurs / modules pour WireGuard, afin que nous puissions voir la même chose amélioration sur toutes les plateformes.
Vous avez mis en place le code de tous vos clients et extensions sur GitHub. Est-ce uniquement à des fins de vérification? Ou êtes-vous également ouvert à recevoir des contributions et des corrections de bogues de la part de contributeurs externes?
Oui, nous avons le code de tous nos clients sur GitHub. Nous faisons cela pour permettre un processus d’audit public. Nous discutons également en permanence avec notre communauté, et nous acceptons même les Pull Requests pour des améliorations et des corrections de bogues de la part de contributeurs externes
En parlant de corrections de bogues, certains de vos pairs (notamment ProtonVPN) ont également des programmes de primes de bogues. Avez-vous de tels plans?
PIA a été l’un des premiers fournisseurs de VPN à créer un programme de prime aux bogues sur mesure en novembre 2013 et continuera à chercher comment nous pouvons étendre le programme à succès encore cette année.
ProtonVPN a également fait vérifier son code par Mozilla. L’Open Sourcing du code est une étape positive, mais prévoyez-vous également d’inviter des auditeurs à parcourir votre code?
Open-sourcing signifie que notre code est ouvert à tout le monde pour auditer à tout moment. Vérifier, pas faire confiance est une philosophie et un message que nous utilisons depuis plusieurs années. Nous nous félicitons de la validation externe et étudions activement cette option depuis un certain temps. Nous voulons nous assurer qu’un audit n’est pas seulement un badge acheté – c’est une vérification en laquelle vous pouvez avoir confiance.
Pouvez-vous partager quelques détails sur les serveurs qui alimentent le service? Quel OS / distribution exécutent-ils? Quelles mesures de sécurité mettez-vous en place sur les serveurs?
Nous exécutons Linux sur les nœuds de trafic, avec les mesures de sécurité suivantes:
- Tous les nœuds sont cryptés et une vérification du système est exécutée avant le décryptage
- Tous les logiciels sur les serveurs sont conservés aussi nouveaux que possible; nous avons un processus de mise à niveau automatisé qui maintient tous les nœuds à jour.
- Tous les services sont isolés via les espaces de noms Linux et exécutés à partir de la mémoire (les services VPN ne s’exécutent pas à partir du disque)
- La protection MITM a été ajoutée pour les connexions SSH (vérification automatique des empreintes digitales avant la connexion)
Puisque vos clients sont sous GPLv3, prévoyez-vous de travailler avec des distributions Linux pour les inclure dans les dépôts officiels?
Nous avons discuté d’autres options de packaging Linux telles que l’offre de packages DEB / RPM, mais l’obstacle à l’inclusion dans les dépôts de distribution officiels est que nous devrons retirer toutes les dépendances de la distribution – ce qui signifie que nous pourrions ne pas obtenir la version précise de Qt que nous voulons . En conséquence, nous évaluons toujours l’option que nous souhaitons poursuivre.
- Voici notre liste des meilleurs services proxy en ce moment
