Vos adresses IP accessibles même derrière un VPN

anonymat

Vous avez une idée ? Trouvez gratuitement des développeurs sur Codeur.com !

Recevez des devis (gratuit)

Avec la multiplication des lois comme Hadopi, les utilisateurs souhaitant continuer de télécharger, se sont tourner vers les offres VPNs pour sécuriser leurs connexions. En effet, cette technologie permet de monter une connexion cryptée avec un serveur et faire ainsi transiter des informations qui pourraient leurs porter préjudices. Cependant mauvaise nouvelle pour eux,  une faille vient d’être découverte dans le système permettant de récupérer l’adresse IPv6 de l’utilisateur utilisant le service VPNs comme Ipredator ou Relakks.

En effet, c’est lors de la conférence Telecomix Cipher que la faille a été découverte. Vous pouvez retrouver la discussion (en anglais) ci-dessus. Ce bug est causé par la combinaison entre le protocole IPv6 ( qui va remplacer IPv4) et le protocole PPTP utilisé par les VPNs permettant de créer le tunnel sécurisé. Un problème de compatibilité les empêche donc de fonctionner correctement et rend l’IP de l’utilisateur visible. A savoir que l’IPv6 va remplacer le système actuel et il est déjà en place sur certaines plateformes (notamment chez Free). Cette technologie est aussi propulsé par Vista et Windows 7. La conversation ci-dessus avance aussi qu’il est possible de récupérer des adresses MAC (identifiant unique de votre carte réseau) et d’ainsi identifier les PC qui utilisent une connexion VPN.

C’est donc une mauvaise nouvelle pour ceux qui comptaient se cacher derrière ce genre de technologie pour faire un pied de nez au autorité comme Hadopi. A savoir que les bureaux de polices suédoises utilisent déjà cette faille pour récupérer les IP des 500 000 suédois qui se cachent derrière ce genre de procédé. Mais bon la Suède a toujours un coup d’avance que ce soit en terme de loi ou de piratage. Pour finir il est possible de limiter cette faille en désactivant les options IPv6 de vos box internet (pour celles qui le supporte) qui se font dans leurs interfaces de configuration et sur vos OS:

Avez-vous pour habitude d’utiliser ce genre de systèmes? Vous sentiez-vous en sécurité derrière?

Source: TorrentFreak

L'équipe de WebActus.net vous propose tous les jours des articles sur l'univers des startups, du e-commerce et du growth hacking.
  • Cet article est du n’importe quoi :

    1) Le soi-disant problème des adresses IPv6 constantes (et fabriquées à partir de l’adresse MAC) est connu depuis de nombreuses années, a fait l’objet d’une solution technique http://www.bortzmeyer.org/4941.html et celle-ci est déployée sur Windows, Linux, FreeBSD, etc.

    2) Donner comme conseil de désactiver IPv6, à peine un an avant que l’IANA ne distribue la dernière adresse IPv4 http://www.bortzmeyer.org/epuisement-adresses-ipv4.html n’est pas très futé.

    • Merci de ton commentaire mais dire que c’est du n’importe quoi n’est pas vrai…

      Premièrement, je n’avais pas eu vent de la résolution du problème d’IPv6… De plus la conférence date du début du mois et pourtant la faille a encore été révélé sur différentes versions.

      Deuxièmement, désactiver l’IPv6 n’est pas si dérangeant pour le moment. Cela fait plusieurs années que l’on entend parler de la fin de l’IPv4 mais ce n’est pas encore arrivé. De plus de nombreux équipements n’ont pas été migré sur cette nouvelle technologie. Du coup c’est une solution viable de nos jours pour ceux qui voudrait s’affranchir du souci sans pour autant avoir des problèmes de navigation.

  • Bon, il y a deux questions différents, donc je vais faire deux commentaires.

    Sur le premier point, à savoir le risque de sécurité qui découle des adresses IP issues de l’adresse MAC (Ethernet), le problème est documenté depuis la publication du RFC 3041 en janvier 2001. Bref, c’est un vrai scoop que de « découvrir » le problème en 2010 ! Cela indique le très bas état de la sécurité informatique aujourd’hui et la facilité avec laquelle certains essaient de se rendre célèbres en recyclant de vieilles alarmes de sécurité.

    La solution (adresses temporaires ne dérivant pas de l’adresse MAC) est aujourd’hui documentée dans le RFC 4941, successeur du 3041. Elle est présente (et activée par défaut depuis Vista) sur Windows, Linux, NetBSD, etc. Notez qu’elle n’est pas forcément activée car le risque de « mini-cookie » (machine traçable grâce à l’adresse IP qui dérive de l’adresse MAC) est à mettre en perspective avec d’autres risques.

    • Bonsoir Stéphane,

      Merci de tes réponses détaillées, plus constructive que le « n’importe quoi du début ».
      J’ai vu tes réponses, et ton blog très intéressant, mais je n’avais pas encore eu le temps de répondre.

      Oui, ce problème de fin d’adresse IP V6 constituée de la Mac Address, je connaissais ! Et je savais qu’une solution de « randomisation » avait été mise au point pour anonymiser les adresses IP V6.

      Sur ce plan, tu as entièrement raison ! Ce n’est pas un scoop…

      Pour le VPN, je suppose que si on sort avec une IP V6 randomisée, l’anonymat serait garanti ?

      Puis… on peut pas sortir du VPN avec un NATing Hide, càd avec l’adresse de l’extrémité du tunnel VPN ?

      😉

  • Sur le second point, l’épuisement des adresses IPv4. Dire que cet épuisement ne s’est pas encore produit revient, pour quelqu’un qui tombe d’un gratte-ciel, à se dire, à chaque étage, « jusqu’ici, tout va bien ». Et, en effet, c’est seulement au rez-de-chaussée qu’il verra qu’il y a bien un problème.

    L’espace d’adressage IPv4 est fini et se consomme à un rythme élevé (dans les onze préfixes /8 par an). L’épuisement n’est donc pas probable mais certain (il ne reste que seize préfixes /8 à l’IANA).

    Compte-tenu du temps de déploiement, d’apprentissage, de portage de très vieilles applications héritées d’un lointain passé, etc, il serait irresponsable d’attendre l’épuisement effectif pour commencer la migration.

    • Oui seulement je pense que tout le monde n’est pas encore prêt à passer sur cette technologie et du coup les fournisseurs auront gros à faire pour migrer leur infrastructure. Ils entreront alors dans un mode de communication accru qui expliquera à tout le monde la nécessite de passer en IPV6. En attendant je ne pense pas que désactiver l’IPv6 pour certains cas d’utilisation soit vraiment quelque chose d’extrémiste et de non recommandé.

      Dans le cadre de l’article, on se trouve dans le cas de pirates qui souhaitent garder leur anonymat lorsqu’ils téléchargent. Libre à eux d’utiliser cette technique s’ils le souhaitent se protéger…

      • Je pense surtout que celui qui joue avec des VPN IP V6… doit comprendre ce qu’il fait, et les implications !

        😉

        Personnellement, je veux tester l’ IP V6.
        Mes prochaines étapes seront probablement de configurer correctement mon serveur chez OVH, et la config Apache aussi !
        Et établir un tunnel V6 de mon domicile jusque mon serveur OVH… Pas pour me planquer, mais juste car mon FAI (Belgacom) n’a pas encore d’IP V6…

        Bon, j’espère tester cela pour septembre. 😉

    • Humour :
      De toute façon, 2012 c’est la fin du monde ! Il n’y aura plus d’ IP V4 libre ! …
      /Humour :

      😉

      D’accord avec toi qu’il est TEMPS maintenant de passer au V6, et pas de se dire qu’on peut encore attendre 1 an, 2 ans…

      Même si on tiendra probablement encore 2 ans, peut-être 3 … ça m’étonnerait qu’on tienne 5 ans comme ça ! Surtout avec tous ces SmartPhone qui explosent… 😉

      De toute façon, je ne vois pas trop le problème de ce tunnel IP V6 :

      – soit tu sors avec l’adresse que tu as en local : c’est juste un tunnel, quand tu es sorti tu es à découvert :p … Si ton IP V6 locale n’est pas connue de ton FAI (peu on déjà du V6), alors difficile de te pister, sauf demande d’un juge qui remonte au fournisseur VPN, obligé de fournir les coordonnées de son client (mais là, le soit-disant bug V6 ne change RIEN !)

      – soit tu sors en NATing hide, et une seule adresse est visible : celle de ton fournisseur de tunnel VPN IP V6 … (et ça n’empêcherait pas un juge de faire une demande au fournisseur, même si ça la complique…)

      Dans tous les cas, si vraiment vous voulez… je vais dire « bidouiller du DivX, MP3… » prenez un tunnel V6 chez un fournisseur hors EU/USA/CA … ça réduira un max les risques d’identification et de poursuite (y a des VPN aux Bermudes ? :p ) 😉

      Pour ma part, c’est envie de tester le V6, donc que mon tunnel sort chez OVH en France (partie des libertés informatiques, du respects de la vie privée et de la libre culture (humour)) n’est pas un problème pour moi 😉

  • Pingback: Trahi par son IPv6 ? » Un monde IPv6()

Rejoignez la communauté Webactus

Recevez régulièrement les meilleures actus et ressources

Pas de spam, vous pouvez vous désabonner à tous moment.