Vos adresses IP accessibles même derrière un VPN

Avec la multiplication des lois comme Hadopi, les utilisateurs souhaitant continuer de télécharger, se sont tourner vers les offres VPNs pour sécuriser leurs connexions. En effet,...

anonymat

Avec la multiplication des lois comme Hadopi, les utilisateurs souhaitant continuer de télécharger, se sont tourner vers les offres VPNs pour sécuriser leurs connexions. En effet, cette technologie permet de monter une connexion cryptée avec un serveur et faire ainsi transiter des informations qui pourraient leurs porter préjudices. Cependant mauvaise nouvelle pour eux,  une faille vient d’être découverte dans le système permettant de récupérer l’adresse IPv6 de l’utilisateur utilisant le service VPNs comme Ipredator ou Relakks.

(suite…)

Afficher les commentaires (9)

Commentaires

  • Stéphane Bortzmeyer

    Cet article est du n’importe quoi :

    1) Le soi-disant problème des adresses IPv6 constantes (et fabriquées à partir de l’adresse MAC) est connu depuis de nombreuses années, a fait l’objet d’une solution technique http://www.bortzmeyer.org/4941.html et celle-ci est déployée sur Windows, Linux, FreeBSD, etc.

    2) Donner comme conseil de désactiver IPv6, à peine un an avant que l’IANA ne distribue la dernière adresse IPv4 http://www.bortzmeyer.org/epuisement-adresses-ipv4.html n’est pas très futé.

    • Romain

      Merci de ton commentaire mais dire que c’est du n’importe quoi n’est pas vrai…

      Premièrement, je n’avais pas eu vent de la résolution du problème d’IPv6… De plus la conférence date du début du mois et pourtant la faille a encore été révélé sur différentes versions.

      Deuxièmement, désactiver l’IPv6 n’est pas si dérangeant pour le moment. Cela fait plusieurs années que l’on entend parler de la fin de l’IPv4 mais ce n’est pas encore arrivé. De plus de nombreux équipements n’ont pas été migré sur cette nouvelle technologie. Du coup c’est une solution viable de nos jours pour ceux qui voudrait s’affranchir du souci sans pour autant avoir des problèmes de navigation.

  • Stéphane Bortzmeyer

    Bon, il y a deux questions différents, donc je vais faire deux commentaires.

    Sur le premier point, à savoir le risque de sécurité qui découle des adresses IP issues de l’adresse MAC (Ethernet), le problème est documenté depuis la publication du RFC 3041 en janvier 2001. Bref, c’est un vrai scoop que de « découvrir » le problème en 2010 ! Cela indique le très bas état de la sécurité informatique aujourd’hui et la facilité avec laquelle certains essaient de se rendre célèbres en recyclant de vieilles alarmes de sécurité.

    La solution (adresses temporaires ne dérivant pas de l’adresse MAC) est aujourd’hui documentée dans le RFC 4941, successeur du 3041. Elle est présente (et activée par défaut depuis Vista) sur Windows, Linux, NetBSD, etc. Notez qu’elle n’est pas forcément activée car le risque de « mini-cookie » (machine traçable grâce à l’adresse IP qui dérive de l’adresse MAC) est à mettre en perspective avec d’autres risques.

    • Didier Misson

      Bonsoir Stéphane,

      Merci de tes réponses détaillées, plus constructive que le « n’importe quoi du début ».
      J’ai vu tes réponses, et ton blog très intéressant, mais je n’avais pas encore eu le temps de répondre.

      Oui, ce problème de fin d’adresse IP V6 constituée de la Mac Address, je connaissais ! Et je savais qu’une solution de « randomisation » avait été mise au point pour anonymiser les adresses IP V6.

      Sur ce plan, tu as entièrement raison ! Ce n’est pas un scoop…

      Pour le VPN, je suppose que si on sort avec une IP V6 randomisée, l’anonymat serait garanti ?

      Puis… on peut pas sortir du VPN avec un NATing Hide, càd avec l’adresse de l’extrémité du tunnel VPN ?

      😉

  • Stéphane Bortzmeyer

    Sur le second point, l’épuisement des adresses IPv4. Dire que cet épuisement ne s’est pas encore produit revient, pour quelqu’un qui tombe d’un gratte-ciel, à se dire, à chaque étage, « jusqu’ici, tout va bien ». Et, en effet, c’est seulement au rez-de-chaussée qu’il verra qu’il y a bien un problème.

    L’espace d’adressage IPv4 est fini et se consomme à un rythme élevé (dans les onze préfixes /8 par an). L’épuisement n’est donc pas probable mais certain (il ne reste que seize préfixes /8 à l’IANA).

    Compte-tenu du temps de déploiement, d’apprentissage, de portage de très vieilles applications héritées d’un lointain passé, etc, il serait irresponsable d’attendre l’épuisement effectif pour commencer la migration.

    • Romain

      Oui seulement je pense que tout le monde n’est pas encore prêt à passer sur cette technologie et du coup les fournisseurs auront gros à faire pour migrer leur infrastructure. Ils entreront alors dans un mode de communication accru qui expliquera à tout le monde la nécessite de passer en IPV6. En attendant je ne pense pas que désactiver l’IPv6 pour certains cas d’utilisation soit vraiment quelque chose d’extrémiste et de non recommandé.

      Dans le cadre de l’article, on se trouve dans le cas de pirates qui souhaitent garder leur anonymat lorsqu’ils téléchargent. Libre à eux d’utiliser cette technique s’ils le souhaitent se protéger…

      • Didier Misson

        Je pense surtout que celui qui joue avec des VPN IP V6… doit comprendre ce qu’il fait, et les implications !

        😉

        Personnellement, je veux tester l’ IP V6.
        Mes prochaines étapes seront probablement de configurer correctement mon serveur chez OVH, et la config Apache aussi !
        Et établir un tunnel V6 de mon domicile jusque mon serveur OVH… Pas pour me planquer, mais juste car mon FAI (Belgacom) n’a pas encore d’IP V6…

        Bon, j’espère tester cela pour septembre. 😉

    • Didier Misson

      Humour :
      De toute façon, 2012 c’est la fin du monde ! Il n’y aura plus d’ IP V4 libre ! …
      /Humour :

      😉

      D’accord avec toi qu’il est TEMPS maintenant de passer au V6, et pas de se dire qu’on peut encore attendre 1 an, 2 ans…

      Même si on tiendra probablement encore 2 ans, peut-être 3 … ça m’étonnerait qu’on tienne 5 ans comme ça ! Surtout avec tous ces SmartPhone qui explosent… 😉

      De toute façon, je ne vois pas trop le problème de ce tunnel IP V6 :

      – soit tu sors avec l’adresse que tu as en local : c’est juste un tunnel, quand tu es sorti tu es à découvert :p … Si ton IP V6 locale n’est pas connue de ton FAI (peu on déjà du V6), alors difficile de te pister, sauf demande d’un juge qui remonte au fournisseur VPN, obligé de fournir les coordonnées de son client (mais là, le soit-disant bug V6 ne change RIEN !)

      – soit tu sors en NATing hide, et une seule adresse est visible : celle de ton fournisseur de tunnel VPN IP V6 … (et ça n’empêcherait pas un juge de faire une demande au fournisseur, même si ça la complique…)

      Dans tous les cas, si vraiment vous voulez… je vais dire « bidouiller du DivX, MP3… » prenez un tunnel V6 chez un fournisseur hors EU/USA/CA … ça réduira un max les risques d’identification et de poursuite (y a des VPN aux Bermudes ? :p ) 😉

      Pour ma part, c’est envie de tester le V6, donc que mon tunnel sort chez OVH en France (partie des libertés informatiques, du respects de la vie privée et de la libre culture (humour)) n’est pas un problème pour moi 😉

  • Trahi par son IPv6 ? » Un monde IPv6

    […] articles (d’abord ici en anglais, puis repris là et là en français) reprennent une étude récente qui dévoilerait un problème de sécurité […]

Newsletter WebActus

Abonnez-vous pour recevoir notre sélection des meilleurs articles directement dans votre boîte mail.

Nous ne partagerons pas votre adresse e-mail.

Articles similaires

Webmarketing

5 formations pour se perfectionner dans le référencement naturel

Si vous souhaitez vous former dans le domaine du référencement naturel, voici 5 formations qui vous aideront à améliorer vos compétences. The...

Publié le par Cyrielle Maurice
Webmarketing

Tout ce qui définit un geek de 1980 à nos jours

Si en regardant cette infographie, vous connaissez plus de 75 % des équipements présents alors c’est définitif vous répondez à ce que l’on appelle un vrai...

Publié le par Team WebActus