Un VPN ça ne sert à rien

#Node #Frontend #Backend
Un bureau en bois éclairé par une douce lumière dorée, avec un écran holographique affichant du code, un panda roux sur un coussin, et un tunnel lumineux évoquant une connexion VPN, dans un style Ghibli chaleureux et poétique.

On voit beaucoup d'influenceur vous vendre des VPNs depuis des années pour "votre sécurité" ou pour tricher sur votre géo-localisation pour payer des trucs moins chers. En vrai, c'est pas forcément toujours le bon plan voir même pas souhaitable, je vous explique.

Note : je vais dans cet article dans une direction qui va à l'opposé de ce que la plupart des gens vous diront, mais je sais que je ne suis pas le seul à avoir ce point de vue. Par exemple on retrouve une vidéo de MiCode qui parle aussi du sujet.

VPN ? Kézako ?🔗

On parle partout de VPN avec plein de promesse, mais concrètement c'est quoi ?

Si on reste assez haut niveau : VPN = Virtual Private Network ou Réseau Privé Virtuel. Donc l'idée c'est de simuler le fait d'avoir plusieurs machines dans le même réseau privé (comprendre = comme si vous étiez chez vous / à votre entreprise, avec toutes les machines branchées sur le même routeur), pour garantir un certain niveau de confidentialité.

Et techniquement, ça fonctionne comment ? C'est assez simple en fait : une brique logicielle prend chaque paquet réseau qui devrait sortir de votre machine (par exemple : votre laptop alors que vous êtes dans un hôtel), chiffre ce paquet, l'envoie à une autre machine ailleurs sur Internet (par exemple : votre Freebox qui est chez vous (oui les Freebox fournissent un VPN gratuitement)) et cette machine va ensuite déchiffrer le paquet réseau, l'envoyer elle sur Internet (en changeant ce qu'il faut dans le paquet pour faire comme si c'était cette machine qui voulait envoyer le paquet réseau), puis une fois la réponse reçue, chiffre la réponse pour l'envoyer à votre laptop qui va déchiffrer lui aussi.

Donc en gros : vous masquez votre activité en ligne (en partie en tout cas) à n'importe qui entre vous (dans l'exemple au-dessus : votre laptop) et votre serveur VPN (dans l'exemple au-dessus : votre Freebox), mais à partir de votre serveur VPN vous êtes à nouveau sur Internet.

J'imagine que vous vous dites "Mais NordVPN / CyberGhost VPN / Proton VPN ! C'est pas comme ça que ça marche ! ça change ma géo-localisation et protège ma connexion !". Alors oui mais non. Si on prend NordVPN (pour les autres c'est pareil) : votre laptop va chiffrer les requêtes vers Internet pour les envoyer à un serveur NordVPN, on peut imaginer que vous ayez choisi NordVPN Belgique parce que vous êtes fan de F1 (comment ça j'ai vu trop de pub pour des VPN ?) donc un serveur en Belgique va être choisi, ensuite ce serveur va lire tout ce que vous lui envoyez pour ajuster le contenu avant de l'envoyer sur Internet (sans vraie protection en plus que si vous aviez fait la même chose depuis votre laptop du coup), puis il vous renverra la réponse qu'on lui aura donnée, faisant croire que vous vous connectez depuis la Belgique de facto.

Pouvez-vous faire confiance à votre serveur VPN ?🔗

Ce qu'il faut bien comprendre c'est qu'utiliser un VPN veut dire déléguer sa connexion à une autre machine. Si vous êtes le propriétaire de la machine (au sens = elle est chez vous) vous pouvez à priori lui faire confiance (sauf si vous n'avez aucune confiance en votre FAI (Fournisseur d'Accès Internet)). Si c'est le serveur de votre entreprise, pour votre machine professionnelle à priori c'est plutôt sécurisé (pour du pro en tout cas, ça dépend de beaucoup d'autres paramètres).

Si c'est un serveur commercial, c'est un autre sujet à mon sens : vous n'avez comme garantie que les promesses que l'entreprise vous fait, et donc vous faite confiance à la machine de quelqu'un d'autre pour être plus fiable que votre connexion. Vous faites aussi confiance à l'entreprise de ne pas stocker vos données, vous leur faites confiance sur le fait qu'ils n'ont pas de mécanique pour analyser votre trafic, vous leur faites aussi confiance sur le fait qu'ils font uniquement office de VPN et qu'ils ne font pas plus sur le réseau sans vous le dire.

Le but d'utiliser un VPN c'est d'ajouter un niveau de confidentialité sur votre connexion, donc c'est à vous de voir si la dite couche est plus fiable que votre connexion. Si vous êtes chez vous j'aurais tendance à dire qu'utiliser un VPN pour la sécurité est une erreur. Si vous êtes dans un hôtel ou un fast food avec un grand M jaune, ça peut se discuter car vous serez sur des réseaux publics avec un très faible contrôle sur les utilisateurs connectés, mais à voir.

Est-ce que tout passe par le VPN ?🔗

Imaginons que vous êtes dans un cas où le VPN est bien utile. Il faut s'assurer qu'on fait bien passer l'intégralité de son trafic par le VPN.

Par exemple si vos appels HTTP passent par le VPN mais que vos requêtes DNS (résolution des noms de domaines) passent sur le réseau classique, on peut savoir tous les sites que vous allez consulter. Il arrive aussi que votre configuration fasse qu'en cas de rupture de session VPN, vous arriviez sur un fallback sans VPN et parfois silencieusement…

En fait ça dépend énormément de ce que vous cherchez dans le VPN : si c'est la sécurité des données, la partie DNS n'est pas très importante car ça ne donnera aucune information de données, par contre si vous cherchez l'anonymat / pseudo-anonymat, vous voulez que 100% de votre trafic passe par le VPN.

Et la sécurité sans VPN ça existe ?🔗

Déjà qu'on soit clair : on a disposition énormément de solution de sécurité sans avoir besoin de passer par du VPN.

La première brique pour moi à ne pas oublier c'est le HTTPS, le S étant important. En effet le S de HTTPS indique aujourd'hui qu'on va utiliser du chiffrement TLS pour les échanges. Clairement ce n'est pas parfait, il est toujours possible de faire du Man In The Middle en ciblant quelqu'un, on sait que si on capture un paquet TLS, il est possible de le déchiffrer en cassant la clé avec une grosse infrastructure ou beeeeeaaaaauuuucoup de temps, mais soyons honnêtes : on est pas si intéressant que ça individuellement pour que quelqu'un prenne le temps de faire ça spécialement pour nous.

Si vraiment vous voulez augmenter votre anonymat en ligne, vous pouvez passer par le réseau Tor. Le plus simple c'est d'utiliser Tor Browser, une version de Firefox modifiée pour passer par le réseau Tor au maximum et accéder à Internet en faisant passer sa connexion chiffrée par plusieurs nœuds intermédiaires avant de rejoindre Internet de sorte que l'origine de la requête soit presque intraçable (presque parce qu'il y a des cas où on peut désanonymiser le trafic Tor). C'est gratuit, ça fonctionne bien, vous ne choisissez pas explicitement la localisation du nœud de sortie (donc la localisation qui sera affichée pour le serveur), c'est un choix au hasard parmi les nœuds du réseau, mais ça fonctionne très bien !

Le VPN en entreprise est un anti-pattern à mon avis…🔗

Ça fait 10 ans que je travaille en entreprise. Ça fait 10 ans que je constate la même chose : on sécurise généralement très bien l'entrée du réseau privé de l'entreprise mais une fois qu'on est dans le réseau interne il n'y a presque plus de protection…

On voit parfois du HTTPS en interne mais plus d'authentification "parce qu'on est dans le réseau interne". Parfois même le HTTPS n'est pas là en interne… Parfois on voit du filtrage IP sur les plages d'IP interne pour ouvrir les vannes sans plus de restriction…

Du coup il se passe quoi si quelqu'un infiltre votre réseau interne ? C'est simple : il a le champ libre pour faire ce qu'il veut… Et accéder au réseau interne, ça va de physiquement se brancher sur une prise Ethernet dans les bureaux ou la wifi, à obtenir le mot de passe VPN d'un utilisateur et se connecter à distance.

Mon avis est très clair : Zero Trusted Network / Aucun Réseau de Confiance. Partez du principe que vous ne pouvez avoir confiance en aucun réseau, que chaque connexion doit être sécurisé, contrôlé et traçable, peu importe la source.

Note : il y a même des avantages métiers à fonctionner en tout authentifié si c'est bien fait : vous pouvez savoir qui sont vos utilisateurs / consommateurs et donc créer des communications au besoin.

Conclusion🔗

Ici je ne vais même pas abordé les contraintes légales et/ou contractuels autour de l'utilisation des VPNs (typiquement : en théorie vous n'avez pas le droit d'utiliser un VPN pour vous relocaliser et payer moins cher un service / accéder à un contenu géo-bloqué).

En tout cas je voulais parler du sujet depuis assez longtemps, j'ai posé mon avis, vous n'êtes pas obligé de le partager. Par contre si vous avez un avis différent avec des arguments, je suis complètement ouvert et intéressé pour échanger sur le sujet, et pourquoi pas même mettre à jour cet article !

Sources :

Crédit photo : Générée via Mistral AI avec le prompt suivant :

A cozy wooden desk bathed in soft golden afternoon light, featuring futuristic technical magazines and a holographic screen with a wooden frame displaying animated lines of code. In the bottom right corner, a red panda is curled up on a cushion, gazing at a semi-transparent tunnel extending from the screen outward. The tunnel is a blend of circuit board patterns and tree branches, symbolizing the duality of technology and nature. The scene is filled with 8-10 minimalist red, orange, and yellow maple leaves floating gently around, creating a warm, autumnal atmosphere. The art style is inspired by Studio Ghibli, with soft lines, detailed textures, and a poetic, dreamy ambiance."