Outils pour utilisateurs

Outils du site


crypto:bitmask_vpn

BitMask VPN via Riseup.net

Bitmask

C'est une technologie de VPN personnel1) qui s'appuie et durcit OpenVPN sans avoir à en maîtriser toute la puissance.

Le principe est d'utiliser Bitmask pour se connecter à un opérateur Bitmask qui va occulter votre ordi et votre adresse IP. Bien sûr, il faut que cet opérateur soit lui-même fiable, sinon ça ne sert à rien ;-)

On s'intéresse donc à la création d'un VPN en se connectant, via Bitmask, au réseau dédié de Riseup.net (Black).

Installer Bitmask

En supposant que vous soyez sur Debian2) 8, on procède en deux temps :

  1. ajouter le dépôt qui contient l'application Bitmask
  2. installer l'application

ce qui donne les commandes classiques suivantes :

$ sudo -s
# echo "deb http://deb.bitmask.net/debian jessie main" > /etc/apt/sources.list.d/bitmask.list
# wget -O- https://dl.bitmask.net/apt.key | apt-key add -
# apt-get update
# apt-get install bitmask leap-keyring
# exit

Lancer Bitmask

Vous n'avez pas besoin de créer un compte sur Riseup3) avant de lancer Bitmask. L'application vous permettra de créer ce compte auprès des opérateurs reconnus, dont Riseup. Il suffit se de laisser guider.

Sur une bureau classique, l'application doit apparaître dans un menu de lancement. C'est une application graphique, destinée à tous les publics ! Sinon, en ligne commande :

$ bitmask

puis choisir riseup.net et remplir le formulaire de création de compte. Vous aurez sans doute compris que l'on lance Bitmask à partir de son compte Linux personnel ; pas besoin d'être root, ni même sudoers.

Création et utilisation du VPN

Une fois configuré avec le compte spécial (black) que vous avez créé lors de votre premier lancement de Bitmask, l'application Bitmask va se connecter automatiquement auprès de Riseup et construire le VPN. À partir de là, vos communications Web4) passent par le VPN.

Arrêt du VPN

La fenêtre graphique de l'application Bitmask contient un bouton qui vous permet d'arrêter le VPN à tout moment. Vos communications passent alors de nouveau en clair, sur internet.

Bitmask depuis Android

On peut souhaiter disposer de bienfaits d'un VPN depuis un terminal (tablette, smartphone) sous Android. Techniquement parlant, c'est tout à fait possible.

L'App Bitmask permet d'établir le même type de connexion que décrite précédemment, pour Linux/Debian. Le problème est qu'une connexion sécurisée n'est qu'un maillon d'un communication sécurisée. Votre communication ne sera sécurisée que si le terminal (le point de départ) est lui-même sécurisé. Pour ce faire il faut que vous ayez la conviction raisonnable que :

  1. le terminal lui même5) ne contient pas de faille de sécurité (intentionnelle6) ou pas)
  2. le système7) installé sur ce terminal ne contient pas de faille de de sécurité ce qui suppose qu'il soit
    1. vérifiable, c'est-à-dire Open Source
    2. à jour

Or aucune de ces conditions ne peut tout à fait être vérifiée. Encore faut-il que l'appareil concerné ait fait l'objet d'une analyse poussée. L'obsolescence rapide des matériels rend cette analyse impossible pour majorité des matériels.

Concernant le matériel, des spécialistes analysant les données échangées sur une longue période peuvent établir un présomption raisonnable d'absence de faille introduite dans le matériel lui-même.

Les systèmes Android préinstallés sur les terminaux mobiles ne sont pas Open Source. Même les versions dites Open Source d'Android (LineageOS, par exemple) s'appuient sur des composants logiciels propriétaires, notamment les pilotes (drivers). Ces systèmes ne font que modifier8) un système préinstallé même s'ils en remplacent 99% des composants.

KRAK

Une faille de sécurité révélée publiquement en octobre 2017 rend vulnérable toute communication non chiffrée par Wi-Fi. L'utilisation d'un VPN permet précisément de chiffrer le communications. Il est donc susceptible de prémunir contre l'exploitation de cette faille.

La meilleur réponse à ce problème de vulnérabilité reste la mise à jour du système. Si vous disposez d'un système non mis à jour, il contient nécessairement une multitude de failles de sécurité connues. La faille exploitable par KRAK n'est dangereuse que pour un système qui serait, par ailleurs, complètement9) sécurisé.

De plus, un VPN ne protégera contre la faille KRAK que si toutes les connexions établie par votre terminal sont forcée de l'emprunter. Or, les terminaux Android équipés de leur système et d'une multitude d'applications passent leur temps à établir des connexions de toutes sortes, sans que l'utilisatrice ait une connaissance extensive10) de tous les types de connexions utilisés.

Un VPN personnel pour quoi faire ?

Dès l'instant où vous n'avez pas une confiance raisonnable dans le moyen par lequel vous êtes connectée à internet, l'utilisation d'un VPN est une précaution raisonnable.

Suivant ce que votre raison vous commande, vous pourrez considérer comme indigne de confiance :

  • toute borne WiFi que vous maîtrisez pas11),
  • toute connexion filaire que vous ne maîtrisez pas12),
  • votre propre borne WiFi que vous ne maîtrisez pas13),
  • la connexion à internet mise à votre disposition par votre fournisseur d'accès à internet14).

Autant dire que les situations où votre connexion est digne de confiance se réduisent comme peau de chagrin… Si votre terminal est utilisé en mobilité, vous êtes fondée à considérer qu'il fonctionne tellement souvent en environnement non fiable qu'il est plus simple que considérer qu'il ne bénéficie jamais d'une connexion digne de confiance.

La surveillance par le point d'entrée

Sauf précaution particulière, on peut légitimement considérer que tout ce que nous échangeons sur internet peut être intercepté contre notre volonté. Si le contenu des ces échanges est chiffré par des techniques adéquates, l'intercepteur en sera pour ses frais.

La possibilité qu'un même organisme intercepteur puisse intercepter la totalité de vos échanges en analysant le trafic qui circule à travers le monde est une autre paire de manche. En revanche la grande majorité de vos échanges via internet, voir leur intégralité, sont alimentés depuis un ensemble extrêmement limité de points d'entrée : votre accès internet domestique, votre ligne de téléphonie mobile, votre lieu de travail plus poignée de lieux d'où vous avez l'habitude de vous connecter en WiFi.

Dans ces conditions, intercepter l'intégralité de vos échanges et vous les attribuer devient techniquement simple et économiquement peu coûteux. La simplification apportée est telle qu'il devient parfaitement envisageable de mettre en place un dispositif d'écoute généralisée à partir d'interceptions à la source. Autrement dit, il n'est pas nécessaire de faire l'objet d'une attention particulier pour être “écoutée”. En permettant d'anonymiser la source d'une connexion, un VPN est un moyen nécessaire et raisonnable de rééquilibrer le rapport entre “confidentialité des échanges” et “facilité d'intrusion”.

1)
Pour accéder de manière anonyme à internet, pas pour établir une liaison sécurisée entre un ordi et un réseau privé. Plus précisément, la sécurité de votre connexion est assurée entre votre ordi/tablette/smartphone et le point de sortie du VPN vers le reste d'internet. Entre ce point sortie et la destination finale de votre connexion (site web, serveur de mail, etc.) le contenu de vos échanges possède ne même niveau de protection que si vous n'aviez pas utilisé de VPN.
2)
Si vous êtes sous Window$, votre ordi est suffisamment perméable à tout type d'intrusion pour qu'un VPN ressemble à une serrure 5 points posée sur une porte en papier.
3)
À l'heure où j'écris (nov 2015), Riseup recommande chaudement de ne pas utiliser votre compte Riseup habituel mais d'en créer un spécial pour Bitmask.
4)
Pour le mail, c'est un peu plus compliqué. Se reporter à la documentation de riseup.net.
5)
Le matériel ou hardware.
6)
Les fabricants peuvent introduire des failles pour leur propre intérêt ou pour satisfaire aux demandes d'agences gouvernementales.
7)
Système d'exploitation.
8)
D'où leur appellation de “MOD”.
9)
Comprendre “aussi sécurisé que possible”. Laisser des failles de sécurité ouvertes alors qu'on sait qu'il existe des mises à jours c'est renoncer à la sécurité de son système.
10)
Le plus souvent, elle n'a pas même une connaissance approximative de ces connexions.
11)
Typiquement une point d'accès public ou professionnel.
12)
Typiquement un cyber-café, mais pas seulement…
13)
Parce que vous n'y prêtez aucune attention, mais pas seulement…
14)
À votre domicile ou votre travail.
crypto/bitmask_vpn.txt · Dernière modification: 2017/10/22 17:44 de flaz