Table des matières
BitMask VPN via Riseup.net
Bitmask
C'est une technologie de VPN personnel1) qui s'appuie et durcit OpenVPN sans avoir à en maîtriser toute la puissance.
Le principe est d'utiliser Bitmask pour se connecter à un opérateur Bitmask qui va occulter votre ordi et votre adresse IP. Bien sûr, il faut que cet opérateur soit lui-même fiable, sinon ça ne sert à rien
On s'intéresse donc à la création d'un VPN en se connectant, via Bitmask, au réseau dédié de Riseup.net (Black).
Installer Bitmask
En supposant que vous soyez sur Debian2) 8, on procède en deux temps :
- ajouter le dépôt qui contient l'application Bitmask
- installer l'application
ce qui donne les commandes classiques suivantes :
$ sudo -s
# echo "deb http://deb.bitmask.net/debian jessie main" > /etc/apt/sources.list.d/bitmask.list
# wget -O- https://dl.bitmask.net/apt.key | apt-key add -
# apt-get update
# apt-get install bitmask leap-keyring
# exit
Lancer Bitmask
Sur une bureau classique, l'application doit apparaître dans un menu de lancement. C'est une application graphique, destinée à tous les publics ! Sinon, en ligne commande :
$ bitmask
puis choisir riseup.net et remplir le formulaire de création de compte. Vous aurez sans doute compris que l'on lance Bitmask à partir de son compte Linux personnel ; pas besoin d'être root, ni même sudoers.
Création et utilisation du VPN
Une fois configuré avec le compte spécial (black) que vous avez créé lors de votre premier lancement de Bitmask, l'application Bitmask va se connecter automatiquement auprès de Riseup et construire le VPN. À partir de là, vos communications Web4) passent par le VPN.
Arrêt du VPN
La fenêtre graphique de l'application Bitmask contient un bouton qui vous permet d'arrêter le VPN à tout moment. Vos communications passent alors de nouveau en clair, sur internet.
Bitmask depuis Android
On peut souhaiter disposer de bienfaits d'un VPN depuis un terminal (tablette, smartphone) sous Android. Techniquement parlant, c'est tout à fait possible.
L'App Bitmask permet d'établir le même type de connexion que décrite précédemment, pour Linux/Debian. Le problème est qu'une connexion sécurisée n'est qu'un maillon d'un communication sécurisée. Votre communication ne sera sécurisée que si le terminal (le point de départ) est lui-même sécurisé. Pour ce faire il faut que vous ayez la conviction raisonnable que :
- le système7) installé sur ce terminal ne contient pas de faille de de sécurité ce qui suppose qu'il soit
- vérifiable, c'est-à-dire Open Source
- à jour
Or aucune de ces conditions ne peut tout à fait être vérifiée. Encore faut-il que l'appareil concerné ait fait l'objet d'une analyse poussée. L'obsolescence rapide des matériels rend cette analyse impossible pour majorité des matériels.
Concernant le matériel, des spécialistes analysant les données échangées sur une longue période peuvent établir un présomption raisonnable d'absence de faille introduite dans le matériel lui-même.
Les systèmes Android préinstallés sur les terminaux mobiles ne sont pas Open Source. Même les versions dites Open Source d'Android (LineageOS, par exemple) s'appuient sur des composants logiciels propriétaires, notamment les pilotes (drivers). Ces systèmes ne font que modifier8) un système préinstallé même s'ils en remplacent 99% des composants.
KRAK
Une faille de sécurité révélée publiquement en octobre 2017 rend vulnérable toute communication non chiffrée par Wi-Fi. L'utilisation d'un VPN permet précisément de chiffrer le communications. Il est donc susceptible de prémunir contre l'exploitation de cette faille.
La meilleur réponse à ce problème de vulnérabilité reste la mise à jour du système. Si vous disposez d'un système non mis à jour, il contient nécessairement une multitude de failles de sécurité connues. La faille exploitable par KRAK n'est dangereuse que pour un système qui serait, par ailleurs, complètement9) sécurisé.
De plus, un VPN ne protégera contre la faille KRAK que si toutes les connexions établie par votre terminal sont forcée de l'emprunter. Or, les terminaux Android équipés de leur système et d'une multitude d'applications passent leur temps à établir des connexions de toutes sortes, sans que l'utilisatrice ait une connaissance extensive10) de tous les types de connexions utilisés.
Un VPN personnel pour quoi faire ?
Dès l'instant où vous n'avez pas une confiance raisonnable dans le moyen par lequel vous êtes connectée à internet, l'utilisation d'un VPN est une précaution raisonnable.
Suivant ce que votre raison vous commande, vous pourrez considérer comme indigne de confiance :
- toute borne WiFi que vous maîtrisez pas11),
- toute connexion filaire que vous ne maîtrisez pas12),
- votre propre borne WiFi que vous ne maîtrisez pas13),
- la connexion à internet mise à votre disposition par votre fournisseur d'accès à internet14).
Autant dire que les situations où votre connexion est digne de confiance se réduisent comme peau de chagrin… Si votre terminal est utilisé en mobilité, vous êtes fondée à considérer qu'il fonctionne tellement souvent en environnement non fiable qu'il est plus simple que considérer qu'il ne bénéficie jamais d'une connexion digne de confiance.
La surveillance par le point d'entrée
Sauf précaution particulière, on peut légitimement considérer que tout ce que nous échangeons sur internet peut être intercepté contre notre volonté. Si le contenu des ces échanges est chiffré par des techniques adéquates, l'intercepteur en sera pour ses frais.
La possibilité qu'un même organisme intercepteur puisse intercepter la totalité de vos échanges en analysant le trafic qui circule à travers le monde est une autre paire de manche. En revanche la grande majorité de vos échanges via internet, voir leur intégralité, sont alimentés depuis un ensemble extrêmement limité de points d'entrée : votre accès internet domestique, votre ligne de téléphonie mobile, votre lieu de travail plus poignée de lieux d'où vous avez l'habitude de vous connecter en WiFi.
Dans ces conditions, intercepter l'intégralité de vos échanges et vous les attribuer devient techniquement simple et économiquement peu coûteux. La simplification apportée est telle qu'il devient parfaitement envisageable de mettre en place un dispositif d'écoute généralisée à partir d'interceptions à la source. Autrement dit, il n'est pas nécessaire de faire l'objet d'une attention particulier pour être “écoutée”. En permettant d'anonymiser la source d'une connexion, un VPN est un moyen nécessaire et raisonnable de rééquilibrer le rapport entre “confidentialité des échanges” et “facilité d'intrusion”.