Forum

Bonjour, je crois que tout est dit dans le titre et la description.
En gros, le VPN proposé par le navigateur Opera (donc VPN gratuit) est-il efficace en terme de sécurité ? ou vaut-il mieux prendre un VPN payant et pourquoi ?

Merci pour vos réponses.

Édité par zatox Le 04/07/2021 à 19h16

Salut,

Par sécurité, qu'entends tu ? Est-ce qu'on peut te pirater ton PC, voler des données et injecter des virus à travers le VPN d'opera ? Probablement pas mais ce n'est pas exclu, ça dépends surtout de la technologie utilisée derrière, open-source, ou pas, les audits de sécurité ont-ils été fait ? Est-ce que l'application est installée en userspace sans root et est-ce qu'elle est lancée sans root ? etc

En terme de respect de la vie privée, je n'en discuterai pas, je n'ai pas encore compris l'intérêt des Virtual Private Network pour cet utilisation.
(J'utilise un VPN pour me connecter à mon réseau local depuis l'extérieur, c'est l'intérêt du VPN, mon réseau privé, virtuel.)

Bonjour, Jybz merci pour ta réponse.

C'est vrai que le mot "sécurité" rattaché à l'informatique recouvre une multitude de notions et si on ne précise pas de quoi on parle, il est difficile de répondre.


Si je comprends bien ta réponse: j'ai beaucoup moins de risques à me faire pirater mon PC et à me faire voler des données si je passe par le VPN d'opera plutôt que de n'utiliser aucun VPN, mais il y a toujours un risque même si je passe par le VPN d'opera. Est-ce que je traduis bien ta pensée ? cette réponse me satisfait pleinement compte tenu du fait que je fais partie des gens qui pensent que quoi que nous fassions et ceci dans n'importe quel domaine, il y a de toutes façons toujours un risque ... le tout étant de le minimiser le plus possible.

Pour la deuxième partie de ta réponse,

Je ne sais pas répondre ... car ça va recouvrir des choses trop complexes pour moi.


Je ne sais pas non plus mais je peux essayer d'y voir plus clair à ce sujet en fouillant le net.


J'ai installé l'application en root après avoir téléchargé le paquetage:
opera-stable_77.0.4054.172_amd64.rpm
Elle n'est pas lancée en root mais à partir de mon user.



Je connais certaines personnes qui utilisent un VPN payant style Express VPN, NorVPN ou autre, en principe pour pouvoir télécharger des films, séries, etc ... de façon illicite et ne pas avoir hadopi qui va leur signaler qu'ils s'exposent à des représailles. Cependant, ils n'avouent jamais ça de cette façon, ils disent simplement qu'ils n'ont rien à cacher mais qu'ils ne veulent pas que n'importe qui puisse savoir ce qu'ils font !!!

Pour ma part, l'objet de ma question n'est pas de savoir si, en passant par le VPN d'opera je vais pouvoir tricher sur des téléchargements interdits, mais plutôt d'essayer de voir les différences entre:
- Un VPN payant
- Un VPN gratuit
- Le VPN proposé par le navigateur Opera
- Et puis un VPN fabrication maison sur Mageia que j'avais créé il y a quelques temps et qui marchait très bien, de mémoire Jybz tu avais dû participer à mon aide, il me semble que j'avais suivi un tuto de Vouf. Bref, dans ce cas, ça m'intéressait de savoir comment monter un VPN, je vais dire: pour le fun ... mais comme il s'agissait d'un serveur qui n'était autre que l'un des mes ordis personnels donc situé derrière ma box, je pense que mon FAI doit avoir toutes les logs possibles et imaginables me concernant sur les transactions que je peux faire sur internet en passant par ce VPN, ensuite je ne sais pas dire non plus ce qu'était le degré de protection de mes données quand je me connectais à travers mon propre VPN !

Bon, ma question est plutôt de dire vu que nous faisons partie du monde du libre, en tous cas me concernant j'ai abandonné depuis longtemps le monde payant de Windows pour faire place à celui du libre tel que Linux, et plus particulièrement Mageia. Je n'utilise donc pas non plus d'antivirus payant, puisqu'on en a déjà un gratuit sous Mageia, pourquoi on n'essaierai pas d'utiliser un VPN gratuit ? disons pour tenter d'être un peu plus anonyme sur le net ?
Concernant le VPN gratuit que j'ai trouvé, il s'agit de protonvpn pour lequel j'ai téléchargé le paquetage rpm de Fedora proposé par protonvpn, mais l'installation ne se passe pas bien sous Mageia !... les autres paquetages proposés sont des .deb à moins que quelqu'un ait une proposition à me faire sur un VPN gratuit pour Mageia donc en paquetage rpm ?
C'est pour tout ça que je voulais en savoir un peu plus sur le VPN gratuit proposé par le navigateur Opera.
Pardon j'ai été un peu long, j'espère que ma prose est assez claire ! ...
pour vos explications.

Édité par zatox Le 05/07/2021 à 11h23

Oui très clair.
je crains devoir faire une longue réponse aussi.

En fait, lorsque tu installes un rpm, tu l'installes en root, et tu exécutes du code qu'on ne peut pas vérifier. L'installation du VPN est déjà une faille de sécurité. Tu dois faire confiance au tiers et s'assurer que celui-ci n'est pas mal veillant dès l'installation du VPN.

En détail :
il existe une section %post dans les spec pour créer des rpm. Cette section est exécutée à la fin de l'installation, cette section peut exécuter un simple script bash comme un binaire qui était intégré au rpm. C'est donc déjà une faille de sécurité, il se peut que ce RPM, sans même lancer le VPN, ait téléchargé ou téléversé des données. Pour s'en assurer, il faudrait analyser le RPM.

Ensuite, je ne dis pas qu'utiliser un VPN ajoute une surcouche de sécurité, ce n'est pas le but du VPN. Le but du VPN c'est de créer un tunnel de ton PC vers un autre réseau local. Il y a des implications, comme les logiciels serveurs eux ne pourront pas passer à travers le NAT car, de l'autre coté, l'autre réseau local, n'aura pas la configuration pour rediriger les ports. Ça élimine les logiciels virus actant comme serveur, mais pas les logiciels virus actant comme client.
Je ne pense pas qu'il y ait moins de risque à se faire pirater son PC en passant à travers un VPN. Le VPN te protège du réseau local (par exemple le wifi du macdo), mais ne te protège pas de l'autre réseau local (là où tout les utilisateurs du même VPN se connectent). Concernant la navigation sur internet, il "protège" seulement des sites web qui tentent de traquer les utilisateurs sur la base de leur IP, je pense que c'est une pratique vraiment minime, on a beaucoup plus d'intérêt à utiliser les cookies, on change d'IP mais le cookie reste le même. Au mieux, on ajoute une IP à un utilisateur sur la base de ce cookie unique, et on peut l'ajouter à la catégorie "est utilisateur de VPN" (hop ! Un client potentiel pour NorVPN aller, une petite pub pour celui là).

Finalement, quand je parle d'audit de sécurité et d'open-source, je ne sais pas ce que ce VPN fait, ni comment il fonctionne. Sans audit de sécurité, on ne peut pas garantir que ce soit pire de l'utiliser que de ne pas avoir de VPN du tout. Ce VPN, installé en tant que root, pourrait avoir un service (un démon) derrière fonctionnant en tant que root, qui attends une activation de l'utilisateur (démarrant Opéra) pour créer un tunnel vers le serveur de Opera et attende des instructions (à coté de fournir un service VPN).

Et par "attendre des instructions", ça peut être "by design" (une porte dérobée), ou une faille de sécurité (comme l'exécution de code arbitraire, d'un site web par exemple, à cause d'un bogue). C'est peu probable, mais je ne vais pas inspecter ce RPM et ce VPN pour confirmer ou infirmer, car ça serait justement faire un audit de sécurité. J'essaie juste d'expliquer.

Quand tu dis:

je suppose que tu parles là d'un RPM téléchargé sur le web comme j'ai fait pour protonvpn non ? parce qu'on est bien d'accord que l'installation d'un RPM par le MCC de Mageia est totalement sécure ?! ou alors c'est que je n'ai rien compris !!! ce qui peut-être une probabilité non négligeable malheureusement pour moi !! et dans ce cas je
Jusqu'à présent j'ai toujours pensé qu'un RPM installé par MCC ou par urpmi était totalement sécure, me trompe-je ?
Par contre je suis d'accord sur le fait qu'un RPM téléchargé depuis n'importe où sur le web peut présenter des failles de sécurité non négligeables, peut-être au téléchargement, peut-être à l'installation, peut-être à l’exécution ... D'ailleurs à ce titre, je viens peut-être de me faire pirater.
Je m'explique: n'ayant pas trouvé de RPM VPN pour Mageia, je suis passé sous ma distribution Debian sur laquelle j'ai téléchargé le DEB de protonvpn correspondant et c'est de là que j'écris cette réponse. Juste à titre indicatif, si je ne passe pas par le VPN, ma connexion est de l'ordre de 950 Mb/s en descendant et 450 Mb/s en montant avec une latence de l'ordre de 20 ms, je suis avec mon FAI sous un contrat fibre optique. Actuellement avec le VPN protonvpn actif ça tombe à 20 Mb/s en descendant, 10 Mb/s en montant et une latence de l'ordre de 100 à 130 ms. Ceci dit pour faire juste de l'internet sans faire de gros téléchargements, c'est totalement transparent. Bon ça c'était pour dire que si je trouvais un RPM Mageia pour un VPN, j'essaierai de l'installer même au risque de me faire pirater.


Oui parfaitement d'accord avec toi. Il faudrait lire avec attention les comptes-rendus d'audits de sécurité de tel ou tel VPN pour se faire une idée du niveau de protection qu'on peut espérer, mais là ça devient trop compliqué, en tous cas pour moi.
Alors ensuite il y a des gens qui diront: si tu payes tu seras mieux servis que si c'est gratuit !! pour ma part j'ai la preuve de tout le contraire ne serait-ce que par l'adoption maintenant ancienne d'un système Linux à la place d'un winini. Donc la question que je me pose, à savoir suis-je aussi bien protégé si je passe par un VPN gratuit par rapport à un payant reste, et je crois que j'aurais beaucoup de mal à y répondre ... Ce que je peux dire après discutions avec des spécialistes de Windaube et de VPN's payants c'est qu'ils ont fait l'expérience de télécharger des trucs par trop clean et que sans VPN ils ont eu un petit message d'hadopi pour les remettre dans le droit chemin, et avec VPN (payant) ils n'ont plus eu ce genre de message. Ce qui tend à prouver quand même que le VPN payant donne une certaine sécurité en matière d'anonymat. Reste à prouver la même chose avec un VPN gratuit ! soit en utilisant le VPN d'Opera sous Mageia, soit openvpn gratuit sous Debian soit un autre qui marcherait sous Mageia ...
Parce qu'en fait ce que je suis capable de voir moi petit utilisateur de l'informatique, c'est qu'avec VPN gratuit, mon IP n'est pas ma véritable IP, et que le débit est différent selon que je passe par un VPN ou non et je sais aussi que je vais bien sur le serveur que j'ai sélectionné au niveau du VPN, mais ensuite quel degré de protection ? faudrait que je tente une opération border line avec un VPN gratuit pour voir si j'ai un retour d'hadopi ?!!!!!!!!!!! ça craint ...
Bon, le sujet est très vaste et mes petites connaissances en informatique ne vont pas suffire à résoudre ce problème, mais il n'est pas interdit de s'y intéresser.
pour tes explication Jybz
à toutes et à tous.

moi, ce que j'en dit ...

La "qualité" d'un vpn dépend du lieu ou il se trouve (a éviter etc etc...) ensuite, tout les vpn's sont "fragile" a l’attaque MITM par exemple. (https://www.globalsign.com/fr/blog/qu-est-ce-qu-une-attaque-de-l-homme-du-milieu) br />
[p]
je suis d'accord avec jybz quand il dit :


Maintenant, il ne faut pas oublier l'adage qui (malheureusement de nos jours) dit :"si c'est gratuit, c'est toi le produit" (je résume...).

Perso, quand j'utilise un vpn c'est un vpn islandais (ne fait pas parti des ...) ou, le moins connu possible (privé c'est encore mieux (a condition de bien connaitre son proprio.)).

Le mot "sécurité" en informatique, recouvre tellement de choses qu'il est difficile de répondre "finement".

(perso, rien ne sort de ma machine sans être crypté par une cle qui a fait ses preuves (aes, etc etc), ca ne fait pas tout, mais c'est un début .

Edit jybz : ajout balise quote

Édité par steven Le 05/07/2021 à 15h52

Comme le fingerprint tu veux dire ?

Édité par steven Le 05/07/2021 à 16h11

Bonjour

J'ai pas mal fouillé le sujet à une époque, sans être un expert pour autant.

Mon résumé : tu confies les "secrets" de ta navigation à un tiers et tu lui demandes de ne rien divulguer, bien entendu. Donc, il vaut avoir confiance dans cet intermédiaire. Payant ou gratuit importe peu si tu as un audit indépendant, a minima, qui confirme le niveau de sécurité et l'anonymat.
Je reprends l'adage de steven "si c'est gratuit..." ou alors, il y a un fort communautarisme (et un mécénat plus ou moins intéressé) pour financer tout cela.
Personnellement, je ne ferais pas confiance, par principe, en un produit qui n'est déjà pas opensource. Est-ce le cas pour celui d'Opera ?

Ensuite, selon ton usage ou besoin, tu ferais déjà un bon bout de chemin si tu n'utilises pas le DNS de ton FAI (DNS alternatif et/ou unbound par exemple), que tu forces le https dans ta navigation et que tu utilises des extensions de protection de la vie privée (ublock origin, ...).

Mon humble avis

A+

Édité par squid-f Le 05/07/2021 à 18h07

Zut :/ Non. Installer une application par le CCM n'est pas gage de sureté, car il lis des fichiers de configuration qui énumèrent des dépots logiciels. Par défaut, il n'y a que les dépots de Mageia. Par défaut, c'est sûr.
Mais, si on suit une méthode pour installer un logiciel, et que cette méthode passe par l'ajout d'un dépots (en ligne de commande), les logiciels présent dans ce dernier dépôt seront visible dans le CCM, ainsi que les éventuels logiciels malveillant présent dans ce dépot qui ne peut pas être audité par la communauté.
Grosso modo, il y a la manière courte :
web → rpm via web → installation
et la manière longue :
web → dépot une commande trouvé sur le web → rpm via urpmi → installation

La manière longue présente des avantages, comme les mises à jours ! Mais il faut faire confiance à cette source.


Non, cette histoire de débit n'a rien d'un piratage, c'est une limite. Sans VPN, tu es en pleine nature, tu peux rouler avec 10 camions de front. Avec le VPN, tu passes par un tunnel, c'est forcément plus contraignant, c'est limité.



Ah je me souviens d'une histoire de ce genre. Je ne peux pas trouver la source, donc je resterais sur du "on m'a dit" :
On m'a dit que les VPN les moins chers n'avais pas trop de serveur, et utilisait la connexions de leurs clients comme sortie. Ainsi, si tu veux un VPN en Inde, et qu'un indien veut un VPN en France, le fournisseur de VPN utilisait ta connexion en france pour l'indien, et sa connexion en inde pour le français souhaitait afficher son adresse en inde. Ainsi, ça ne coût pas beaucoup en Serveur et bande passante etc.

Personnellement, j'aime bien les 2 sites suivants :
https://www.privacytools.io/classic/
https://www.orbis.info/2016/02/internet-vpn/

Le 2eme site est un peu ancien, mais je le trouve très intéressant dans l'approche et l'analyse.

A+

Édité par squid-f Le 05/07/2021 à 19h09

Re-bonjour, et merci beaucoup pour toutes vos explications.


Mais ton humble avis comme tu dis m'intéresse bigrement ...



Comment je fais pour ne pas utiliser le DNS de mon FAI ? dans l'administrateur de la box ? 192.168.1.1 ? si oui je dois faire quoi ?
Comment je fais pour forcer le https de ma navigation ?
Pour les extensions, ublock rigin ok mais tu mets des points de suspension ça veut dire qu'il y en a d'autres ?

Je vous présente mes excuses pour mon ignorance.



Euh ... sérieux ?!!

Bon je fais une supposition, j'ai un serveur quelque part dans le monde, ce peut être juste à côté de chez moi hein mais à l'extérieur de mon réseau local, c'est d'ailleurs le cas, j'ai un ordi distant sur lequel je suis le seul à aller. Si je monte un VPN sur ce serveur et que je me connecte depuis mon ordi sur ce serveur est-ce que ça va marcher en terme de sécurité ou ça marchotte ?!!



Ah ! ça m'interroge aussi ...

En tous cas un grand à tous pour vos explications et encore Je vous présente mes excuses pour ma très grande ignorance.

Ah ! je n'avais pas vu ton message, on s'est croisé, je regarde, merci.

Bonjour,

Non rien n' est sécurisé par définition...

Pour le vpn, s' il est de type ssl, rien n' empêche une machine de se faire passer pour une autre avec un man in the middle où la machine intermédiaire présente un certificat valide en substituant le certificat par le sien en se faisant passer pour le site légitime.

Pour les paquets dans le ccm, hors dépot autre, je pense que c' est relativement sur. Il reste toujours le cas où une clé privée est récupérée de manière frauduleuse qui permettrait de signer les paquets avec cette même clé. Un rpm malveillant pourrait donc se faire passer pour legitime (mais ici on parle de cas extrème).

Pour le fingerprinting, il me semble que c' est la possibilité d' identifier un navigateur de manière unique grace à des caractéristiques propres (résolution d' écran, langue, user agent,extensions instalées par exemple)

Bonjour zatox

Pour ne pas utiliser les DNS de ton FAI, tu as cela par exemple : https://wiki.mageia.org/en/Cache_et_r%C3%A9solveur_DNS_local_Unbound-fr

Certains routers des fai peuvent aussi avoir l’option de changer les dns.

Pour forcer https, si le site le permet, tu as l’extension https everywhere. Il me semble que la dernière version de FF permette cela sans extension.

Privacy Badger et un autre que yuusha m’avait fait indiqué (me rappelle plus...) ont des fonctions équivalentes à ublock origin.

Il y a des extensions FF pour changer l’empreinte de ton navigateur, mais cela n’est pas si simple https://addons.mozilla.org/en-US/firefox/addon/uaswitcher/
Pour tester ton navigateur : https://coveryourtracks.eff.org/

A+

Bonsoir,


Merci pour ces indications, j'ai fait ce qui est indiqué sur ce site, mais concernant le fichier /etc/unbound/unbound.conf, je l'ai vidé et recopié ce qui est dans ce tutoriel. J'ai fait toutes les manips indiquées, mais je n'arrive pas à démarrer network !!!! pourtant tous les tests qui sont donnés ensuite sont bons par rapport au tutoriel, il n'y a que le dernier pour lequel le tutoriel me dit que je devrais avoir:

lsof -i :53

COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
unbound 111747 unbound 3u IPv4 888557 0t0 UDP localhost:domain
unbound 111747 unbound 4u IPv4 888558 0t0 TCP localhost:domain (LISTEN)

et j'ai:

lsof -i :53
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
unbound 2346 unbound 3u IPv4 24533 0t0 UDP localhost:domain
unbound 2346 unbound 4u IPv4 24534 0t0 TCP localhost:domain (LISTEN)
unbound 2346 unbound 12u IPv4 124531 0t0 TCP localhost:51314->ns0.fdn.fr:domain (ESTABLISHED)

Voilà, ce qui est bizarre c'est que ça a l'air de fonctionner alors que network est inactif !!!!!!!!!!! et je n'arrive pas à le démarrer.

Merci pour votre aide, pour le reste je verrai demain car il commence à ce faire tard.