J'ai un abonnement annuel à un service VPN qui est très rapide et d'après les recherches que j'ai faites à l'époque, cela semble assez légitime, mais y a-t-il des inconvénients ou des scénarios où vous ne devriez peut-être pas utiliser un VPN?
Je viens du Royaume-Uni et j'ai généralement juste la configuration VPN pour acheminer automatiquement tout via un serveur VPN situé à Londres.
Si, par exemple, je dis que je veux me connecter à mon compte bancaire en ligne, est-ce que je mets mes informations d'identification et mes paquets à risque en les faisant envoyer sur le serveur VPN? - Je suppose que la page de connexion des banques est déjà assez sécurisée, donc en routant via un serveur VPN, est-ce que je crée un risque supplémentaire en routant sur ce tiers?
La question se résume à; y a-t-il des situations où vous ne voudriez pas utiliser un VPN, ou est-ce toujours bénéfique pour la sécurité?
(Ignorer le coût/les performances réseau diminuées)
Oui, cela pourrait être un inconvénient. Ce qui se résume à combien vous faites confiance au fournisseur VPN.
Pour la plupart des protocoles sécurisés, l'utilisation d'un VPN sera tout aussi sécurisée car vos communications sont cryptées par le protocole. S'il y avait un MITM à l'autre extrémité de la connexion VPN, ils ne pourraient pas faire grand-chose (à part attaque latérale , qui sont généralement assez inutiles en isolation). Bien sûr, cela suppose que les protocoles et les logiciels sont sécurisés et ne peuvent pas être affectés par l'attaque FREAK ou d'autres attaques de déclassement.
Cependant, le Web est différent. Le principal problème est que la même politique d'origine ne désigne pas une origine différente pour les données simples ou chiffrées en ce qui concerne les cookies. Un cookie installé sur http://example.com
peut être lu par https://example.com
. S'il y a vulnérabilités de gestion des cookies sur le site, la connexion "sécurisée" pourrait être compromise. Le indicateur sécurisé n'aide pas ici - cela empêche uniquement une connexion HTTP ordinaire de lire un cookie défini sur HTTPS, et non l'inverse. Un exemple pourrait être l'empoisonnement des cookies comme la fixation de session, ou s'il existe une vulnérabilité XSS basée sur une valeur de cookie qui était supposée n'avoir été définie que via HTTPS . Ce sont vraiment des vulnérabilités sur les sites eux-mêmes, mais l'utilisation d'une connexion non fiable leur permet d'être exploités.
Donc, en cas de doute sur la confiance de votre fournisseur VPN, désactivez le HTTP simple à partir de votre navigateur et utilisez Internet via HTTPS uniquement. Pour ce faire, définissez un serveur proxy non valide pour HTTP standard (par exemple, 127.0.0.1:8
).
Bien sûr, vous devez également vous assurer que vous utilisez un protocole sécurisé pour votre connexion VPN (par exemple, pas MS PPTP ). Assurez-vous également d'utiliser correctement iptables/Pare-feu Windows pour empêcher toute connexion entrante avec votre machine pendant la connexion au VPN.
Un masque VPN vous permet d'obtenir une adresse IP réelle en utilisant plutôt l'IP VPN. L'IP VPN est partagée par un nombre inconnu de personnes, et son utilisation est publique tant que la personne souscrit un contrat au fournisseur VPN.
Par conséquent, en utilisant un VPN:
Vous vous ouvrez à des attaques telles que surpation d'adresse IP, il sera trivial pour quelqu'un d'autre d'utiliser la même adresse IP que vous,
Peut-être votre l'adresse IP peut être mise sur liste noire en raison de l'activité d'un autre utilisateur VPN, ce qui peut entraîner un accès limité ou refusé à certains sites Web.
La confiance est évidemment essentielle, car vous échangez la confiance dans votre connectivité locale (quel que soit le chemin emprunté par votre connexion via votre FAI local, le wifi du café, etc.) pour faire confiance à la connectivité du service VPN et à leur chemin Internet. S'il s'agit d'un grand fournisseur VPN de bonne réputation par rapport à un wifi de café, vous allez probablement dans la bonne direction. Si c'est une tenue basée sur l'Europe de l'Est la moins chère, alors peut-être pas autant. Personnellement, je serais plus enclin à faire confiance à un VPN via mon propre équipement (c'est-à-dire un serveur que j'héberge via une connexion réputée à la maison/au bureau ou sur AWS/Azure/etc) lorsque la question est de savoir si j'utilise le Starbucks/hotel wifi vs un VPN. S'il s'agit d'anonymiser suffisamment mon trafic, un VPN tiers entrerait en jeu.
Ce n'est pas une sécurité technique, mais lorsque vous utilisez un VPN, vous pouvez attirer une attention indésirable sur votre activité. Je dois trouver la source exacte d'un cas que j'ai lu sur l'endroit où une personne effectuant des activités illégales a été détectée, car il était le seul sur l'ensemble du réseau à utiliser TOR.
EDIT: Ce n'est pas l'exemple que je cherchais mais assez proche: Utilisateur Tor identifié par le FBI
Le principal problème que j'ai trouvé est: lorsque vous ouvrez une connexion VPN, toutes les applications de votre machine peuvent utiliser ce VPN. Si vous avez plus d'un utilisateur exécutant des applications sur le serveur qui ouvre une connexion VPN, vous avez un trou de sécurité très important. Les solutions VPN sont excellentes, mais elles doivent être combinées avec un autre type de barrière de sécurité pour les utiliser.
Avec le battage médiatique qui a entouré les VPN dans le passé, les pièges ou "points faibles" potentiels du modèle VPN peuvent être facilement oubliés. Ces quatre préoccupations concernant les solutions VPN sont souvent soulevées.
Les VPN nécessitent une compréhension approfondie des problèmes de sécurité du réseau public et un déploiement approprié des précautions.
La disponibilité et les performances du VPN étendu d'une entreprise (sur Internet en particulier) dépendent de facteurs largement indépendants de leur volonté.
Les technologies VPN de différents fournisseurs peuvent ne pas fonctionner correctement en raison de normes immatures.
Les VPN doivent prendre en charge des protocoles autres que IP et la technologie de réseau interne existante ("héritée").
De manière générale, ces quatre facteurs comprennent les "coûts cachés" d'une solution VPN. Alors que les partisans du VPN vantent les économies de coûts comme le principal avantage de cette technologie, les détracteurs citent les coûts cachés comme le principal inconvénient des VPN.
Il vaut peut-être la peine de mentionner qu'un VPN que vous exécutez est une affaire différente d'un VPN que vous n'avez pas.
Sur un VPN que vous exécutez, vous gagnez en sécurité dans certaines situations impliquant des réseaux potentiellement hostiles (le wifi vient à l'esprit, mais en fin de compte, je suppose que ce serait n'importe quel réseau que vous ne gérez pas). Sur un VPN, vous ne le faites pas, vous pourriez être protégé du réseau sur lequel vous êtes réellement , mais en fait, vous êtes exposé au fournisseur VPN, et tout ce qui pourrait se trouver entre leurs serveurs et votre cible.
Cela (bien sûr) est également vrai si un VPN que vous exécutez, mais sans doute, vous auriez des priorités différentes de celles d'un fournisseur de VPN (notamment, vous pourriez très bien être heureux de payer un peu plus pour être sur un réseau réputé).
Vous voudrez peut-être consulter la 'FAQ sur l'anonymat et la sécurité' pour Tor (à partir d'ici: https://www.torproject.org/docs/faq.html.en#WhatProtectionsDoesTorProvide )
Tout ce qui dit est à peu près vrai pour votre situation, avec la mise en garde supplémentaire que quelqu'un, quelque part, peut être en mesure de lier votre compte avec le fournisseur VPN à vous.