VPN gratuits ? Késako ?

Bonjour le Monde !

Le VPN ou Virtual Private Network (réseau privé virtuel) est utilisé par les sociétés pour permettre à leurs salariés de connecter leur PC de façon sûre et encryptée vers la maison-mère d’où qu’ils se trouvent en créant une espèce de tunnel ou tuyau de communication direct et protégé entre le PC et le serveur VPN.
On parle de tunnel VPN car la communication étant encryptée, aucun serveur intermédiaire ne sera capable de la traduire ni de la comprendre car n’ayant pas la clé de décryptage.
Le serveur VPN est dans ce cas situé dans l’enceinte de la société et permet d’atteindre l’intranet (réseau intérieur) de la société.

Un VPN pour un utilisateur privé à la maison permet:

  • d’apparaître sur l’Internet comme venant d’un autre pays que son pays d’origine
    • Ceci permet d’utiliser informations et programmes qui seraient bloqués dans le pays d’origine que ce soit pour de bonnes ou de mauvaise raisons
  • d’encrypter la communication entre votre PC et le serveur VPN (plus d’encryption après le serveur VPN)
    • Ceci permet de s’affranchir des risques de piratage/virus lors de l’utilisation de WIFI public peu sécurisés ou compromis.
      C’est l’utilisation la plus utile d’un VPN pour tout le monde
    • Ceci permet aussi de garder ses communications privées en limitant ce que votre fournisseur Internet et autres peut faire de vos données que ce soit pour de bonnes ou de mauvaises raisons.
      C’est la deuxième raison valable d’utiliser un VPN

Dans ce cas, le serveur VPN est situé quelque part sur Internet et n’est pas dédicacé à une société ou un réseau en particulier. C’est ce serveur qui fait vos requêtes à votre place.

On voit assez vite que le VPN vous rend un peu de liberté et de confidentialité sur Internet mais vous expose aussi plus facilement à des comportements illicites dans votre pays sans même parfois que vous ne le sachiez !

Exemple: Molotov TV est un programme français gratuit qui permet de recevoir plein de chaînes TV habituellement payantes mais n’est pas autorisé en Belgique.
L’utilisation d’un VPN vous permet d’utiliser Molotov TV comme si vous étiez connecté en France mais, ce faisant, vous vous exposez à de lourdes amendes si vous regardez des émissions n’ayant pas d’accord de droits avec la Belgique.
Netflix et ses séries disponibles seulement aux USA, même combat !
Télécharger des séries Netflix bloquées dans votre pays par le même principe est tout-à-fait illégal !
Le service VPN vous permet de faire cela mais c’est vous qui restez responsable de ce que vous faites…
Il faut évidemment que vous vous fassiez prendre mais, perso, je trouve que le jeu n’en vaut pas la chandelle….

Notez que si vous souhaitez simplement télécharger du contenu bloqué dans votre pays, vous pouvez aussi utiliser un fournisseur de Proxy gratuit.
Il s’agit d’un tout autre service que le VPN, Il n’y pas d’encryption dans ce cas et le trafic peut être facilement intercepté/analysé par votre fournisseur Internet ou autres.
Pas de protection non plus contre les points WIFI foireux avec ce système.

Pour utiliser un “tunnel” VPN, il vous faut donc un client VPN qui va se connecter au serveur VPN du fournisseur que vous choisirez.

VPN

Le client VPN est un programme installé sur votre PC, Smartphone ou tablette.
OpenVPN décrit ci-dessous est un client VPN.
Windows 10 inclut son propre client VPN (cliquer sur l’icône de notification en bas à droite de l’horloge, puis VPN)
Presque tous les fournisseurs de VPN offre un client VPN à télécharger qui facilite la configuration.
D’autres fournissent simplement les paramètres à utiliser et parfois aussi un fichier de configuration pour OpenVPN.

Windows 10 permet donc l’utilisation d’un VPN sans installer le moindre programme.
Comme Windows 10 est truffé de “spyware” (petits programmes espion) de Microsoft, je ne lui ferais pas confiance si vous utilisez votre VPN pour contourner des droits d’accès…
Pas de soucis si c’est juste pour encrypter vos communications.

OpenVPN est un très bon programme client VPN gratuit en Open Source et est, à mon sens, préférable au client VPN de Windows 10.
Si vous comptez faire du téléchargement “dédouané”, utilisez plutôt un PC Linux avec le même OpenVPN mais à vos risques et périls.
Certains services VPN fournissent directement un fichier de configuration pour OpenVPN rendant ainsi les choses plus faciles à configurer.
Pour les geeks, FreeLAN est un autre client gratuit en Open Source.

L’inconvénient d’utiliser un serveur VPN est que vous serez limité par les capacités de ce serveur, d’où les différentes formules que l’on trouve dans les offres gratuites: limité en GB par période, limité en nombre de connexions, limité en vitesse de surf,  clé d’encryptage plus ou moins forte, nombre limité de lieux de sortie sur Internet, limité en protocoles de communication utilisables, etc…

Sur l’Internet, on trouve des fournisseurs de serveurs VPN gratuits et bien entendu payants.

Petit tour d’horizon des services gratuits en Novembre 2017 (infos fournisseur):

Service

Limite

de Data

Limite de

connexions

Lieux

Type

de clé

Limite

protocoles

Config

OpenVPN

Pub

Client

Log

Limite de

vitesse

Note

TunnelBear

0.5/mois

5

20+

AES-256

Non

?

?

Win, Mac,

Android, IOS

Non

Non

+1GB if Tweet

WindScribe

10/mois

Non

11

?

?

Non

Non

Win, Mac,

Linux, Android,  IOS et +

Non

?

+5GB if Tweet

+1GB per friend

HIDEme

2/mois

1

3

?

Oui

?

Non

Win, Mac,

Android, IOS

Non

3Mb/s +

à renouveler tous les mois

SecurityKiss

0.3/jour

?

4

?

Oui

?

Non

Win, Mac,

Linux, Android,  IOS et +

Oui

Pas d’inscription nécessaire

VPNBOOK

Non

?

6

AES-256

AES-128

Oui

Oui

?

Non

?

?

En anglais

 

Li P’ti Fouineu vous salue bien !

 

 

Yahoo dans la tourmente !

 

Bonjour le Monde !

un “petit” mot pour vous informer si vous ne l’étiez pas encore que Yahoo (moteur de recherche, messagerie électronique, Flickr, etc…) est dans la tourmente depuis le mois passé car la messagerie Yahoo a été piratée il y a bien longtemps (on parle de 2010) et la société a gardé ça secret jusqu’au mois passé; pire, la brèche de sécurité n’a pas été correctement corrigée et il semble acquis que les comptes ont continué d’être piratés pour le plus grand bénéfice des spammeurs et hackeurs de tous poils. On a retrouvé les infos de plusieurs milliers de compte lors d’une perquisition chez un groupe de spammeurs européens… On sait aussi aujourd’hui que certaines de ces listes de comptes ont été vendues environs 300.000 dollars !!!

D’après Yahoo, 500 millions de comptes auraient ainsi été piratés mais d’autres sources parlent d’un nombre entre 1 et 3 milliards de comptes !

Si vous avez un compte de messagerie chez Yahoo et que vous souhaitiez migrer vers un autre fournisseur (mais quelle drôle d’idée), sachez que Yahoo a bloqué la possibilité de transférer ses mails vers un autre compte en prétendant que cette fonctionnalité est en cours de développement (alors qu’elle existait depuis longtemps) !
Yahoo est très fortement suspecté de mentir à nouveau et d’avoir fait cela pour éviter de perdre trop d’utilisateurs et de risquer la faillite…
Il semble par contre encore possible, mais néanmoins difficile, de supprimer complètement son compte.
Yahoo a aussi été sur le grill pour avoir collaboré avec la NSA pour permettre l’espionnage massif des mails (ce fut le premier exemple rendu public mais pourquoi les autres sociétés comme Google, Microsoft ou autres seraient traitées différemment) et c’est même cette annonce qui avait fait réagir Edward Snowden, ex-collaborateur de la NSA, actuellement toujours en fuite… On sait depuis lors que ce programme de la NSA appelé PRISM était déjà en cours d’élaboration en … 2007 et que Yahoo avait été menacé d’une amende de 250.000 dollars par jour par le gouvernement Bush s’ils ne collaboraient pas (rendu public en 2014).

Il est aussi intéressant de savoir que Yahoo est en cours de rachat par Verizon pour environs 5 milliards de dollars mais Verizon a bien entendu déjà demandé un rabais de 1 milliard de dollars…
Allez donc savoir ce qu’il en est exactement ? Une chose est sûre, les éternels entubés ne sont pas loin !

Qui plus est, le chef de la sécurité chez Yahoo arrivé en 2014, Alex Stamos, connu pour ses opinions sur le respect de la vie privée et la lutte contre la surveillance de masse, vient de quitter Yahoo et travaille maintenant chez … Facebook. On peut peut-être espérer que Facebook devienne un peu meilleur sur ce plan dans le futur (ce qui ne va pas être difficile à améliorer) !
Il semblerait que le team sécurité chez Yahoo n’ait pas été pris au sérieux et que les investissements nécessaires aient été utilisés pour les activités “moteur de recherche”…
Google à souffert du même genre de problème en 2010 mais a engagé des dizaines de spécialistes en sécurité informatique et investi beaucoup d’argent pour, comme le dit leur slogan de l’époque, “plus jamais ça” !

Bref, essayez , au moins temporairement, de ne pas avoir d’activités un peu sérieuses et/ou sensibles avec votre compte Yahoo car la société pourrait bien s’écrouler sous peu… et souvenez-vous que plusieurs centaines de millions de comptes au minimum ont été divulgués avec leurs contacts dans les communautés de spammeurs et pirates de tous poils, exposant vos contacts à ces spams et attaques (pas seulement vous).
Vous pouvez visiter l’aide Yahoo pour vous aider ici: https://fr.aide.yahoo.com/kb/flickr/consulter-notre-article-sur-les-signes-indiquant-que-votre-compte-a-%C3%A9t%C3%A9-pirat%C3%A9-sln2090.html
Perso, j’utilise mon compte Yahoo juste pour Flickr (1TB de stockage gratuit de photos) car j’avais remarqué le nombre anormalement élevé de spams dans cette messagerie mais ça me turlupine quand même de savoir ce que des pirates mal intentionnés pourraient faire de mes 30.000 photos…
Flickr, qui appartient à Yahoo et utilise l’authentification Yahoo pour se connecter, n’est nulle part mentionné comme impacté par ce piratage de masse, mais je vais tenir cela à l’œil puisque je vous ai conseillé d’utiliser ce service comme backup de vos photos digitales (https://ecollart.xyz/backupez-vos-photos-sur-flickr/).

Les premiers liens pour en savoir plus et vous faire votre propre idée:

Li P’ti Fouineu vous salue bien !

 

Cybercriminalité … Fin

Bonsoir le Monde !

avec ce troisième et dernier volet de mes pérégrinations sur le sujet, je vais vous résumer ce qui peut quand même un petit peu servir si vous avez un soucis avec une attaque cybercriminelle genre ransomware, phishing, mail spoofing et autres joyeusetés dans le genre !

Je tiens d’abord à remercier Carine P. qui m’a envoyé une petite alerte sur le sujet en février 2016 et l’article publié par la RTBF en août 2016 qui m’ont intrigués et suscités ces 3 articles.

Ce qu’il faut retenir, c’est TTP s’il t’arrive quelque chose: Tire Ton Plan !
Et ce malgré tous les beaux discours et les innombrables publications sur le sujet !
Au final, c’est toi qui devra résoudre ton problème mais il reste tout de même important de signaler le soucis aux autorités afin qu’un jour peut-être …
Ben oui, je suis un doux rêveur, on ne se refait pas !

Expliquons ces termes barbares que sont ransomware, mail spoofing et  phishing et voyons que faire en cas de coup dur…

Ransomware: traduit par le doux nom de rançongiciel en français, on comprend tout de suite mieux de quoi il s’agit.
C’est un programme qui s’exécute sur votre PC Windows ou Linux, Mac, tablette ou Smartphone parce que vous avez malencontreusement cliqué sur un lien ou une pièce jointe pourris et que votre antivirus et/ou antimalware n’a pas reconnu le danger !
Ce programme va crypter vos fichiers de sorte que vous ne sachiez plus les utiliser et va vous demander de l’argent en échange d’une clé de décryptage qui ne fonctionnera même pas toujours.
Pour se prémunir de cela, il ne faut pas ouvrir de mail bizarre ni cliquer sur des liens douteux et bien maintenir ses antivirus et antimalware à jour.
L’utilisation d’un PC Linux ou d’un Mac est aussi une certaine protection car Windows ayant la part de marché la plus importante, les pirates développent leurs cochonneries pour Windows.

Si vous deviez être victime d’un ransomware, déconnectez immédiatement votre PC de l’Internet (coupez le WIFI, la 3G/4G ou retirez le câble réseau).
Ensuite, utilisez un autre PC pour vous rendre sur https://www.nomoreransom.org/ (malheureusement en anglais) pour voir si vous pouvez décrypter sans devoir payer; cliquez sur le bouton YES, cela vous amène sur un écran où on vous demande deux fichiers encryptés d’exemple et/ou le fichier du pirate qui vous demande la rançon (ou une copie exacte du texte de ce message) que vous aurez copiés de votre PC infecté via une clé USB de préférence.
Cliquez ensuite sur le bouton “GO! FIND OUT“, croisez les doigts et , si vous avez du bol, suivez les instructions pour décrypter votre PC (je n’ai pas pu essayer cette partie…).
Si vous n’avez pas de chance, à vous de décider si cela vaut la peine de payer ou pas pour peut-être récupérer vos données.
Dans tous les cas, je vous conseille de changer tous vos mots de passe à partir d’un PC “propre” (Un Linux de préférence), de vous rendre dans votre commissariat et de déposer une plainte pour piratage informatique avec une description éventuelle des coûts engendrés.
Si il y a préjudice financier, contactez aussi votre assureur, sait-on jamais (oui, je sais, je suis un doux rêveur)…

Mail Spoofing: utilisation de votre adresse mail à votre insu et donc usurpation d’identité. J’aime à expliquer qu’envoyer un mail via Internet revient à envoyer un courrier dans une enveloppe transparente laissant apparaître en clair toutes les information de votre mail (ainsi que votre message) ce qui permet à un pirate même novice de capturer suffisamment d’information pour pouvoir envoyer un mail en votre nom à vos contacts sans que vous le sachiez… Vous pourriez également recevoir un mail ayant un  un aspect véridique de l’un de vos contacts s’étant fait “spoofer”…
Cela semble un peu risible à première vue mais si le pirate s’adresse en votre nom à une autorité officielle (banque, électricité, eau, police, fournisseur Internet, employeur, administration communale ou autres), cela peut vous causer de sérieux soucis. Imaginez aussi que le pirate demande de l’argent en urgence à tous vos contacts parce vous êtes soi-disant en grande difficulté, il y a forcément des amis ou connaissances qui vont tomber dans le panneau !
Le seul moyen de contrer cela est d’encrypter vos échange de mail mais c’est malheureusement trop compliqué pour le commun des mortels qui n’est en général pas très diplômé en informatique (et même ces diplômés trouvent ça compliqué)… Je vous ferai un article là-dessus un de ces quatre …

Si vous êtes victime de mail spoofing, la première chose à faire est de changer les mots de passe de tous vos comptes de messagerie et de créer une nouvelle adresse mail ( sur Gmail ou Outlook.com par exemple) qui ne sera pas connue du pirate afin de contacter vos correspondants et les prévenir que cette nouvelle adresse est la seule fiable au moins temporairement… Il faudra être très clair dans votre message et fournir, si possible, une preuve irréfutable de votre identité afin que vos contacts fassent confiance à cette nouvelle adresse mail.
Si le même mot de passe que votre messagerie est aussi utilisé pour d’autres comptes (banque, sites d’achats, forums, etc…), il faudra les changer aussi !
Suivant la gravité de ce que le pirate aura envoyé en votre nom, il faudra peut-être aussi aller porter plainte dans votre commissariat afin de vous mettre à l’abri de plaintes d’autres victimes qui vous prendront pour le pirate !
Ensuite, il faut essayer d’isoler les infos du pirate et voir si il est possible de l’éradiquer de vos comptes mail si il s’en est servi (le pirate pourrait aussi avoir envoyé des mails en votre nom depuis d’autres serveurs que ceux de votre messagerie électronique. Ce travail n’est pas facile à faire et l’aide d’une personne connaissant bien la messagerie électronique sera nécessaire, soit via une connaissance soit via des forums spécialisés (où il ne faudra JAMAIS fournir le mot de passe de votre mail).
Il faut savoir qu’un pirate qui a capturé vos infos mail se dépêche de les revendre un peu partout et vous, ainsi que vos contacts, allez sans doute recevoir sous peu beaucoup plus de mails non-sollicités (spam) qu’auparavant ainsi que subir plus de tentatives d’usurpation.
Dans les cas extrêmes, il vaudra mieux supprimer ces comptes de messagerie et informer vos correspondant de placer les adresses mail correspondantes dans leur filtre anti-spam pour qu’ils ne soient plus non plus importunés.

Phishing: ou hameçonnage en français, consiste à collecter des informations confidentielles et/ou de connexion à vos comptes Internet quels qu’il soient (carte de crédit, réseaux sociaux, banques, sites de rencontre, serveur mail et j’en passe…) par tous les moyens possibles et imaginables (interception des mails, keylogger, contact téléphonique, etc …). Avec ces infos, un pirate peut agir à votre place sur n’importe lequel de ces comptes ou utiliser par exemple votre compte en banque et/ou cartes de crédit à votre place ! Il s’agit aussi d’une usurpation d’identité.
Ici encore, la meilleure prévention est de ne pas ouvrir de mail louche ni cliquer sur des liens douteux, ni de fournir des infos confidentielles par téléphone, de bien vérifier d’être sur un site sécurisé avant de faire tout paiement via carte de crédit ou de se connecter à sa banque, de ne pas utiliser de mot de passe trop simple ou trop facile à déduire et de bien maintenir ses antivirus et antimalware à jour.

Si vous êtes victime de phishing, il faut immédiatement contacter l’organisme au nom duquel le pirate vous a demandé des infos (que vous les ayez fournies ou non) !
Si vous avez fourni les informations demandées il faut en plus bloquer le compte (banque, carte de crédit ou autres) et changer les mots de passe de tous vos compte en ligne quels qu’il soit car, trop souvent, le même mot de passe est utilisé pour tous les comptes d’une même personne voire famille.
À nouveau, ne pas hésiter à porter plainte à la police pour vous mettre à l’abri d’autres plaintes qui pourraient être déposées contre vous du fait des agissements du pirate en votre nom.
Phishing et mail spoofing peuvent être combinés et, dans ce cas, il faut appliquer les solutions pour ces deux problèmes.

Même si vous êtes rigoureux et suivez toutes ces recommandations, vous n’êtes évidemment pas 100% à l’abri d’une attaque mais il en va de même dans votre maison ou sur la voie publique, il ne sert donc pas à grand chose de devenir parano… Il est simplement bon de savoir que cela existe et de savoir plus ou moins quoi faire en cas de soucis.
Notez aussi que je ne suis pas un spécialiste de la sécurité informatiques et que je n’ai sans doute pas couvert tous les cas de figure dans cet article.

Pour parfaire vos défenses, vous pouvez par exemple utiliser une carte de débit spéciale (et non de crédit) pour faire vos achats en ligne (la poste propose ce service ainsi que de plus en plus de banques), d’utiliser une carte de crédit qui ne soit pas liée directement à votre compte bancaire (en Belgique, on n’est pas légalement obligé de faire une domiciliation à l’organisme de crédit, on peut toujours exiger de payer par virement, ce qui vous laisse la possibilité de vérifier votre facture AVANT de payer).
Dans le même esprit, éviter de payer en ligne avec votre carte de banque (Bancontact, icône de votre banque, etc…) car là, vous exposez directement votre compte en banque !

Pour le mail, il est possible d’obtenir un certificat gratuit renouvelable annuellement qui permet d’encrypter vos messages. Cela demande une gestion de vos destinataires à qui vous devrez fournir d’une manière ou l’autre votre clé publique afin de pouvoir décrypter votre mail. Vous devrez aussi prendre soin de sauvegarder votre clé privée qui permet l’encryption avant l’envoi.
Ce système est assez fastidieux mais permet de garantir votre identité et que votre mail n’ait pas été modifié entre vous et votre correspondant.
Comme dit précédemment, je vous ferai un article là-dessus un de ces quatre jeudis…

Pour les mots de passe, il faut toujours utiliser un mot de passe complexe comprenant lettres minuscules et majuscules, chiffres et caractères spéciaux tout en sachant s’en souvenir facilement sans devoir les noter partout et surtout pas dans un fichier sur votre PC ou alors ce fichier doit être encrypté (par vous-même, pas par un ransomware).
Prudence aussi avec tous ces programmes qui vous proposent de conserver tous vos mots de passe soi-disant à l’abri, même si les auteurs sont de bonne foi, ces programmes sont les cibles privilégiées des pirates et aucun ne peut vous offrir de garantie sérieuse.
Certains sites limite encore la longueur de leur mots de passe à 8 caractères; c’est totalement insuffisant de nos jours et il vaut mieux passer votre chemin…
Avant de taper un mot de passe pour se connecter à un site, toujours bien vérifier que vous êtes sur une page sécurisée c’est-à-dire dans l’adresse commence par “https” et pas “http”. Cette info n’est pas toujours visible et certains navigateurs montrent un cadenas ou un autre signe clair indiquant que la page est sécurisée. Apprenez à connaître votre navigateur sur ce point, c’est impératif et vital… Je vais essayer de faire une page de référence quelque part qui montrera comment chaque navigateur montre cela… Il est dommage que cela ne soit pas standardisé, pas vrai ?
De plus en plus de sites, surtout sensibles évidemment, proposent une double authentification avec aide à la récupération de mot de passe via SMS; c’est en général une bonne solution mais il faudra penser à adapter/bloquer immédiatement ces comptes si vous vous faites voler ou perdez votre GSM/Smartphone !
Ça, c’était juste pour en rajouter une couche ! 🙂

Ouf ! C’est bon, j’ai ma dose, assez pour aujourd’hui !

Li P’ti Fouineu vous salue bien !

1 3 4 5 6