« Peut-on faire aveuglément confiance aux VPN pour sécuriser les communications Internet entre deux postes ? Apparemment non. Du moins, pas pour tous les réseaux privés virtuels si l’on en croit une étude de cinq universitaires britanniques et italiens. Les équipes de chercheurs des universités de Sapienza à Rome et Queen Mary à Londres se sont penchées sur 14 des plus populaires services commerciaux de VPN (ceux qui remontent parmi les vingt premier sur Google) vantés pour leurs capacités à garantir l’anonymat, protéger la vie privée, contourner les censures, échapper à la surveillance, etc., de leurs utilisateurs.

[...]

Sur les 14 VPN étudiés, seuls 4 n’ont pas révélé de fuites en IPv6 et seul 1 est protégé contre les détournements de DNS (serveurs de noms de domaines).

[...]

Si le trafic IPv4 est bien pris en charge par les clients VPN, il n’en sera pas moins victime des risques de contournement de DNS. « L’attaquant peut rediriger toutes les requêtes DNS vers ses propres proxy locaux, contournant ainsi le tunnel VPN et prendre aussi bien le contrôle du trafic IPv4 que IPV6. » Pour les chercheurs, ce problème est principalement imputable à Windows qui n’a pas de règles de paramétrage des DNS et permet à chaque interface d’indiquer son propre serveur de domaine. « En raison de la façon dont Windows traite une résolution DNS, tout retard dans une réponse du tunnel VPN peut déclencher une autre requête DNS à partir d’une interface différente, ce qui entraîne une fuite », précise le rapport. »

Pas simple, l'anonymat, hein ? :) Et encore, après tout ça, il restera encore à bien gérer le pare-feu pour ne pas avoir de leak au boot/flap réseau. :) Et encore ensuite, il restera la protection du contexte. :)
(Permalink)