Un guide complet sur la protection contre les fuites IP

L'une des principales raisons d'utiliser un VPN est de masquer votre véritable adresse IP. Lorsque vous utilisez un VPN, votre trafic Internet est crypté et envoyé à un serveur VPN géré par votre fournisseur VPN, avant de quitter Internet.

Cela signifie que les observateurs extérieurs ne peuvent voir que l'adresse IP du serveur VPN et non votre véritable adresse IP. Par conséquent, la seule façon pour eux de découvrir votre véritable adresse IP est de convaincre votre fournisseur VPN de la leur remettre (et les bons fournisseurs utilisent des mesures robustes telles que l'utilisation d'adresses IP partagées et la conservation d'aucun journal pour rendre cela aussi difficile que possible).

Malheureusement, il est parfois possible pour les sites Web de détecter votre véritable adresse IP, même lors de l'utilisation d'un VPN.

Cet article vise à répondre: qu'est-ce qu'une fuite IP, pourquoi mon IP fuit même si je suis connecté à un VPN et comment résoudre le problème?

Comment tester une fuite DNS ou une fuite IP

Pour déterminer si vous souffrez d'une fuite IP:

1. Visitez ipleak.net sans VPN en cours d'exécution. Prenez note de toutes les adresses IP que vous voyez (ou laissez simplement la fenêtre ouverte), car ce sont vos vraies adresses IP.

Voici à quoi ressemble notre connexion bureautique compatible IPv6 sans VPN en cours d'exécution. Si votre connexion n'est pas compatible IPv6, vous ne verrez que les adresses IPv4. Comme nous pouvons le voir, WebRTC signale correctement notre véritable adresse IPv6. Si nous n'avions pas de capacité IPv6, il signalerait plutôt notre adresse IPv4.

WebRTC signale également une adresse à usage privé (adresse privée ou spéciale IANA], mais cela ne nous concerne pas. Ces adresses à usage privé sont des adresses internes qui ne sont utilisées que par votre réseau local..

Même si WebRTC renvoie une véritable adresse IP à usage privé lorsqu'un VPN est en cours d'exécution, ce n'est pas un risque pour la confidentialité car elles ne peuvent pas être utilisées pour vous identifier à partir d'Internet..

2. Allumez votre VPN. Bien que ce ne soit pas strictement nécessaire, la connexion à un serveur VPN dans un autre pays facilite la détection des fuites IP.

3. Ouvrez une fenêtre privée / navigation privée dans votre navigateur, visitez à nouveau ipleak.net et comparez les résultats avec ceux que vous avez obtenus sans que le VPN ne fonctionne..

  • Si l'adresse IPv4 régulière est votre véritable adresse IPv4, le VPN n'est pas activé ou ne fonctionne tout simplement pas..
  • Vous pouvez ignorer les adresses IP à usage privé détectées par WebRTC. Comme déjà discuté, ceux-ci ne constituent pas une menace pour votre vie privée en ligne et ne comptent donc pas comme une fuite IP (en termes pratiques, de toute façon).
  • Si une autre adresse sur la page Web ipleak.net correspond à votre adresse réelle, alors le VPN fonctionne mais fuit votre adresse IP d'une manière ou d'une autre.

Le bon

Se connecter à un serveur VPN américain depuis le Royaume-Uni, voici le résultat que nous voulons voir.

  • L'adresse IPv4 a changé pour l'emplacement du serveur VPN. Donc, le VPN fonctionne.
  • IPv6 a été désactivé ou bloqué pour éviter les fuites IPv6 régulières.
  • WebRTC ne détecte pas notre véritable adresse IPv4 ou IPv6. Nous pouvons ignorer l'adresse à usage privé car elle ne menace pas notre vie privée.
  • Les serveurs DNS utilisés n'appartiennent pas à notre FAI et sont résolus dans le bon pays.

Si le DNS est résolu près de l'emplacement du serveur VPN, cela suggère fortement que le service VPN y exécute son propre serveur DNS.

Si vous voyez plusieurs destinataires DNS qui se localisent uniquement dans un pays ou une zone géographique plus large, la traduction DNS est probablement effectuée par un résolveur DNS tiers tel que Google DNS.

Ce n'est pas un problème tant que nous supposons que les demandes DNS sont envoyées via la connexion VPN et sont donc transmises par le serveur VPN (une hypothèse assez sûre, bien que vous ne sachiez jamais).

Malheureusement, il n'y a généralement pas de moyen facile pour un utilisateur final de savoir si les demandes DNS traitées par un résolveur tiers sont transmises par proxy par le service VPN ou envoyées directement au résolveur. Il vous suffit donc de faire confiance à votre fournisseur sur celui-ci (ou de passer à un fournisseur qui exécute définitivement ses propres serveurs DNS).

Il convient de noter que Google DNS résout toutes les demandes DNS européennes à l'aide de serveurs situés aux Pays-Bas et en Belgique. Donc, si vous êtes connecté à un serveur VPN au Royaume-Uni, en France ou en Roumanie, mais que le serveur DNS est situé en Belgique, c'est pourquoi. Et ce n'est pas un problème (tant que nous supposons que les demandes DNS sont transmises par proxy et ne sont pas envoyées directement à Google).

Le mauvais

Ceci est un exemple de ce que vous ne voulez pas voir lorsque vous vous connectez à un serveur VPN en Allemagne depuis le Royaume-Uni.

  • L'adresse IPv4 est devenue allemande, donc le VPN fonctionne au niveau de base.
  • Cependant, nous pouvons toujours voir notre véritable adresse IPv6 régulière. Cela signifie que nous avons une fuite IPv6 régulière (ou simplement une «fuite IPv6»).
  • WebRTC rapporte également notre véritable adresse IPv6. Nous avons donc une fuite WebRTC IPv6.
  • Les adresses DNS ne sont pas en Allemagne, mais elles n'appartiennent pas non plus à notre véritable FAI. Ils ne constituent donc pas une fuite DNS.

Ci-dessous, nous expliquons quels sont les différents types de fuite IP et comment les corriger. Dans tous les cas, cependant, une solution souvent non écrite mais recommandée consiste à remplacer le service VPN par un service qui ne fuit pas..

Fuites IPv6 régulières

Comprendre IPv4

Chaque connexion Internet a une adresse numérique unique appelée adresse IP (Internet Protocol). Les adresses IP (ou simplement «IP») sont attribuées par le fournisseur d'accès Internet (FAI) qui connecte l'appareil..

Jusqu'à récemment, Internet tout entier utilisait la norme IPv4 (Internet Protocol version 4) pour définir les adresses IP. Cela prend en charge une adresse Internet maximale de 32 bits, ce qui se traduit par 2 ^ 32 adresses IP (environ 4,29 milliards) disponibles pour l'attribution..

Malheureusement, grâce à l'augmentation sans précédent de l'utilisation d'Internet au cours des dernières années, les adresses IPv4 s'épuisent. En fait, techniquement parlant, ils l'ont déjà fait, bien que les solutions de contournement signifient qu'IPv4 est encore très loin d'être mort. À l'heure actuelle, la grande majorité des adresses Internet utilisent toujours la norme IPv4.

Comprendre IPv6

Alors que diverses stratégies d'atténuation ont été déployées pour prolonger la durée de conservation d'IPv4, la vraie solution se présente sous la forme d'une nouvelle norme - IPv6. Celui-ci utilise des adresses Web de 128 bits, augmentant ainsi le nombre maximal d'adresses Web disponibles à 2 ^ 128 (environ 340 milliards de milliards de milliards!). Ce qui devrait nous fournir des adresses IP dans un avenir prévisible.

L'adoption d'IPv6, cependant, a été lente - principalement en raison des coûts de mise à niveau, des problèmes de capacité en amont et de la pure paresse. Par conséquent, bien que tous les systèmes d'exploitation modernes prennent en charge IPv6, la grande majorité des FAI et des sites Web ne se soucient pas encore.

Cela a conduit les sites Web prenant en charge IPv6 à adopter une approche à deux niveaux. Lorsqu'ils sont connectés à partir d'une adresse qui ne prend en charge que IPv4, ils serviront une adresse IPv4, mais lorsqu'ils seront connectés à partir d'une adresse qui prend en charge IPv6, ils serviront une adresse IPv6.

Cela a conduit les sites Web prenant en charge IPv6 à adopter une approche à deux niveaux. Lorsqu'ils sont connectés à une adresse qui ne prend en charge que IPv4, ils serviront une adresse IPv4. Mais lorsqu'ils sont connectés à partir d'une adresse prenant en charge IPv6, ils serviront une adresse IPv6.

Jusqu'à ce que les adresses IPv4 commencent à manquer, il n'y a aucun inconvénient à utiliser une connexion IPv4 uniquement.

Fuites de VPN IPv6

Malheureusement, beaucoup de logiciels VPN n'ont pas rattrapé IPv6. Lorsque vous vous connectez à un site Web compatible IPv6 à partir d'une connexion Internet compatible IPv6, le client VPN achemine votre connexion IPv4 via l'interface VPN mais ignore complètement que la connexion IPv6 est également établie..

Le site Web ne verra donc pas votre véritable adresse IPv4, mais il verra votre adresse IPv6. Qui peut être utilisé pour vous identifier.

Solutions

1. Utilisez un client VPN avec protection contre les fuites IPv6

Tous les bons clients VPN offrent de nos jours une protection contre les fuites IPv6. Dans la plupart des cas, cela se fait en désactivant IPv6 au niveau du système pour garantir que les connexions IPv6 ne sont tout simplement pas possibles. C'est quelque chose d'une solution paresseuse, mais cela fonctionne bien.

Les applications VPN qui acheminent correctement les connexions IPv6 via l'interface VPN sont plus impressionnantes sur le plan technique. C'est une solution beaucoup plus élégante et c'est sans aucun doute l'avenir de toutes les applications VPN.

Si le logiciel personnalisé de votre fournisseur VPN n'empêche pas les fuites IPv6 régulières, vous pouvez utiliser une application tierce à la place. L'interface graphique OpenVPN pour Windows, Tunnelblick pour macOS, OpenVPN pour Android et OpenVPN Connect pour iOS (et d'autres plates-formes) offrent tous une protection efficace contre les fuites IPv6.

2. Désactivez IPv6 manuellement sur votre système

Le moyen le plus sûr de prévenir toute possibilité de fuite IP est de désactiver IPv6 au niveau du système (si possible). Veuillez consulter notre guide sur la façon de désactiver IPv6 sur tous les appareils pour savoir comment procéder..

Fuites DNS

Les fuites DNS sont la forme de fuite IP la plus connue car elles étaient les plus courantes. Ces dernières années, la plupart des services VPN ont toutefois atteint le niveau requis et, lors de nos tests, nous détectons beaucoup moins souvent les fuites DNS.

Le système de noms dynamiques (DNS) est utilisé pour traduire les adresses Web faciles à comprendre et à mémoriser que nous connaissons (URL), en leurs «vraies» adresses IP numériques. Par exemple, traduire le nom de domaine www.proprivacy.com en son adresse IPv4 de 104.20.239.134. Donc, au fond, DNS n'est qu'un annuaire téléphonique sophistiqué qui associe les URL à leurs adresses IP correspondantes.

Ce processus de traduction DNS est généralement effectué par des serveurs DNS gérés par votre fournisseur d'accès Internet (FAI). Avec des FAI plus importants, il est probable que les requêtes DNS seront résolues géographiquement près de chez vous (par exemple quelque part dans votre ville), mais ce n'est pas toujours le cas.

Ce qui est certain, c'est que les requêtes DNS seront résolues dans le pays où votre FAI est basé (c'est-à-dire votre propre pays). Partout où la requête DNS est résolue, cependant, elle ne sera pas à votre adresse IP personnelle. Mais…

Risques de confidentialité

Votre FAI peut voir ce que vous faites

C'est votre FAI qui résout vos requêtes DNS, donc:

  1. Il connaît l'adresse IP dont ils sont issus.
  2. Il sait quels sites Web vous visitez, car c'est celui qui traduit les URL que vous saisissez en adresses IP. La plupart des FAI du monde entier tiennent des journaux de ces informations, qu'ils peuvent ou non partager avec votre gouvernement ou vos forces de police comme une question de routine, mais qu'ils peuvent toujours être contraints de partager.

Maintenant… dans le cours normal des choses, cela n'a pas vraiment d'importance, car c'est votre FAI qui vous connecte directement aux adresses IP que vous visitez. Il sait donc quels sites Web vous visitez, de toute façon.

Un serveur VPN mandaté votre connexion Internet, cependant, pour empêcher votre FAI de voir ce que vous faites sur Internet. À moins qu'il ne résout toujours vos requêtes DNS, auquel cas il peut toujours (indirectement) voir quel site Web vous visitez.

Vous pouvez être retracé

Les sites Web peuvent voir et enregistrer les adresses IP des serveurs DNS qui dirigent les connexions vers eux. Ils ne connaîtront pas votre adresse IP unique de cette manière, mais ils sauront quel FAI a résolu la requête DNS et créer régulièrement un horodatage de la date à laquelle cela s'est produit.

S'ils (ou la police, par exemple) veulent identifier un visiteur, ils doivent simplement demander au FAI "qui a fait une demande DNS à cette adresse à ce moment?"

Encore une fois, dans le cours normal des choses, cela n'est pas pertinent, car les sites Web peuvent de toute façon voir votre adresse IP unique. Mais lorsque vous cachez votre adresse IP avec un VPN, cela devient un moyen important de «anonymiser» les utilisateurs VPN.

Comment les fuites DNS se produisent

En théorie, lorsque vous utilisez un VPN, toutes les demandes DNS doivent être envoyées via le VPN, où elles peuvent être traitées en interne par votre fournisseur VPN ou transmises par proxy à un tiers qui verra uniquement que la demande provient du serveur VPN..

Malheureusement, les systèmes d'exploitation ne parviennent pas toujours à acheminer les requêtes DNS via l'interface VPN et les envoient à la place au serveur DNS par défaut spécifié dans les paramètres système (qui sera le serveur DNS de votre FAI, sauf si vous avez modifié manuellement vos paramètres DNS).

Solutions

1. Utilisez un client VPN avec protection contre les fuites DNS

De nombreux clients VPN résolvent ce problème avec une fonctionnalité de «protection contre les fuites DNS». Cela utilise des règles de pare-feu pour garantir qu'aucune demande DNS ne peut être envoyée en dehors du tunnel VPN. Malheureusement, ces mesures ne sont pas toujours efficaces.

Nous ne comprenons pas pourquoi la «protection contre les fuites DNS» est souvent une fonctionnalité sélectionnable par l'utilisateur qui n'est pas activée par défaut.

Encore une fois, OpenVPN GUI pour Windows, Tunnelblick pour macOS, OpenVPN pour Android et OpenVPN Connect pour iOS (et d'autres plates-formes) offrent tous une bonne protection contre les fuites DNS..

2. Désactivez IPv6

Notez que ce n'est qu'une solution partielle, car elle n'empêche en aucune façon les fuites DNS IPv4. Mais l'une des principales raisons pour lesquelles même les applications VPN qui disposent d'une protection contre les fuites DNS ne bloquent pas les fuites DNS est qu'elles ne pare-feu que les demandes DNS aux serveurs DNS IPv4.

Étant donné que la plupart des serveurs DNS restent uniquement IPv4, ils peuvent souvent s'en tirer. Mais les FAI qui offrent des connexions IPv6 proposent également généralement des serveurs DNS IPv6. Donc, si un client bloque uniquement les requêtes DNS IPv4 en dehors de l'interface VPN, celles IPv6 peuvent passer.

3. Modifiez vos paramètres DNS

Toutes les requêtes DNS rebelles qui ne sont pas acheminées via l'interface VPN (comme elles le devraient) seront plutôt envoyées aux serveurs DNS par défaut spécifiés dans les paramètres de votre système..

Sauf si vous les avez déjà modifiés, les adresses de serveur DNS (IPv4 et IPv6 si disponibles) seront obtenues automatiquement auprès de votre FAI. Mais vous pouvez le changer, et nous avons des instructions pour le faire ici.

Notez que la modification de vos paramètres DNS ne «résout» pas vraiment le problème de fuite DNS. C'est juste que vous fuyez des requêtes DNS vers un résolveur tiers au lieu de votre FAI.

Heureusement, il existe maintenant de très bons services DNS axés sur la confidentialité qui ne conservent aucun journal. Ils protègent également les demandes DNS avec le cryptage DNS DNS sur HTTPS (DoH) ou DNS sur TLS (DoT), sans lequel votre FAI peut voir les demandes DNS, de toute façon, même s'il ne les traite pas..

Pour plus d'informations à ce sujet, ainsi qu'une liste des services DNS gratuits et privés recommandés, veuillez consulter ici.

Une note pour les utilisateurs de Linux

La configuration manuelle du VPN sous Linux, que vous utilisiez NetworkManager, le client CLI OpenVPN, strongSwan ou autre, n'offre aucune protection contre les fuites DNS. Heureusement, il existe des mesures que vous pouvez prendre pour résoudre ce problème, bien qu'elles compliquent le processus de configuration VPN.

Vous pouvez modifier resolvconf pour pousser DNS vers les serveurs DNS de votre VPN, ou vous pouvez configurer manuellement le pare-feu iptables pour vous assurer que tout le trafic (y compris les requêtes DNS) ne peut pas laisser votre machine Linux en dehors du tunnel VPN. Veuillez consulter nos notes sur la création de votre propre pare-feu plus loin dans cet article pour en savoir plus à ce sujet..

Fuites WebRTC

Les fuites WebRTC sont désormais la forme la plus courante de fuite IP que nous voyons dans nos tests. À proprement parler, les fuites WebRTC sont un problème de navigateur, pas un problème de VPN, ce qui a conduit de nombreux fournisseurs de VPN à se distancier d'un problème qui n'est pas facile à résoudre..

À notre avis, ce n'est pas suffisant. En effet, nous ne pensons pas non plus que la publication d'un guide "Comment désactiver WebRTC" caché au fond de la section d'aide d'un fournisseur soit suffisante,.

Quelles sont les fuites WebRTC?

WebRTC est une plate-forme HTML5 qui permet une communication vocale et vidéo transparente dans les fenêtres de navigation des utilisateurs. Presque tous les navigateurs modernes sur presque toutes les principales plates-formes prennent désormais en charge WebRTC, y compris Chrome, Firefox, Opera, Edge, Safari et Brave.

Une exception est dans iOS, où seul Safari prend en charge WebRTC (au moins sans plugins supplémentaires).

Afin de réaliser une communication transparente de navigateur à navigateur à travers des obstacles tels que les pare-feu, les navigateurs compatibles WebRTC diffusent votre ou vos adresses IP réelles aux serveurs STUN qui conservent une liste des adresses IP publiques des deux utilisateurs et de leurs adresses IP réelles..

Toute personne souhaitant initier une conversation WebRTC avec vous (ou tout autre site Web fouineur) peut demander votre véritable adresse IP et le serveur STUN la remettra simplement.

Habituellement appelé fuite WebRTC, ce problème est parfois appelé «bogue WebRTC». Ce qui est quelque peu inapproprié car il s'agit d'une fonctionnalité intentionnelle et très utile de WebRTC. Mais c'est une vraie douleur pour les utilisateurs VPN qui essaient de cacher leur véritable adresse IP!

Solutions

1. Désactivez WebRTC dans votre navigateur

C'est le seul moyen efficace à 100% pour éviter une fuite WebRTC lors de l'utilisation d'un VPN. Nous vous recommandons de le faire même si votre client VPN est efficace pour atténuer les fuites VPN.

Dans Firefox, il est facile de désactiver WebRTC. Tapez «about: config» dans la barre d'URL pour entrer les paramètres avancés de Firefox, recherchez «media.peerconnection.enabled» et double-cliquez sur l'entrée pour changer sa valeur en false.

Alternativement (et dans d'autres navigateurs), il existe différents plugins de navigateur qui peuvent désactiver WebRTC, notamment Désactiver WebRTC, uBlock, uBlock Origin et NoScript. Certains fournisseurs VPN incluent une fonctionnalité Désactiver WebRTC dans leurs modules complémentaires de navigateur personnalisés.

Une discussion plus complète sur ce sujet peut être trouvée dans Qu'est-ce que le «bug» du WebRTC VPN et comment le corriger?

2. Utilisez un service VPN qui atténue les fuites WebRTC

Les fuites WebRTC sont un problème de navigateur, donc le seul moyen vraiment efficace d'empêcher cela est de désactiver WebRTC dans le navigateur.

Cela dit, les fournisseurs VPN peuvent utiliser des règles de pare-feu et resserrer les paramètres au niveau du client et du VPN pour réduire considérablement les risques de fuites WebRTC. Aucun fournisseur VPN ne garantira que ces mesures fonctionnent car il est toujours possible pour les sites Web d'implémenter un code JavaScript intelligent conçu pour augmenter la probabilité de fuites.

Nous avons cependant constaté que certains services VPN sont toujours efficaces pour prévenir les fuites VPN. Nous recommandons toujours de désactiver WebRTC au niveau du navigateur, même avec ces derniers, cependant. Juste pour être sur le côté sécuritaire.

Décrocheurs VPN et kill switches

Bien qu'il ne s'agisse pas techniquement d'une «fuite IP», car le problème se produit exactement parce que vous n'avez pas de connexion VPN, l'effet est le même - vous pensez que vous êtes protégé par VPN, alors qu'en fait, le monde entier peut voir votre adresse IP.

Qu'est-ce qu'un abandon VPN?

Parfois, les connexions VPN échouent, souvent pour des raisons complètement indépendantes du contrôle des meilleurs services VPN. . Si votre ordinateur reste connecté à Internet après cela, votre véritable adresse IP sera exposée.

C'est particulièrement un problème pour les téléchargeurs P2P qui laissent les clients BitTorrent en cours d'exécution lorsqu'ils sont loin de leurs ordinateurs (souvent pendant de longues périodes). Si la connexion VPN tombe, leur véritable IP est donc exposée à tous les responsables du respect des droits d'auteur qui suivent un torrent qu'ils téléchargent.

C'est également un problème pour les utilisateurs mobiles, car la commutation entre le WiFi et les réseaux mobiles et la commutation des réseaux mobiles peuvent provoquer des abandons de VPN.

Solutions

1. Utilisez un kill switch

Un kill switch empêche votre appareil de se connecter à Internet lorsque le VPN ne fonctionne pas. Presque tous les kill switches modernes sont en fait des pare-feu ou des règles de pare-feu au niveau du système qui bloquent toutes les connexions Internet en dehors de l'interface VPN.

Donc, si le logiciel VPN échoue ou doit se reconnecter, tout accès à Internet est bloqué. En effet, les mêmes règles de pare-feu offrent une protection efficace contre les fuites DNS et peuvent aider à atténuer les fuites WebRTC.

Les commutateurs Kill sont maintenant une fonctionnalité très courante dans les clients VPN de bureau, bien que plus rares dans les applications mobiles. Android 7+, cependant, comprend un kill switch intégré qui fonctionne avec n'importe quelle application VPN installée.

Les applications VPN peuvent utiliser leur propre pare-feu pour créer un coupe-circuit (et d'autres protections contre les fuites) ou peuvent modifier le pare-feu intégré de votre système. Nous préférons cette dernière solution car le kill switch survivra même si l'application se bloque complètement. Mais tout kill switch est bien meilleur qu'aucun.

Créez votre propre kill switch et protection contre les fuites DNS à l'aide de règles de pare-feu

Comme nous l'avons vu, de nombreuses applications VPN utilisent leurs propres règles de pare-feu ou modifient les règles de votre pare-feu système pour créer un kill switch et éviter les fuites DNS. Il vous est tout à fait possible de faire la même chose manuellement.

Les détails diffèrent selon le système d'exploitation et le programme de pare-feu, mais les principes de base sont les suivants:

1. Ajoutez une règle qui bloque tout le trafic sortant et entrant sur votre connexion Internet.

2. Ajoutez une exception pour les adresses IP de votre fournisseur VPN.

3. Ajoutez une règle pour votre adaptateur TUN / Tap (si vous utilisez OpenVPN, ou pour tout autre périphérique VPN sinon) pour autoriser tout le trafic sortant pour le tunnel VPN.

Nous avons un guide détaillé pour ce faire en utilisant Comodo Firewall pour Windows. Les utilisateurs Mac peuvent faire de même en utilisant Little Snitch, tandis que les utilisateurs Linux et ceux qui exécutent un client VPN sur un routeur DD-WRT peuvent utiliser iptables.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me