emplacements de serveurs virtuels


Les services VPN se promeuvent généralement pour la sécurité en ligne et l'anonymat, et l'accès au contenu géo-bloqué. Et ils se vantent généralement de ne pas conserver les journaux, la vitesse de téléchargement élevée et la diversité des emplacements de serveur. La diversité des emplacements n'est pas seulement un point de vantardise. Autrement dit, pour maximiser la vitesse, on choisit le serveur le plus proche qui n'est pas géo-bloqué. Donc, avec beaucoup d'endroits, il y a de meilleures chances qu'un utilisateur aléatoire trouve un serveur rapide à proximité.

Parfois, cependant, le serveur le plus proche qui n'est pas géo-bloqué se trouve toujours sur un autre continent. Dans cet esprit, pour offrir de meilleures performances, certains services VPN proposent également des emplacements virtuels. Autrement dit, les serveurs qui ne se trouvent pas là où ils semblent (en savoir plus ci-dessous). Par exemple, un serveur peut avoir une adresse IP américaine et fournir ainsi un accès au contenu uniquement américain. Mais il est en fait situé près de l'utilisateur, ou dans un emplacement intermédiaire, avec une bonne connectivité à la fois à l'utilisateur et au serveur de contenu.

Il y a d'autres raisons de se soucier de l'emplacement des serveurs VPN. Par exemple, certains ne veulent pas utiliser des serveurs situés dans des pays dangereux, craignant qu’ils ne soient compromis. Et ils préfèrent donc des emplacements virtuels, qui fournissent les adresses IP souhaitées sans exposition physique. De plus, avec les emplacements virtuels, les emplacements des serveurs physiques sont quelque peu obscurcis.

Cependant, différents utilisateurs ont des idées différentes sur les pays dangereux. Certains utilisateurs considèrent les États-Unis et leurs proches alliés comme dangereux (voir Five Eyes), après avoir vu des informations de la NSA publiées par Snowden. Mais d'autres préfèrent les serveurs américains, car il n'y a aucune obligation légale de conserver les journaux.

Un autre problème évident est l'argent. Pour desservir une base d'utilisateurs donnée, il est sans doute moins coûteux dans l'ensemble d'exécuter des serveurs à haute capacité dans quelques emplacements au lieu de serveurs à faible capacité (ou même VPS) dans de nombreux emplacements. Bien que les serveurs à haute capacité coûtent plus cher que les serveurs à faible capacité, la capacité par rapport au prix n’est pas évolutive de façon linéaire. Un problème est la surcharge fixe du système d'exploitation. Un autre est la surcharge d'hébergement fixe, qui affecte les prix.

Il y a aussi le fait que l'utilisation d'emplacements virtuels permet aux services VPN d'apparaître plus grands et plus populaires qu'ils ne le sont réellement. Même en louant les serveurs de plus faible capacité offerts par les centres de données, il est peu probable que les petits services VPN puissent en offrir des centaines. Mais en utilisant des emplacements virtuels, ils peuvent le simuler. Et cela fonctionne à la fois pour les nouveaux services VPN qui se développent, et pour ceux établis qui contractent.

Conclusion, les emplacements virtuels présentent des avantages et des inconvénients. Pour les services VPN et les utilisateurs. Mais le point clé est que les utilisateurs méritent de savoir où se trouvent les serveurs VPN. Et s'il existe des emplacements virtuels, ils doivent être divulgués avec précision.

Plus généralement, la confiance est une préoccupation majeure dans l'utilisation des services VPN, notamment avec la conservation des journaux. Les utilisateurs peuvent mesurer la vitesse de téléchargement, ils peuvent vérifier l'accès au contenu géo-bloqué, mais ils n'ont aucune idée de la conservation des journaux - sauf lorsque les utilisateurs VPN sont bloqués. Et il ressort que des grumes ont été produites ou qu'il n'y en avait pas à produire.

Bien que HideMyAss et VyprVPN révèlent leur utilisation d'emplacements virtuels, il y a toujours un sérieux manque de transparence. Je l'ai trouvé les emplacements de plus de la moitié des adresses IPv4 HideMyAss et VyprVPN sont presque certainement virtuels, et ni l'un ni l'autre ne divulgue substantiellement le nombre ou l'identité d'emplacements virtuels.

Et ce n'est pas seulement que les emplacements virtuels ne sont pas divulgués. Il semble également que beaucoup d'entre eux partagent quelques emplacements réels. Par exemple, je trouve que 30% des adresses IPv4 de VyprVPN se trouvent dans ou près de Nuland, NL. Et que 11% d'entre eux sont à Singapour ou à proximité, SG. Aucun d'eux n'est divulgué comme des emplacements virtuels.

C'est également le cas pour HideMyAss. Je trouve que 12% de son IPv4 qui n'est pas divulgué en tant qu'emplacement virtuel se trouve dans ou près de Nuland, NL. De plus, 13% d'entre eux se trouvent à Prague ou dans ses environs, CZ; et que 9% sont à ou près de Vancouver, CA.

La colocation est également un problème pour les emplacements virtuels divulgués. Par exemple, 59% de l’IPv4 pour les emplacements virtuels divulgués de Surfshark se trouvent à Nuland ou aux environs de NL. De plus, 23% de l’IPv4 pour les emplacements virtuels divulgués de PureVPN se trouvent à Nuland ou à proximité de NL; et 22% se trouvent à Los Angeles ou aux États-Unis. le différence clé, cependant, est que Surfshark et PureVPN ont divulgué ces emplacements virtuels, afin que les utilisateurs puissent choisir.

Comme ils disent: «Liez-moi une fois, honte à vous. Mens-moi deux fois, honte à moi. »

Si les VPN ne sont pas honnêtes au sujet de leurs serveurs, de quoi mentent-ils?

Découvrir les emplacements des serveurs

On pourrait penser qu'il est simple de découvrir les emplacements des serveurs. Il existe des données publiques sur la propriété du serveur (whois) et sur les emplacements géographiques supposés des adresses IP (diverses bases de données, disponibles sur les sites «quelle est mon adresse IP?»). Cependant, il s'avère que ces les emplacements géographiques publiés ne correspondent pas nécessairement aux emplacements réels des serveurs. En effet, ils ne sont en fait utilisés pour rien! J'en dirai plus à ce sujet ci-dessous.

Alors non, ce n'est pas simple. Cependant, en utilisant des services destinés principalement à surveiller l'accessibilité des serveurs Web, nous pouvons exécuter une commande ping sur les serveurs VPN à partir de sondes dans de nombreux emplacements. L'utilitaire ping mesure le délai (latence aller-retour) entre l'envoi de paquets de test à un autre appareil via le réseau et la réception de réponses. Il rapporte des statistiques simples (dernière valeur, minimum, maximum et moyenne) et la perte de paquets. Les retards de transmission intermittents peuvent augmenter la latence, le temps d'aller-retour minimal («minrtt») est la mesure la plus fiable de la latence aller-retour.

En faisant ce projet, J'ai collecté plus de 250 000 mesures de ping. Cela était nécessaire pour trouver une sonde ping pour chaque adresse IPv4 de serveur avec minrtt sous 100 ms, et idéalement sous 10 ms. Mais plus à ce sujet plus tard.

On pourrait penser que la sonde avec le plus petit minrtt est la plus proche du serveur. Cependant, il existe une incertitude considérable, car de nombreux facteurs affectent la latence d'un site à l'autre, et la distance géographique n'est pas nécessairement la plus importante. En particulier, le nombre de routeurs impliqués importe plus que la distance. Et donc la triangulation des emplacements à l'aide de ping minrtt est totalement irréalisable.

Même si nous ne pouvons pas découvrir de manière fiable où se trouvent les serveurs, nous pouvons tester si les emplacements revendiqués sont physiquement plausibles.C'est parce que ping minrtt peut être au moins le double du produit de la grande distance circulaire entre la sonde et le serveur, et de la vitesse de la lumière. Tous les autres facteurs qui affectent la latence aller-retour ne peuvent que l'augmenter. Aucun d'eux ne peut le réduire, pour une distance géographique donnée. Donc si la vitesse de transmission maximale du signal calculée est plus rapide que la vitesse de la lumière, il doit y avoir une erreur à l'emplacement du serveur, à l'emplacement de la sonde ou aux deux.

Comment les emplacements de serveurs virtuels sont possibles

Les détails sont compliqués et sortent du cadre de cet article. Mais, fondamentalement, il existe trois niveaux d'informations sur les serveurs et leur emplacement. Et ils sont gérés par différentes organisations, qui n'appliquent pas la cohérence.

L'essentiel est que un fournisseur VPN peut exploiter le manque de coordination entre les organisations Internet pour masquer les vrais emplacements de ses serveurs. Autrement dit, un fournisseur VPN peut louer des adresses IP appartenant à de nombreux FAI, situés nominalement dans le monde. Mais il peut les annoncer via les FAI qui fournissent effectivement un accès Internet à ses serveurs. Ainsi, le trafic va directement vers eux, quels que soient les emplacements nominaux de ces adresses IP.

Les systèmes autonomes (principalement des FAI) obtiennent des adresses IP à partir des registres Internet régionaux (RIR). Et les enregistrements précisent des emplacements géographiques. Lorsque les entreprises configurent leurs serveurs, elles configurent des comptes avec un ou plusieurs FAI et leur louent des adresses IP.

Indépendamment, les entreprises enregistrent les noms de domaine auprès de divers registres de noms de domaine. Ils fournissent des informations sur l'organisation et les contacts. Et ils spécifient également des serveurs de noms, qui mappent leurs noms de domaine aux adresses IP que leurs FAI leur ont déléguées. La hiérarchie DNS (Domain Name System) collecte ces informations à partir des serveurs de noms et les rend généralement disponibles.

OK, votre machine découvre alors l'adresse IP d'un nom de domaine et établit une connexion. Votre FAI doit donc savoir comment l'atteindre. Sa situation géographique nominale n'aide pas. Le FAI doit connaître le meilleur chemin, d'un routeur à l'autre, sur Internet. Il commence par découvrir le numéro de système autonome (ASN) du FAI qui gère le trafic pour cette adresse IP. Ensuite, il demande au FAI des instructions et obtient une publicité BGP (Border Gateway Protocol), qui spécifie le chemin le plus court de routeur à routeur..

Mais voici le hic. Lorsqu'une entreprise organise la connectivité Internet avec son FAI local, elle peut annoncer les adresses IP qu'elle a louées à d'autres FAI, si ces autres FAI sont d'accord. Et puis son FAI annonce les chemins de routeur à routeur les plus courts vers les serveurs de l'entreprise. Ainsi, les FAI qui possèdent réellement les adresses IP ne sont pas impliqués dans le routage du trafic.

Portée et principales constatations

J'ai examiné les serveurs OpenVPN pour huit des services VPN les plus populaires, dont certains revendiquent des milliers de serveurs, dans des centaines d'emplacements.

  • ExpressVPN: «3 000+ serveurs VPN», «160 emplacements», «94 pays»
  • HideMyAss: "Nous avons plus de 1000 serveurs VPN dans plus de 280 emplacements couvrant 190+ pays à travers le monde"
  • NordVPN: "Choisissez parmi plus de 5 100 serveurs NordVPN dans 59 pays et profitez de l'expérience VPN la plus rapide."
  • Confidentialité parfaite: «… dans 26 pays», «Cascade de plusieurs serveurs VPN», «Aucune limite de trafic»
  • PureVPN: «Notre réseau mondial de plus de 2 000 serveurs stratégiquement placés vous aide à surmonter toute restriction.»
  • Surfshark: «1 040+ serveurs dans plus de 61 pays. … Politique stricte de non-journalisation »
  • VPN.ac: «Abordable», «Très rapide et fiable», «Plusieurs pays: 21 (VPN)…»
  • VyprVPN: «plus de 70 pays à travers le monde», «plus de 200 000 adresses IP»

Je ne comptais que sur les informations de localisation fournies par les services VPN, sur leurs sites Web et dans les fichiers de configuration d'OpenVPN. Six des huit services VPN révèlent des emplacements au niveau de la ville pour 98% à 100% des adresses IPv4 du serveur. Mais ExpressVPN ne révèle les emplacements au niveau de la ville que pour 65,0% du serveur IPv4, et NordVPN ne révèle aucun emplacement au niveau de la ville.

Quatre des huit services VPN révèlent au moins quelques emplacements virtuels: ExpressVPN, HideMyAss, PureVPN et Surfshark. Bien que ces divulgations semblent exactes, dans la mesure où elles vont, ce message se concentrer sur les serveurs IPv4 qui ne sont pas divulgués comme des emplacements virtuels. Tandis que VyprVPN révèle qu'il utilise des emplacements virtuels, il ne dit pas quels emplacements sont virtuels.

Il semble que cinq des huit services VPN ont divulgué la totalité ou la quasi-totalité de leurs emplacements virtuels:

  1. ExpressVPN
  2. NordVPN
  3. Confidentialité parfaite
  4. Surfshark
  5. VPN.ac

Trois d'entre eux (NordVPN, Perfect Privacy et VPN.ac) ne révèlent aucun emplacement virtuel, et je n'en vois aucune preuve substantielle. Pour les cinq services VPN, la plausibilité de l'emplacement (part des adresses IPv4 du serveur avec une vitesse de ping apparente inférieure à 80% de la vitesse d'éclairage) est supérieure à 95% pour les emplacements qui ne seraient pas virtuels. En d'autres termes, ces cinq services VPN ont divulgué tous ou presque tous les emplacements virtuels.

pourtant, la plausibilité de l'emplacement pour PureVPN n'est que de 81% pour les emplacements non divulgués comme virtuels. Mais on peut au moins affirmer que les erreurs sont involontaires.

inversement, VyprVPN et HideMyAss sont entièrement dans une autre ligue. Pour eux, moins de la moitié des emplacements qui ne seraient pas virtuels sont physiquement plausibles. En utilisant 80% à 100% de vitesse lumineuse comme seuil de vitesse de ping, seulement 48% à 51% de HideMyAss IPv4 sont physiquement plausibles. Et seulement 41% à 48% de VyprVPN IPv4 sont physiquement plausibles.

Cela est résumé dans le tableau suivant. Il montre: 1) le nombre total d'adresses IPv4 que j'ai trouvées pour chaque service VPN; 2) pourcentage divulgué comme emplacements virtuels; et 3) pourcentage d'emplacements non divulgués comme virtuels avec une vitesse de ping apparente supérieure à 80% de la vitesse de la lumière (ce qui les rend physiquement invraisemblables).

Service VPN Total IPv4 Virtuel divulgué (%) Non plausible (%)
VyprVPN 73 0% 59%
HideMyAss 917 5% 52%
PureVPN 268 49% 19%
ExpressVPN 392 16% 5%
Surfshark 798 sept% 4%
VPN.ac 117 0% 4%
Confidentialité parfaite 58 0% 2%
NordVPN 6138 0% 1%

Les histogrammes de la vitesse du ping par rapport à la vitesse de la lumière montrent ces différences de manière plus quantitative.

emplacements de serveur virtuel vpn

Sensibilité à la coupure pour la vitesse du ping

Nous savons que la vitesse du ping ne peut pas être supérieure à la vitesse de la lumière dans le vide. Et nous savons que les liaisons radio à travers l'air sont presque aussi rapides et que la limite de fil et de fibre est de l'ordre de 70% de vitesse lumineuse. Bien que nous ne connaissions pas la combinaison des types de liens, il s'agit sans doute principalement de fibre pour les longues distances, de micro-ondes pour les distances intermédiaires et de fibre ou de fil pour les courtes distances.

En tant que test de sensibilité, j'ai examiné comment le choix de la coupure de la vitesse du ping affecte les évaluations de plausibilité de l'emplacement. Dans le tableau ci-dessous, vous pouvez voir que les résultats clés ne sont pas affectés par le choix de la coupure de la vitesse de ping. Les huit Les services VPN se répartissent en trois groupes: précis sur les emplacements virtuels (ExpressVPN, NordVPN, Perfect Privacy, Surfshark et VPN.ac); moins précis (PureVPN); et inexacte (HideMyAss et VyprVPN).

plausibilité de l'emplacement vs ping

Sensibilité à l'exactitude de la divulgation de l'emplacement

Bien que pratiquement tous les sites NordVPN soient physiquement plausibles, aucun d'entre eux n'est divulgué au niveau de la ville. Pour les grands pays, ce n'est pas du tout exact. Lorsque la sonde minrtt la plus basse se trouve dans le même pays que le serveur VPN, il faut supposer qu'elle se trouve dans la même ville, donc la distance est nulle. Et sinon, il faut estimer la distance de la sonde à la frontière la plus proche du pays du serveur VPN. C'est également un problème pour 35% des adresses IPv4 du serveur ExpressVPN.

pourtant, les différences de précision de localisation n'affectent pas substantiellement les résultats clés.

J'ai exploré la question de deux manières. Tout d'abord, j'ai simplement ignoré les informations sur la ville fournies pour les serveurs VPN. Et deuxièmement, j'ai utilisé les informations de localisation des registres Internet régionaux (RIR) pour compléter les informations fournies sur la ville. L'utilisation des informations sur la ville à partir des RIR a réduit la plausibilité de l'emplacement à 94% pour NordVPN, mais a eu peu d'effet pour ExpressVPN. À l'inverse, ignorer les informations sur la ville a augmenté la plausibilité de l'emplacement à 100% pour Surfshark, Perfect Privacy et VPN.ac, mais a eu peu d'effet pour ExpressVPN. Pour PureVPN, ignorer les informations sur la ville a augmenté la plausibilité de l'emplacement de 81% à 88%.

Lies vs Statistics: Emplacements des serveurs virtuels VPN

Les emplacements virtuels apparaissent en cluster

Les emplacements virtuels divulgués et les emplacements physiquement invraisemblables (qui sont sans doute des emplacements virtuels non divulgués) sont apparemment souvent colocalisés. Ceci est plus facile à voir dans les diagrammes de dispersion de la distance signalée par la sonde-serveur par rapport au minrtt observé. L'IPv4 pour les emplacements physiquement plausibles tombe sous une ligne à 80% de la vitesse de la lumière, et généralement dans la plage de 30% à 50% de la vitesse de la lumière. Dans ces diagrammes de dispersion, j'utilise log (minrtt) comme axe X afin d'étaler la gamme basse, ce qui est le plus intéressant. Et donc les courbes de vitesse de la lumière apparaissent comme exponentielles, plutôt que linéaires.

Il n'est pas surprenant que les emplacements virtuels soient regroupés, car il n'y a pas beaucoup de centres de données (DC) avec connectivité aux points d'échange Internet (IXP) et donc à plusieurs réseaux. De plus, les IXP eux-mêmes sont souvent regroupés et sont associés à quelques DC et installations de colocation à proximité..

Pour les emplacements PureVPN non divulgués comme virtuels, la plupart des IPv4 physiquement invraisemblables sont apparemment colocalisés avec les emplacements virtuels divulgués. C'est-à-dire qu'ils tombent dans des colonnes près de valeurs minrtt particulières, avec de larges plages de distance sonde-serveur rapportées. Chaque colonne comprend des données pour un seul emplacement de sonde.

Lies vs Statistics: Emplacements des serveurs virtuels VPN

Des colonnes analogues sont évidentes dans les données Surfshark, pour les emplacements virtuels divulgués.

Lies vs Statistics: Emplacements des serveurs virtuels VPN

Comme pour les emplacements virtuels divulgués par PureVPN et Surfshark, la plupart des IPv4 HideMyAss physiquement invraisemblables tombent également dans des colonnes près de valeurs minrtt particulières, chaque colonne comprenant des données pour un seul emplacement de sonde.

Lies vs Statistics: Emplacements des serveurs virtuels VPN

Des colonnes analogues sont évidentes pour les emplacements VyprVPN physiquement invraisemblables.

Lies vs Statistics: Emplacements des serveurs virtuels VPN

Il n'est pas toujours aussi évident dans les graphiques combien d'IPv4 apparaissent dans chaque cluster apparent. Parce qu'il y a beaucoup de chevauchements. J'ai identifié dix clusters apparents, avec des centaines à des milliers d'IPv4 chacun.

VPN ServiceProbe Cityminrtt (msec) IPv4 Count
HideMyAss Nuland 8.51 47
HideMyAss Nuland 9,54 62
HideMyAss Prague 4,96 114
HideMyAss Vancouver 6,57 225
PureVPN Los Angeles 1.11 146
PureVPN Nuland 3.22 30
Surfshark Nuland 5.36 34
VyprVPN Nuland 2.19 14
VyprVPN Nuland 3.16 8
VyprVPN Singapour 2.23 8

Pour les six autres services VPN, il y a peu d'IPv4 au-dessus de la ligne de vitesse lumineuse de 50%, et aucune de ces colonnes n'est évidente. Pour ExpressVPN, il existe quelques IPv4 physiquement invraisemblables, mais ils ne sont pas dans les colonnes.

Lies vs Statistics: Emplacements des serveurs virtuels VPN

De même pour NordVPN.

Lies vs Statistics: Emplacements des serveurs virtuels VPN

Il n'y a pas d'IPv4 physiquement invraisemblable pour une confidentialité parfaite.

Lies vs Statistics: Emplacements des serveurs virtuels VPN

Et juste quelques-uns pour VPN.ac, aucun dans les colonnes.

Lies vs Statistics: Emplacements des serveurs virtuels VPN

Par exemple, je trouve ces clusters apparents pour des emplacements virtuels divulgués par PureVPN et Surfshark. La colonne «Emplacement réel» correspond à la sonde ping avec le minrtt le plus bas. La colonne «Partager» affiche la part des emplacements virtuels divulgués.

Service VPNEmplacement réelNumberShare
PureVPN Los Angeles, États-Unis 29 22%
PureVPN Nuland, NL 30 23%
Surfshark Nuland, NL 34 59%

Je trouve également des clusters apparents pour des emplacements non divulgués comme virtuels par HideMyAss et VyprVPN. Ici, la colonne «Partager» affiche le pourcentage de partage de tous les emplacements.

Service VPNEmplacement réelNumberShare
HideMyAss Nuland, NL 109 12%
HideMyAss Prague, NL 114 13%
HideMyAss Vancouver, Californie 77 9%
VyprVPN Nuland, NL 22 30%
VyprVPN Singapour, SG 8 11%

Les méthodes

Perfect Privacy se connecte à ses serveurs par adresse IPv4. Mais les sept autres utilisent des noms d'hôtes. Pour eux, j'ai effectué des recherches DNS, en utilisant l'utilitaire «hôte» Linux, pour obtenir les adresses IPv4 correspondantes. De nombreux noms d'hôtes se résolvent en plusieurs adresses IPv4, et ceux-ci peuvent représenter différents serveurs, situés dans différents centres de données. Et donc, pour assurer la cohérence, j'ai collecté des données ping par IPv4, plutôt que par nom d'hôte.

Ce tableau résume les informations sur les adresses IPv4. La colonne «Réclamation textuelle» est basée sur les citations du site Web au début de la section «Portée et principales constatations». La plupart des services VPN ne répertorient pas le nombre d'adresses IP du serveur. Étant donné que les comptes IPv4 supposent ici au moins une adresse IPv4 par serveur ou emplacement.

Les deux colonnes sous «À partir des données du serveur» sont basées sur les listes de serveurs, les noms des fichiers de configuration OpenVPN et / ou les noms d'hôte des serveurs. La colonne "Virtuelle" affiche IPv4 pour les emplacements divulgués comme virtuels, et la colonne "Autre" montre le reste.

Cependant, peut être plusieurs serveurs derrière chaque IPv4 pour l'équilibrage de charge. Par conséquent, les écarts entre ces chiffres et les citations des sites Web VPN ne sont pas nécessairement problématiques.

La colonne «Plausible» sous «À partir des données de ping» indique le pourcentage d'IPv4 pour les emplacements qui ne seraient pas virtuellement physiquement plausibles, sur la base des données de ping que j'ai collectées, en utilisant une vitesse lumineuse de 80% à 90% comme limite de vitesse de ping.

Revendication textuelle A partir des données du serveur A partir des données ping
Service VPN IPv4 Virtuel Autre Plausible
ExpressVPN >3 000 63 329 95%
HideMyAss >1 000 44 873 48% -49%
NordVPN >5 100 0 6 203 100%
Confidentialité parfaite >26 0 58 98%
PureVPN >2 000 131 138 81%
Surfshark >1 040 58 740 97%
VPN.ac >21 0 117 96% -97%
VyprVPN >200 000 0 73 41% -44%

Pour HideMyAss, NordVPN, Perfect Privacy et VPN.ac, je trouve un nombre d'adresses et d'emplacements IPv4 qui sont plus ou moins cohérents avec les revendications sur leurs sites Web. Pour Surfshark, je trouve beaucoup moins d'adresses IPv4 que prévu, si chaque serveur a au moins une adresse IPv4.

Mais pour ExpressVPN et PureVPN, je ne trouve que 13% des adresses IPv4 attendues. Et pour VyprVPN, seulement 0,04% des adresses IPv4 attendues. À l'aide de noms d'hôtes publiés, j'ai effectué plusieurs recherches DNS pour les trois, au cours d'une semaine environ. J'ai aussi fait ça pour HideMyAss. Cela a produit un ensemble d'adresses IPv4 évoluant lentement pour ExpressVPN, PureVPN et HideMyAss, mais aucun changement substantiel dans le nombre d'adresses. Et pour VyprVPN, j'ai toujours les mêmes 73 adresses IPv4.

Cependant, ce n'est pas l'objectif ici. Je le mentionne uniquement pour être aussi clair que possible sur les adresses IP sur lesquelles je signale les résultats. Parce que je ne peux évidemment rien dire sur les adresses IP que je n'ai pas testées.

Il y a plusieurs raisons pour lesquelles je n'aurais pas détecté et testé certaines adresses IP. J'utilise une liaison montante IPv4 uniquement, et je ne peux donc pas voir les adresses IPv6. De plus, il peut y avoir de nombreux serveurs derrière chaque adresse IPv4 publique pour l'équilibrage de charge. Et il peut y avoir de nombreuses adresses IP que les utilisateurs ne peuvent pas voir, car ils sont utilisés indirectement comme sorties, pour échapper à la censure et accéder au contenu géo-restreint.

Pour chaque serveur VPN IPv4, j'ai fait un effort pour trouver une sonde avec minrtt sous 100 ms et, si possible, sous 10 ms. J'ai utilisé trois services de test ping: Ping.pe, CA App Synthetic Monitor (CASM) et MapLatency. Au départ, j'ai utilisé Chrome sans tête pour collecter des données à partir de Ping.pe pour chaque IPv4. Cela donnait généralement des données pour 20 à 25 sondes pour chaque IPv4, selon les sondes en hausse et celles qui pouvaient atteindre l'IPv4 testé. La plupart des IPv4 étaient inaccessibles à partir des 13 sondes Ping.pe en Chine continentale.

J'ai analysé les données Ping.pe et sélectionné IPv4 où le minrtt le plus bas était supérieur à 10 ms. J'ai ensuite collecté des données pour ces IPv4 à partir de CASM et de MapLatency, en accédant à leurs API à l'aide de Chrome sans tête. Plus de 60 «stations de surveillance» sont disponibles via l'API CASM. L'API MapLatency permet d'accéder à des milliers de sondes, fonctionnant sur PC, appareils mobiles Android et routeurs DD-WRT dans le monde entier. Étant donné que, cingler chaque IPv4 à partir de chaque sonde aurait été coûteux et long. Et aussi inutile. Donc, pour chaque IPv4, j'ai sélectionné des sondes à proximité.

Pour sélectionner les sondes ping à utiliser, je me suis appuyé sur les deux emplacements revendiqués (à partir des sites Web des services VPN, les noms des fichiers de configuration OpenVPN et les noms d'hôte du serveur) et les données RIPE signalées dans les tests Ping.pe. En moyenne, j'ai collecté environ 30 mesures ping globales pour chaque IPv4. Pour les IPv4 où l'exécution initiale de Ping.pe a donné un minrtt inférieur à 10 ms, il n'y avait que 20 mesures. Et pour ceux IPv4 sans minrtt faible dans les données Ping.pe, qui n'étaient généralement pas dans les grandes villes, il y avait jusqu'à 50 mesures. J'ai identifié des sondes avec minrtt sous 10 ms pour 74% à 96% de l'IPv4 dans les différents ensembles de données de service VPN.

VPN Serviceminrtt < 10 ms (%)
ExpressVPN 89%
HideMyAss 78%
NordVPN 86%
Confidentialité parfaite 76%
PureVPN 74%
Surfshark 75%
VPN.ac 96%
VyprVPN 75%

Pour vérifier les sondes ping mal placées, j'ai extrait toutes les données ping pour les sondes qui indiquaient un emplacement invraisemblable pour n'importe quel IPv4 dans mon analyse des données minrtt minimales pour ExpressVPN, HideMyAss, NordVPN et PureVPN. Représentation graphique de la distance serveur-sonde par rapport à minrtt, une grande partie des données se situe bien au-dessus de la ligne de vitesse lumineuse de 50%.

Lies vs Statistics: Emplacements des serveurs virtuels VPN

Cependant, si je laisse tomber l'IPv4 avec des emplacements invraisemblables, les données tombent principalement sous la ligne de vitesse lumineuse de 50%. Ainsi, les sondes sur lesquelles je m'appuie pour identifier les emplacements IPv4 invraisemblables n'ont pas eux-mêmes d'emplacements invraisemblables.

Lies vs Statistics: Emplacements des serveurs virtuels VPN

Plus de preuves pour le clustering d'emplacements virtuels

Dans les diagrammes de dispersion de la distance rapportée par rapport au minrtt minimum observé, la plupart des IPv4 physiquement invraisemblables tombent dans des colonnes près de valeurs minrtt particulières, chaque colonne comprenant des données pour un seul emplacement de sonde. Cela vaut également pour les emplacements virtuels divulgués par PureVPN et Surfshark. Si les IPv4 dans chaque colonne sont réellement colocalisés, ils doivent également être regroupés pour d'autres sondes, et pas seulement pour celle avec un minimum de minrtt.

J'ai examiné quatre clusters apparents avec un minimum de minrtt pour les sondes à Nuland, NL: les clusters HideMyAss et VyprVPN dans des emplacements virtuels non divulgués, et les clusters PureVPN et Surfshark dans les emplacements virtuels divulgués. J'ai extrait les données pour chaque ensemble d'IPv4 du jeu de données ping minrtt complet, et la distance serveur-sonde indiquée par rapport à minrtt.

Pour PureVPN, le même cluster IPv4 est plus ou moins évident pour les sondes dans de nombreuses villes, en Europe, en Amérique du Nord, en Asie et en Australie. La dispersion augmente pour les sondes plus éloignées en Europe, mais elle l'est moins pour la plupart des sondes en Amérique du Nord. Tokyo et Sydney sont si loin des emplacements virtuels que le cluster s'effondre.

Lies vs Statistics: Emplacements des serveurs virtuels VPN

Le résultat pour Surfshark est similaire, mais il y a moins de dispersion en Europe et moins d'effondrement de grappes à Tokyo et Sydney.

Lies vs Statistics: Emplacements des serveurs virtuels VPN

C'est également le cas pour les emplacements virtuels non divulgués de HideMyAss. Bien qu'il y en ait beaucoup plus, le cluster reste plus généralement bien défini.

Lies vs Statistics: Emplacements des serveurs virtuels VPN

Les résultats pour les emplacements virtuels non divulgués VyprVPN ressemblent beaucoup à ceux des emplacements virtuels PureVPN, mais avec un décalage de distance beaucoup plus important.

Lies vs Statistics: Emplacements des serveurs virtuels VPN

Il semble que l'IPv4 dans chaque cluster apparent soit réellement colocalisé. Bien qu'il y ait une dispersion, de nombreuses sondes différentes affichent les mêmes ensembles d'IPv4 dans les colonnes. Et le minrtt pour chaque cluster augmente généralement avec la distance.

En supposant que chacun de ces quatre clusters apparents est réellement colocalisé dans Nuland, j'obtiens un tracé beaucoup plus simple de la distance serveur-sonde vs minrtt.

Lies vs Statistics: Emplacements des serveurs virtuels VPN

Les résultats des sondes dans les différentes régions sont séparés. Pour l'Europe, il existe un groupe s'étendant sur 1 à 30 ms: Nuland, NL; Bochum, DE; Paris, FR; Nuremberg, DE; et Milan, IT. Ensuite, il y a un fossé outre-Atlantique, avec une transmission apparemment beaucoup plus rapide. Je suppose que les câbles transatlantiques n'ont pas beaucoup de routeurs. Ensuite, il y a des groupes pour l'est et l'ouest de l'Amérique du Nord, avec une transmission plus rapide que l'Europe, mais plus lente que de l'autre côté de l'Atlantique. Cela reflète probablement également la densité du routeur. Enfin, il y a des sauts en Asie et en Australie.

Le fait que les distances pour l'Asie ne soient que légèrement supérieures à celles de l'ouest de l'Amérique du Nord est d'abord surprenant. Parce que la largeur de l'océan Pacifique dépasse largement les 10 000 km. Mais la distance minimale du grand cercle entre Nuland et l'Asie n'est que de 6 000 à 8 000 km, en direction de Nuland vers l'est. Même ainsi, le trafic ping, pour une raison quelconque, se dirigeait clairement vers l'ouest à partir de Nuland et à travers l'Amérique du Nord.

Conclusion

Pour conclure, voici un aperçu de mon travail pour cet article et les conclusions générales.

  • J'ai collecté plus de 250 000 mesures de ping pour les serveurs OpenVPN de huit des services VPN les plus populaires.
  • Les emplacements virtuels présentent des avantages et des inconvénients. Mais même ainsi, les utilisateurs méritent de savoir où se trouvent les serveurs VPN. Et s'il existe des emplacements virtuels, ils doivent être divulgués avec précision.
  • Les fournisseurs de VPN peuvent exploiter le manque de coordination entre les organisations Internet pour masquer les vrais emplacements de leurs serveurs.
  • Bien qu'il ne soit pas trivial de géolocaliser les serveurs de manière fiable, nous pouvons tester si les emplacements revendiqués sont physiquement plausibles. C'est-à-dire que si la vitesse de transmission de signal maximale calculée est plus rapide que la vitesse de la lumière et que les emplacements des sondes ping sont connus avec précision, il doit y avoir une erreur dans l'emplacement du serveur. Et les emplacements de serveur qui ne sont pas physiquement plausibles doivent être incorrects. Ou en d'autres termes, virtuel.
  • Trois de ces VPN (NordVPN, Perfect Privacy et VPN.ac) ne révèlent aucun emplacement virtuel, et je ne trouve aucune preuve substantielle.
  • Quatre des huit services VPN (ExpressVPN, HideMyAss, PureVPN et Surfshark) divulguent au moins certains emplacements virtuels.
  • VyprVPN révèle vaguement qu'il utilise des emplacements virtuels (dans un article de blog de 2017), mais ne dit rien sur leur nombre ou leur identité
  • Les sites virtuels semblent en fait regroupés dans quelques villes.
  • Dans l'ensemble, cinq des huit services VPN (ExpressVPN, NordVPN, Perfect Privacy, Surfshark et VPN.ac) ont apparemment divulgué tout ou presque tous leurs emplacements virtuels.
  • Plus de (59%) des emplacements virtuels divulgués de Surfshark semblent se trouver dans ou près de Nuland, NL.
  • Alors que PureVPN révèle que 49% de ses emplacements sont virtuels, 10% sont sans doute virtuels.
  • Près de la moitié (45%) des emplacements virtuels divulgués de PureVPN semblent être dans ou près de deux villes (Los Angeles, États-Unis et Nuland, NL).
  • HideMyAss révèle que 5% de ses emplacements sont virtuels, mais 48% sont apparemment virtuels.
  • VyprVPN ne révèle spécifiquement aucun emplacement virtuel, mais 59% sont apparemment virtuels.
  • La plupart des sites virtuels non divulgués de VyprVPN (41% sur 59%) semblent être dans ou près de deux villes (Nuland, NL et Singapour, SG).
James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me