vpn multi-hop


Alors que les menaces du suivi avancé et de la surveillance parrainée par l'État continuent de croître, certains amateurs de confidentialité recherchent plus de protection sous la forme de VPN multi-sauts. Si vous considérez les ressources dépensées par les agences de surveillance pour anonymiser les utilisateurs, le choix d'un service VPN qui offre un niveau d'anonymat plus élevé est en effet une considération valable.

Un VPN multi-saut crypte simplement votre connexion sur deux ou plusieurs serveurs (plusieurs sauts) avant de quitter sur Internet. Le routage de votre trafic via deux serveurs ou plus dans des juridictions distinctes vous offre un niveau supérieur de confidentialité et de sécurité - même si un serveur devait être compromis.

Dans ce guide, nous expliquerons pourquoi les gens utilisent des VPN multi-sauts et comment ils peuvent vous aider à atteindre les plus hauts niveaux de confidentialité et de sécurité. Nous examinerons deux types différents de configurations VPN multi-sauts:

  1. Configuration à sauts multiples utilisant un service VPN principal et deux ou plusieurs serveurs VPN (souvent appelés «cascade»).
  2. Configuration multi-saut impliquant deux ou plusieurs services VPN différents et différents emplacements (parfois appelé «chaîne imbriquée»).

Le facteur clé pour déterminer si vous avez besoin d'un VPN multi-saut est votre modèle de menace. De combien de confidentialité avez-vous besoin et voulez-vous compte tenu de votre situation unique?

Avertissement: Pour la grande majorité des utilisateurs, un VPN multi-sauts n'est ni nécessaire ni utile pour les compromis de performances (latence accrue et vitesses plus lentes). Une configuration VPN standard (à un seul bond) avec un cryptage OpenVPN solide, zéro fuite et d'autres outils de confidentialité (navigateur sécurisé, bloqueur de publicités, etc.) devrait vous donner plus qu'assez de confidentialité et de sécurité.

Cependant, pour les véritables paranoïaques, et pour ceux qui recherchent le plus haut niveau d'anonymat en ligne, il existe des VPN multi-sauts…

Surveillance et anonymat en ligne avancé

Un VPN multi-saut est un bon outil de confidentialité contre la surveillance ciblée et d'autres vecteurs d'attaque théoriques dont nous discuterons ci-dessous. Il peut également être utile aux personnes en situation dangereuse, comme les journalistes ou les dissidents politiques vivant dans des pays oppressifs.

Une question clé est de savoir si vous pouvez faire confiance au centre de données où se trouve le serveur VPN.

Les services VPN loueront ou loueront des serveurs à partir de centres de données du monde entier pour leur réseau. Ces serveurs seront entièrement cryptés, sécurisés et sous le contrôle du fournisseur VPN, empêchant ainsi l'accès des tiers aux données et au trafic utilisateur sensibles.

Que peut voir le centre de données avec un serveur VPN chiffré?

Même avec un cryptage fort du serveur VPN, le centre de données (hôte) - ou peut-être une agence de surveillance d'État externe - pourrait potentiellement surveiller le trafic entrant et sortant sur le serveur.

Bien que cela puisse sembler alarmant, il serait toujours très difficile pour le centre de données (ou un tiers) de recueillir des informations utiles car:

  • Le trafic reste crypté sur le tunnel VPN, qui est actuellement considéré comme incassable (AES OpenVPN 256 bits).
  • La corrélation du trafic sortant avec le trafic entrant est extrêmement difficile. (Théoriquement, la corrélation du trafic pour certains utilisateurs peut être possible grâce à une analyse statistique avancée et à l'étude des modèles de trafic, bien que cela reste extrêmement difficile.)
  • La plupart des VPN utilisent des adresses IP partagées, avec de nombreux utilisateurs sur un serveur donné en même temps, tout le trafic étant mélangé. (Remarque: c'est aussi la raison pour laquelle vous ne devez pas «lancer votre propre VPN» que vous seul utiliserez).

Même si une configuration VPN standard à un seul bond sera adéquate pour la grande majorité des utilisateurs, la corrélation du trafic entrant / sortant peut toujours être possible - au moins en théorie.

surveillance des serveurs vpnUn seul serveur VPN pourrait être ciblé par des adversaires.

Les centres de données sont-ils vraiment ciblés pour les attaques de corrélation de trafic?

Nous n'avons aucun moyen de le savoir avec certitude. Dans de nombreux cas, lorsque les autorités voulaient des données sur les clients, elles se sont simplement rendues au centre de données et ont physiquement saisi le serveur:

  • Les serveurs Perfect Privacy étaient (aucune donnée client n'a été affectée)
  • Des serveurs ExpressVPN ont été saisis en Turquie (aucune donnée client n'a été affectée) - comme indiqué dans mon guide sur les services VPN sans journaux

Dans d'autres cas, certains VPN ont coopéré avec les autorités et transmis des informations sur les utilisateurs - voir par exemple le cas avec IPVanish et aussi avec PureVPN.

Cascade VPN multi-sauts

Le premier exemple de VPN à sauts multiples que nous examinerons est une «cascade» - où le trafic est chiffré sur deux ou plusieurs serveurs VPN.

Un fournisseur offrant la possibilité de créer des cascades VPN personnalisées avec jusqu'à quatre serveurs est. Voici une explication visuelle de base de la façon dont cela fonctionnerait en utilisant une cascade VPN à quatre sauts:

cascade vpn multi-hop vpn

Dans l'image ci-dessus, l'identité de l'utilisateur est modifiée à chaque saut et rechiffrée à l'aide du cryptage AES OpenVPN 256 bits (par exemple), avant que le trafic ne quitte la cascade VPN sur Internet normal. À chaque saut, le nouveau serveur VPN obtient uniquement l'adresse IP / l'emplacement du serveur VPN précédent - obscurcissant et protégeant davantage la véritable identité de l'utilisateur.

Perfect Privacy fait également quelques remarques intéressantes dans leur:

Avec une connexion en cascade, cette attaque [corrélation de trafic] devient beaucoup plus difficile car, même si le FAI / écoute indiscrète connaît toujours le nœud d'entrée VPN de l'utilisateur, il ne sait pas sur quel serveur le trafic sort. Il aurait besoin de surveiller tous les serveurs VPN et de deviner quel nœud de sortie l'utilisateur utilise. Cela rend pratiquement impossible d'identifier avec succès les utilisateurs par corrélation de trafic.

Il est également théoriquement possible qu'un attaquant ait un accès physique au serveur VPN dans le centre de données. Dans ce cas, il peut éventuellement exécuter une attaque de anonymisation sur l'utilisateur VPN. Une connexion en cascade protège contre ce vecteur d'attaque: étant donné que le trafic de l'utilisateur est encapsulé avec une couche de cryptage supplémentaire pour chaque bond de la cascade, aucun trafic ne peut être lu ou corrélé avec le trafic entrant.

L'attaquant verrait toujours le trafic crypté sortant vers un autre serveur VPN, mais il ne peut pas déterminer s'il s'agit d'un nœud intermédiaire ou de sortie. Pour intercepter et diminuer le trafic avec succès, l'attaquant devrait avoir un accès physique à tous les sauts de la cascade simultanément. Ceci est pratiquement impossible si le houblon se trouve dans différents pays.

L'utilisation d'une configuration multi-saut avec un cryptage puissant et d'autres outils de confidentialité (comme un navigateur sécurisé), vous offre un niveau extrêmement élevé d'anonymat et de sécurité en ligne.

VPN à double saut

Les serveurs VPN à double saut sont une fonctionnalité unique avec certains fournisseurs VPN.

Avec une configuration VPN à double saut, le premier serveur pourrait voir votre adresse IP d'origine et le deuxième serveur pourrait voir votre trafic sortant, mais aucun des deux serveurs n'aurait à la fois votre adresse IP et votre trafic sortant.

utilisateurdirection-4Californiedirection-4se-2direction-4l'Internet

Cette configuration devrait toujours offrir des performances décentes et offrira également un niveau plus élevé de sécurité et de confidentialité par rapport à une configuration à un seul bond.

Il y a quelques VPN offrant des configurations à double saut que j'ai testées et qui fonctionnent bien:

  • - 3,75 $ par mois; basé en Roumanie; 22 configurations à double saut (examen VPN.ac)
  • - 3,49 $ par mois (avec); basé au Panama; 16 configurations à double saut (revue NordVPN)
  • - 2,99 $ par mois; basé en Bulgarie; mais seulement deux configurations à double saut actuellement disponibles (revue VPNArea)

Performance: Lors de mes tests, j'ai constaté que vous pouvez toujours obtenir d'excellentes vitesses avec certains VPN à double saut. Voici un exemple où j'ai atteint une vitesse de téléchargement de plus de 81 Mbps avec VPN.ac sur leur Allemagne > Connexion au Canada. Ma vitesse de base (non VPN) était d'environ 100 Mbps (testée en Allemagne).

vitesse de mac os vpnVPN.ac offre d'excellentes performances - même avec des connexions à double saut.

Un inconvénient avec les VPN à double saut mentionnés ci-dessus est qu'ils n'offrent statique configurations. Cela signifie que vous ne pouvez pas configurer votre propre VPN multi-saut unique à l'aide d'un serveur du réseau.

De plus, vous pouvez également créer des configurations VPN à double saut avec et - mais celles-ci sont auto-configurables plutôt que statiques, ce que nous expliquerons plus en détail ci-dessous.

Extension de navigateur + client VPN avec VPN.ac

Un autre outil de confidentialité utile est une extension de navigateur proxy sécurisée, qui peut être combinée avec une application VPN sur le système d'exploitation. VPN.ac propose une extension de navigateur proxy sécurisée pour les navigateurs Firefox, Chrome et Opera. L'extension crypte tout le trafic dans le navigateur à l'aide de TLS (HTTPS) et est rapide et légère.

Dans l'image ci-dessous, vous pouvez voir que je suis connecté à un serveur VPN en Suède avec l'application de bureau VPN.ac, tout en étant connecté à un serveur à New York via l'extension proxy du navigateur. Remarquez les excellentes vitesses, malgré le double cryptage et la distance plus longue (depuis mon emplacement en Europe):

serveur vpn double-hop

Tout comme avec leur application VPN, VPN.ac propose également des emplacements de proxy à double saut pour le navigateur. Cela signifie que vous pouvez exécuter une connexion de serveur VPN à double saut sur l'application VPN de bureau, ainsi qu'une connexion à double saut distincte via le navigateur. Étant donné que l'extension de navigateur fonctionne indépendamment (contrairement à la plupart des autres extensions de navigateur VPN), elle peut être combinée avec un service VPN différent exécuté sur l'application de bureau.

VPN multi-sauts auto-configurables

Un VPN multi-hop auto-configurable vous permet de sélectionner individuellement les serveurs dans la cascade VPN.

est le seul fournisseur qui vous permet de créer auto-configurable VPN en cascade avec jusqu'à quatre sauts directement dans le client VPN. J'ai testé cette fonctionnalité pour la revue Perfect Privacy avec les clients Windows et Mac OS et j'ai trouvé que tout fonctionnait bien.

Voici une cascade de serveurs VPN à quatre sauts: Francfort >> Copenhague >> Calais >> Malmö

intimité parfaite meilleur vpnLe client Perfect Privacy Windows, utilisant une cascade VPN à quatre sauts.

Avec cette configuration, votre véritable identité et adresse IP seront protégées derrière quatre serveurs VPN cryptés différents.

Chaque site Web que vous visitez ne verra que les détails du serveur du dernier saut dans la cascade VPN. Vous pouvez simplement activer le paramètre de configuration multi-sauts, puis ajouter ou supprimer dynamiquement des serveurs VPN dans le client VPN. Voici un test de fuite qui le démontre:

confidentialité parfaite ipv6 et ipv4Cascade VPN multi-sauts sans fuite.

Vous pouvez également voir ci-dessus que Perfect Privacy me fournit à la fois une adresse IPv4 et IPv6 - ils sont l'un des rares VPN à offrir .

J'ai également testé cette configuration à quatre sauts pour la vitesse et j'ai obtenu un téléchargement de 25 Mbps (sur une connexion à 100 Mbps). Ce n'est pas trop mal compte tenu de la latence plus élevée et du trafic rechiffré sur les quatre tronçons. (Une configuration à double saut avec des serveurs proches aurait été plus rapide.)

cascade de vitesse vpn multi-hopExcellentes vitesses pour une cascade VPN utilisant quatre serveurs différents (sauts).

Remarque: Avec Perfect Privacy, vous pouvez utiliser des cascades multi-sauts auto-configurables avec:

  • Application Windows VPN Manager
  • Application Linux VPN Manager
  • Application Mac OS
  • Fonction NeuroRouting (expliquée ci-dessous)

Une autre option pour une cascade VPN à quatre sauts est avec .

ZorroVPN est un fournisseur basé au Belize qui a bien fait les tests pour l'examen de ZorroVPN. Mis à part le prix plus élevé, le principal inconvénient de ZorroVPN est qu'il ne propose aucune application VPN personnalisée. Cela provoque quelques problèmes:

  • Vous devrez utiliser des applications OpenVPN tierces, telles que Viscosity, Tunnelblick ou autres.
  • Vous devrez créer manuellement le fichier de configuration du serveur VPN multi-sauts, puis importer le fichier dans votre application VPN. En d'autres termes, vous ne pouvez pas simplement créer ou modifier une cascade multi-sauts directement dans l'application VPN, comme avec .

L'autre problème ici est qu'aucune de ces applications tierces n'est livrée avec des paramètres de protection contre les fuites intégrés. Vous devrez configurer manuellement un coupe-circuit et une protection contre les fuites pour tous les appareils.

ZorroVPN offre une sélection décente de serveurs et de bonnes performances. Voir les résultats des tests dans la revue ZorroVPN ou visitez pour plus d'informations.

Configurations VPN multi-sauts dynamiques (NeuroRouting)

Le dernier développement en matière de connexions multi-sauts et de sécurité avancée est. Il s'agit d'une caractéristique unique en octobre 2017 par Perfect Privacy.

NeuroRouting est un dynamique, configuration multi-sauts qui vous permet d'acheminer simultanément votre trafic à travers de nombreuses configurations de serveur uniques / différentes dans le réseau. Cette fonctionnalité est expliquée plus dans mon article NeuroRouting, mais voici les principaux points:

  • Dynamique - Votre trafic Internet est routé dynamiquement sur plusieurs tronçons du réseau de serveurs VPN pour emprunter l'itinéraire le plus sécurisé. Le chemin de routage est basé sur TensorFlow, un logiciel open source pour l'apprentissage automatique, et les données restent dans le réseau aussi longtemps que possible. Étant basé sur TensorFlow, le réseau apprend continuellement le meilleur itinéraire et le plus sécurisé pour un site Web / serveur donné.
  • Simultané - Chaque site Web / serveur auquel vous accédez suivra un itinéraire unique. L'accès à plusieurs sites Web différents vous donnera simultanément de nombreuses configurations multi-sauts et adresses IP uniques, correspondant à l'emplacement du serveur de site Web et du dernier serveur VPN de la cascade.
  • Du côté serveur - Cette fonctionnalité est activée côté serveur, ce qui signifie que chaque fois que vous accédez au réseau VPN, NeuroRouting sera actif (sauf si vous le désactivez depuis le tableau de bord des membres). Cela signifie également que cela fonctionnera sur n'importe quel appareil - des routeurs à Mac OS et Android. Enfin, NeuroRouting fonctionne avec OpenVPN (n'importe quelle configuration) ainsi qu'avec IPSec / IKEv2, qui peut être utilisé nativement sur la plupart des systèmes d'exploitation.

L'image ci-dessous montre NeuroRouting en action, avec l'utilisateur connecté à un serveur VPN en Islande, tout en accédant à quatre sites Web différents situés dans différentes parties du monde.

neurorouting d'intimité parfaitNeuroRouting en action.

Vous pouvez en savoir plus sur .

Chaînes VPN multi-sauts avec différents fournisseurs VPN

Une autre option consiste à créer des chaînes en utilisant plus d'un fournisseur VPN en même temps. Ceci est parfois appelé «VPN dans un VPN» ou «chaîne imbriquée» de VPN.

C'est une bonne option pour protéger les utilisateurs contre un VPN qui peut être compromis, ainsi qu'un serveur VPN qui peut être compromis.

Voici plusieurs façons de procéder:

VPN 1 sur le routeur > VPN 2 sur ordinateur / appareil

Il s'agit d'une configuration facile avec un VPN sur un routeur, puis en utilisant un service VPN différent sur votre ordinateur ou appareil, qui est connecté via votre routeur VPN. Le choix de serveurs à proximité aidera à minimiser les performances atteintes avec cette configuration.

VPN 1 sur ordinateur (hôte) > VPN 2 sur une machine virtuelle (VM)

Il s'agit d'une autre configuration qui peut être exécutée sans trop de tracas. Installez simplement VirtualBox (gratuit), installez et configurez le système d'exploitation au sein de la machine virtuelle, tel que Linux (gratuit), puis installez et exécutez un VPN à partir de la machine virtuelle. Cette configuration peut également vous protéger contre les empreintes digitales du navigateur en usurpant un système d'exploitation différent de votre ordinateur hôte.

Vous pouvez également ajouter un routeur au mix, en utilisant trois services VPN différents:

VPN 1 sur le routeur > VPN 2 sur ordinateur (hôte) > VPN 2 sur une machine virtuelle (VM)

Enfin, vous pouvez également créer des machines virtuelles au sein de machines virtuelles, ajoutant ainsi plus de liens à la chaîne. (Si vous débutez avec les machines virtuelles, de nombreuses vidéos disponibles en ligne expliquent la configuration et l'utilisation.)

Les machines virtuelles sont un excellent outil de confidentialité et de sécurité, car elles vous permettent de créer des environnements isolés à des fins différentes - également appelés compartimentation. Dans VirtualBox, vous pouvez créer de nombreuses machines virtuelles différentes à l'aide de différents systèmes d'exploitation, tels que Linux, que vous pouvez installer gratuitement. Cela vous permet également de créer facilement de nouvelles empreintes digitales de navigateur avec chaque machine virtuelle supplémentaire, tout en masquant l'empreinte digitale de votre machine hôte.

Utilisez Linux - Lors de la configuration des machines virtuelles, je vous recommande d'exécuter un système d'exploitation Linux, pour les raisons suivantes:

  • Gratuit
  • Open source
  • Plus privé que Windows ou Mac OS
  • Plus sécurisé que Windows ou Mac OS

Ubuntu est convivial et facile à démarrer en quelques minutes.

Remarque: Assurez-vous de désactiver WebGL dans Firefox avec toutes vos machines virtuelles (voir les instructions dans le guide de confidentialité de Firefox en utilisant about: config settings). Cela empêchera les empreintes digitales graphiques car toutes les machines virtuelles utiliseront le même pilote graphique.

Conclusion sur les VPN multi-sauts

Une configuration VPN multi-sauts est un excellent moyen de vous protéger contre une surveillance ciblée, une surveillance renforcée et d'autres scénarios de menace. L'utilisation d'un VPN multi-sauts rendra les attaques de corrélation de trafic extrêmement difficiles pour un adversaire, même si un serveur VPN devait être compromis.

Si vous recherchez le plus haut niveau d'anonymat en ligne, vous pouvez utiliser une «chaîne» VPN multi-saut avec différents fournisseurs et différents emplacements. Cela peut facilement être fait avec des machines virtuelles en utilisant le logiciel gratuit VirtualBox.

L'une des méthodes les plus simples pour utiliser un VPN multi-saut sur tous les dispositifs serait d'utiliser le de Perfect Privacy. Activez simplement NeuroRouting à partir du tableau de bord des membres et il sera automatiquement appliqué à tous les appareils qui se connectent au VPN, avec n'importe quel protocole, n'importe quelle application et n'importe quel appareil (car c'est une fonctionnalité côté serveur, plutôt qu'une fonctionnalité d'application).

Vous trouverez ci-dessous les VPN multi-sauts que j'ai testés et qui se sont avérés performants.

Restez en sécurité!

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me