Vie Privée : Psilo, un VPN même qu’il est (vachement) bien

N’ayant strictement rien branlé publié depuis plus de six mois, il était grand temps de remettre les pendules à l’heure.

Edit 29/01/2014 : Psilo a décidé de fermer ses portes : Fermeture annoncée de Psilo. Bref, je suis dégouté…

Espèce de Vendu… Ça pue le billet sponsorisé, on t’as reconnu Fantomas !

Alors, déjà, bande de libristes extrémistes assoiffés de liberté, soyons (très) clair à ce sujet, ce billet n’est pas :

  1. acheté par une marque (Non, « Môssieur », je ne mange pas de ce pain là !)
  2. le fruit d’un partenariat éhonté (Dégage ! Mon frigo est plein, j’ai même des cornets vanille-chocolat…)
  3. le résultat d’un quelconque copinage (Et là ? Tu la sens ma grosse Vade-Retro-commission ?)

Nan, même pas : il s’agit juste du fruit d’une utilisation perso (12 mois quand même) et un compte-rendu s’imposait.

Dans 90% des cas, dès que l’on parle de VPN (simple, léger, fiable), il est question d’OpenVPN.

Les adorateurs d’IPSEC ou de PPTP iront se faire cuire un oeuf : le premier est une usine à gaz, le second totalement has-been.

Du coup, je me suis longuement plongé dans la doc d’OpenVPN, leur forum et, franchement, je vous parie un paquet de fraises Tagada que ça va défriser votre « Môman ». (En supposant qu’elle soit connectée : j’ai essayé avec la mienne, ce fut un désastre total mais passons…)

Bref, un VPN c’est bon pour votre réseau local : mangez-en matin, midi et soir (avec plein de morceaux d’IP à l’étranger).

N’importe quoi ! Moi, j’ai une totale confiance envers mon FAI/PRISM/la NSA

Je n’en doute pas, mais alors pas du tout. (Cette remarque était bien sûr ironique, bande de gros naïfs -> restons poli)

NSA Cloud Backup – Stockage gratuit et automatique de vos données privées !

Étant donné que la majorité de vos données/échanges/mails sont sauvegardés via une « application » tierce, il serait temps que vous souleviez deux points relatifs au stockage de votre vie privée :

  1. Quel est l’URL (et le password) pour accéder aux backups ?
  2. Comment puis-je restaurer mes données via FTP/Rsync ?
  3. Quel est le délai de rétention ?

Bon, ok c’est lourd, j’arrête ici les bêtises (mais en sont-elles vraiment ?).

Quant aux sombres crétins bisounours qui pensent encore que leur FAI (préféré) n’a pas cédé aux sirènes du Deep Packet Inspection, on ne peut plus rien faire pour eux  (toutes mes condoléances aux familles : ce fut un homme brave, mais un peu « ingénu » quand même…).

Bref, depuis un an, j’utilise un VPN, en l’occurrence celui fournit par Psilo, avec changement automatique de pays toutes les 4 heures, histoire de préserver le peu de vie privée qu’il me reste.

Et vous ? A part fouetter sauver des chatons sur Youtube, vous faites quoi ?

Psilo.fr : c’est quoi, ça marche comment, ça coûte combien ?

Houla ! Déjà on va commencer par les bases…

Psilo ça veut dire quoi ? Allez, allez : on sort les deux neurones qui font encore contact et on les branche ensemble (deux minutes, pas plus, après ça risque de fumer et de déclencher une alarme incendie).

Les amateurs de champignons hallucinogènes et de chansons s’y référant (Mangez-moi ! Mangez-moi !) ont une première piste mais non, pas de bol, ce n’est pas ça (même si le site y fait référence).

Nan, toujours pas ? Z’êtes nuls… Prenez Loppsi (cet loi totalement liberticide) et renversez les syllabes.

Voilà pour l’état d’esprit : Psilo, c’est d’abord et avant tout un VPN dont les auteurs ont bien compris que nos libertés étaient de plus en plus entravées par des lois aussi liberticides qu’inefficaces.

Psilo existe depuis 2009 et est installé en France. Gloups… Mais, mais… Alors, ils sont soumis aux lois Françaises ?

Oui (et c’est tant mieux d’une certaine manière).

Si votre projet était de construire une bombe au Napalm (pour intoxiquer la vieille au rez de chaussé), de harceler votre (charmante) voisine en mini-jupe à grand renfort de mails anonymes bien graveleux ou de diffuser des saloperies en jpeg, clairement, ça va pas le faire.

De toute façon, il y a une charte de bonne conduite, à lire et surtout à respecter.

Extrait :

Que ce soit bien clair : Psilo n’hésitera pas à apporter tout son soutient aux forces de l’ordre pour aider à lutter contre de quelconques activités criminelles liées à l’utilisation du VPN (Cf. pédopornographie, activités terroristes, non-respect des droits de l’homme, incitation à la haine raciale, antisémitisme, etc).

Pour ma part, après plus d’un an d’utilisation, je n’ai jamais eu à me poser la question de savoir si je transgressais ou non ces règles : tout ce que je voulais, c’était échapper au « monitoring sauvage » effectué par mon FAI, anonymiser un minimum (pas totalement, personne n’est dupe) mes recherches sur Internet et, de temps en temps, visionner un bon film.

Je vous invite à lire leur blog, il est révélateur de leur état d’esprit : psilo.wordpress.com.

Maintenant que tout est clair et que votre éthique est sans faille, on va causer technique.

OpenVPN : SHA1, AES-256-CBC, TLS-DHE-RSA-WITH-AES-256-CBC-SHA

Version courte pour ceux qui entravent que pouic au titre : c’est du bon chiffrement (sauf pour préparer une attaque terroriste).

En français dans le texte, ça nous donne :

  • Authentification/vérification (HMAC) des paquets d’OpenVPN avec le hachage SHA1
  • Chiffrement des données du tunnel avec le cipher AES (256 bits) et par chaînage de blocs (CBC)
  • Session de contrôle TLS (sécurise l’échange des clefs privés, évite les attaques man-in-the-middle)
  • Et enfin, utilisation de l’algo Diffie–Hellman pour l’échange des clefs secrètes éphémères (DHE)

(Ouf… Réussir à caser 9 liens Wikipédia en moins de 5 lignes, ça c’est fait !)

Certes, on peut faire mieux, surtout au niveau des clefs privées TLS (seulement 1024 bits, snif…) mais le but premier étant de faire un gros doigt (de courtoisie) au DPI de votre FAI, cela suffit largement (pour l’instant, l’avenir me parait plus que sombre concernant ce point).

Je ne rentre pas les détails du chiffrement lié aux clefs asymétriques mais, en résumé, votre clef privée (TLS) est de 1024 bits (snif again…) et ensuite, la clef secrète utilisée pour le chiffrement de vos précieuses données changera automatiquement toutes les heures.

En d’autres termes, le Perfect Forward Secrecy est assuré (s’il y a des experts au taquet sur le sujet, n’hésitez pas poster vos commentaires).

Autre point, Psilo évolue et mets à jour la version d’OpenVPN utilisée : à l’heure où j’écris ce billet, il s’agit de la version 2.3.2 mais cela va sûrement changer dans le temps.

Pour faire simple : débrouillez-vous pour installer une Debian wheezy (sur l’hôte ou dans une VM si vous êtes virtualisé) et utilisez le backport Debian ki-va-bien (openvpn 2.3.2)

Sinon, pas de panique, une ancienne version fera aussi l’affaire : OpenVPN est stable et la compatibilité ascendante est assurée.

Mmmh… Et une fois tout ce merdier en place, on est anonyme ou pas ?

Soyons clair : votre FAI (que maintenant vous détestez) saura immédiatement que vous utilisez OpenVPN.

Et inutile de vous cacher derrière le port 443 (même en TCP) : c’est une pratique totalement illusoire, n’ayez aucun doute sur ce point. Le seul intérêt d’utiliser le port HTTPS est de pouvoir passer au travers de certains firewalls idiots certifiés « No-DPI-Inside ».

DPI filtering and 443 blocked :

OpenVPN handshake has a typical fingerprint, easily identifiable with DPI (it does not look like real SSL)

DPI can only understand that you’re using OpenVPN, nothing else

La bonne nouvelle, quand même, c’est que votre FAI (que maintenant vous… Houla ! C’est pour quoi faire ce cocktail Molotov ?) ne saura pas ce qui transite à l’intérieur dudit VPN, à moins de faire appel à la DST et de monopoliser leurs centres de calculs (et nos impôts) pendant un bon bout de temps.

Quant aux sombres couillons fainéants (comme moi) qui utilisaient de temps à autre les DNS de google (8.8.8.8 et 8.8.4.4), oubliez tout de suite : Psilo fournit des serveurs DNS sans logs à ses abonnés (ils ont eu des souci d’attaques DDOS donc l’accès n’est plus public).

Je vous la refais en mode « neuneu » : à quoi ça sert d’utiliser un VPN si vous demandez gentiment à Google/votre FAI de résoudre le domaine « ce-site-est-vraiment-trop-crade.com » ? (Normalement, là, y’en a au moins deux dans le fond – près du radiateur – qui vont percuter…)

En dehors de Psilo, il existe des DNS libres comme ceux d’OpenNIC : à vous de choisir les serveurs DNS qui vous conviennent le mieux (nolog, anonymized, obfuscated, etc).

Pour faire simple, débrouillez-vous pour que le trafic DNS transite aussi par le VPN et bannissez les serveur DNS de votre FAI.

Mmmh (bis)… Ouais, bon, Alors ? Anonyme ou pas ?

J’aurais tendance à dire que non mais ça, c’est (totalement) de votre faute.

Dès l’instant où vous vous connecterez sur un compte nominatif (Gmail, Yahoo, Hotmail, Facebook, Twitter, etc), c’est terminé.

Ensuite, le gros point noir, c’est quand même votre navigateur : cookies, JavaScript, Flash, Java, peu importe, tout est bon pour vous pister/scruter/profiler comme des lapins (pris dans la lumière des phares).

Donc un minimum d’hygiène s’impose :

  • Utilisez un Firefox à jour
  • Désactivez (si possible) tous les plugins
  • Refusez les cookies tiers (Outils -> Options -> Vie Privée)
  • Supprimez tous les cookies lors de la fermeture

Ensuite, installez quelques modules complémentaires :

Deux modules complémentaires sont un peu « pénibles » au début : NoScript (bloqueur de JavaScript) et Certificate Patrol (vérification des certificats SSL) mais si prenez le temps de vous y habituer, ils vous le rendront bien (perso je ne peux plus m’en passer).

Bien, maintenant que votre navigateur est un peu plus « silencieux », voyons les destinations (les trucs qui déchirent c’est après).

Et ça nous mène où c’t’histoire ? Moi je veux voyager !

Psilo ne propose pas beaucoup de destinations mais la plupart me plaisent.

Actuellement (cela peut évoluer dans le temps) : 4 serveurs au Pays-Bas, 2 serveurs en Allemagne, 1 serveur au Luxembourg et pour la forme, un serveur en France (utile pour visionner des replay Français quand vous êtes à l’étranger) et enfin un serveur au USA (si vous êtes un fan inconditionnel du Patriot Act…).

Conservez à l’esprit qu’un VPN encapsule votre trafic : il y a donc une surcouche. Plus vous êtes loin du VPN, plus la latence sera importante. Pour faire simple, avec un VPN situé en Corée du Nord (respect de la vie privée, droits de l’homme, toussa…) vous aurez une latence de merde.

A l’inverse, plus vous êtes prêt (géographiquement) du VPN, meilleure est la latence et donc meilleure sera votre « expérience utilisateur ».

Pour ceux qui se demandent encore comment changer régulièrement l’IP de sortie (l’équivalant d’un « switch server location » chez les autres VPNs) avec Psilo, c’est ultra simple : envoyez un SIGHUP via le crontab :

0 */4 * * * root /usr/bin/pkill -HUP –full « /usr/sbin/openvpn –writepid /var/run/openvpn.xxxx.pid »

(On remplacera évidement « xxxx » par le nom de l’interface réseau utilisée par OpenVPN et qui est définie dans la conf)

Note : toutes les connexions en cours seront coupées (argh…) lors du changement de VPN. Pas de souci avec les web radios, votre lecteur se reconnectera automatiquement mais il faudra reloader manuellement votre vidéo sur Youtube/DailyMotion.

Note 2 : cela ne sert à rien de changer de VPN (ou de pays) si dans le même temps vous conservez tous vos cookies : Facebook/Twiter et autres saloperies du même acabit continueront de vous traquer comme si de rien n’était.

Bof… De toute façon, ça va encore me coûter un bras c’t’histoire !

Oui, effectivement : il vous faudra vendre votre voiture, la maison et sûrement votre femme (de toute façon cette « ispice di counasse » ne comprenait rien à SSH alors bon…)

Actuellement, le tarif mensuel est 4,50 € pour un quota de 200 Go de données (soit 6.5 Go/jour).

Mais, le plus important, ce sont les modes paiement proposés : PayPal (Où c’est qu’j’ai mis mon flingue ?) ou Bitcoin (Miam !).

Concernant PayPal, j’ai clôturé mon compte définitivement (et sans aucun état d’âme) depuis leur dernière saloperie.

Entre-temps, j’ai demandé par mail aux personnes de Psilo si je pouvais payer un an d’avance, le temps de migrer vers Bitcoin : il m’ont alors proposé de régler 6 mois + 1 mois offert.

Bref, si comme bibi vous n’avez pas encore expérimenté Bitcoin, il s’agit d’une très bonne occasion de d’y mettre.

Petite note pour ceux (fuyez, pauvres fous…) qui seraient tentés d’utiliser un VPN « gratuit » : « si c’est gratuit, c’est vous le produit ! »

Mais ça, vous le saviez déjà, hein, n’est-ce pas ?

Port forwarding, P2P, accès multiples, Onion over VPN, hébergement de services (éphémères ou non) et autre bidouilles crasseuses

Bon, là, normalement, j’ai toute votre attention (bande de nerds totalement dégénérés…).

Avec Psilo, vous bénéficiez automatiquement d’une plage (fixe car liée au compte) de 10 ports entrants et consécutifs qui vous sont réservés : par exemple de 21460 à 21469 (ICMP, UDP & TCP).

Je vous laisse vous débrouiller avec iptables pour faire du NAT dans tous les sens, z’avez compris le tableau : c’est du fun à tous les étages (Mmmh… Ouaiiiiis… Alors t’en veuuuuuuux ? C’est d’la bonne !).

Nan, toujours pas ?

Bon, quelques exemples :

Télécharger la dernière conférence de Richard Stallman (ou une ISO d’Ubuntu)

Affectez un port entrant à votre client P2P préféré et hop, c’est torché : direction freetorrent.fr.

Note : Psilo interdit le P2P sur les serveurs situés en France et au USA (un peu de logique voyons !).

Établir plusieurs VPN distincts depuis votre Nobox planquée dans le salon (WAF)

Avec Psilo, et à partir d’une même adresse IP source, il est possible d’ouvrir plusieurs VPNs simultanément.

Allez, avouez : ça déchire ta maman, hein ?

En supposant que vous utilisiez Proxmox ou OpenVZ, cela veut dire que l’on peut pousser le bouchon (un peu loin quand même) et affecter un VPN à chaque machine virtuelle.

Vous rêviez de faire transiter les mails par la Hollande, le web par le Luxembourg et Jabber en Allemagne et bien souriez, c’est tout à fait possible. (Ceci étant, va sûrement falloir jouer un peu avec iproute2 et les tables de routage mais rien d’insurmontable)

Note : ch’tite restriction technique, la redirection des ports entrants sera automatiquement affectée au dernier VPN ouvert.

Accéder au réseau TOR en loucedé sans se faire emmerder/traquer/trucider

Paraîtra que sur ce « réseau », pompeusement (et à tort) intitulé darknet, il n’y aurait que des pédonazis ou des vendeurs de Hakik qui ouvrent et ferment boutique (et puis qui rouvrent quand même, bref…).

Version courte : les FAIs et les hébergeurs n’aiment pas TOR et vous le font savoir dans leurs conditions générales de vente.

Sauf que le réseau en oignons, c’est très utile quand vous avez besoin de bypasser la censure gouvernementale, besoin de rester un minimum anonyme quand vous échangez des données sensibles avec des proches (ou non) ou encore besoin de protéger vos sources quand vous êtes un journaliste consciencieux (les deux ne riment pas toujours ensemble, malheureusement).

Solution : faites transiter TOR par un VPN.

C’est plus lent mais on s’en fout.

Pour info, Reporters sans frontières fournit un kit de survie numérique.

Héberger un blog (ou un service quelconque) avec une IP étrangère sans bouger de chez soi

Dans la série plus simple tu meurs :

  1. installez le blog/service sur votre nobox (ou un VPS pas trop moisi)
  2. configurez un VPN avec Psilo vers le pays de votre choix
  3. choisissez un port entrant dans votre plage réservée (ex : 21465)
  4. associez l’IP de sortie du VPN à un NDD (ex : Free DNS)
  5. communiquez votre URL (ex : http://mon-blog.strangled.net:21465)

Tant que vous ne publiez pas de la merde et que vous ne faites des choses strictement interdites (par la loi ou la morale), ça va.

Autres utilisations possibles (et souhaitables)

Au départ, j’ai testé Psilo pendant plusieurs mois et, étant content du service, j’ai fini par changer la config de mon réseau local.

Désormais, presque tout mon trafic sortant passe par Psilo : PC, serveurs, smartphone, appliances diverses, Wifi, visiteurs, etc.

Version courte :

  1. Ma nobox intercepte et marque (iproute2 ou table mangle) l’ensemble du trafic sortant
  2. Le trafic « spécial » (VOIP, Steam, certains sites, etc) transite directement par la ligne ADSL
  3. Le reste du trafic est envoyé (via OpenVPN) vers un premier VPS distant (que j’administre)
  4. Ce VPS distant est lui même connecté en permanence à un VPN fournit par Psilo
  5. Toutes les 4 heures, un SIGHUP permet de changer de VPN et donc d’IP (et donc de pays)

N’allez surtout pas croire que j’ai inventé l’eau chaude (en ce moment je planche sur l’eau tiède mais je rencontre d’énormes problèmes techniques, merci de ne pas rire) :

Je vous invite à visionner cette vidéo qui, au delà de l’humour, vous donnera un aperçu de ce qui devrait prochainement (et rapidement) devenir la « norme » puisque la surveillance généralisée s’installe doucement (Quoi ? Comment ça j’ai déjà un train de retard ?).

Montre-moi ta conf, je te dirais vers qui tu te connectes ! Heu, non, en fait j’en sais rien…

Psilo fournit des fichiers de conf prêt à l’emploi pour chaque serveur mais, pour ceux que ça intéresse, voici ma conf (simplifiée).

# psilo_DE03.ovpn        (Allemagne)
  remote 193.164.132.47  443

# psilo_DE05.ovpn        (Allemagne)
  remote 91.194.90.17    443

# psilo_FR01_web.ovpn    (France)
# remote 91.121.197.30   443

# psilo_LU01.ovpn        (Luxembourg)
  remote 94.242.252.63   443

# psilo_NL04.ovpn        (Luxembourg)
  remote 85.17.19.20     443

# psilo_NL05.ovpn        (Luxembourg)
  remote 85.17.19.188    443

# psilo_NL08.ovpn        (Luxembourg)
  remote 85.17.97.36     443

# psilo_NL10.ovpn        (Luxembourg, VPN gratuit => débit limité)
# http://psilo.wordpress.com/2013/06/10/nouvelle-connexion-vpn-gratuite/
# remote 95.211.99.68    443

# psilo_US03_web.ovpn    (USA)
# remote 64.20.42.226    443

remote-random

proto udp

;resolv-retry infinite
;float

;port 443
nobind

;dev vpn-psilo
dev-type tun

redirect-gateway def1 bypass-dhcp

keepalive 10 30

persist-tun
persist-key

log openvpn.log

verb 4

status status.log 300

comp-lzo

### Client

client

explicit-exit-notify 1

### Data

;auth SHA1
cipher AES-256-CBC

### TLS

tls-client
ca ca.crt

cert client.crt
key client.key
key-method 2

;tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA

tls-exit
tls-auth ta.key 1
ns-cert-type server

Le mot de la fin, la conclusion qui déchire, l’antithèse de la mort, toussa…

Nan, j’ai la flemme… (De toute façon, les profs de Français m’ont toujours emmerdé avec leurs « structures » rigides)

Ce que je retiens :

  • OpenVpn est un outil vraiment formidable : souple, fiable et relativement facile à configurer
  • Psilo est un VPN (parmi tant d’autres) dont les possibilité techniques offertes sont plaisantes
  • La surveillance généralisée s’installe, à nous de lutter contre

Voilà ! J’attends avec impatience vos commentaires. 🙂

Il y a 7 commentaires de gens bizarres, ce sont sûrement des drogués

Oui Jean-Pierre, je souhaite publier un commentaire assassin sur ce blog minable

(Votre adresse email ne sera jamais publiée, divulguée, revendue, broyée, atomisée, etc.)