Anonymisation et connexions VPN : Attention!

Un billet pour sortir des malwares et virus mais pour rester dans la sécurité, billet que je voulais faire depuis un moment.
Suite à la loi Hadopi pondue par nos non-représentants… Sur les forums, blogs etc, on voit souvent comme contre mesure, des conseils d’utilisation de VPN.
Le but de ces services VPN est d’utiliser d’un serveur VPN comme passerelle afin de masquer son IP au service auquel on se connecte.
L’internet se connecte au serveur VPN et redirige tout son traffic via le VPN, la connexion vers les services (connexion WEB, HTTP etc) sera effectuée par le serveur VPN et non plus par l’internaute, le serveur en face verra donc l’IP du serveur VPN et non celle de l’internaute.
Dans le cas d’Hadopi, les connexions P2P seront donc effectuées par le VPN et les ayants droits ne pourront plus relever les adresses IP pour alimenter la machine interfanale Hadopi.
Comme par le passé, j’avais fait un article sur les bonnes mauvaises idées de l’utilisation des proxys pour se rendre (soit disant anonyme).
Ce billet tient à présenter les dangers des VPN qui sont au final les mêmes que celle des proxys.

J’ai simulé un VPN à partir d’un OpenVPN sur une machine de chez moi qui a un pied sur la toile via une connexion Orange/Wanadoo.
Je me connecte depuis un PC sous Windows à partir d’un wifi public, en l’occurrence FreeWifi pour simuler l’internaute.

Table des matières [masquer]

• 1 Comprendre le VPN
• 2 VPN et Sécurité
• 3 Conclusion et liens connexes

Comprendre le VPN

Le but étant donc de se connecter à mon serveur VPN depuis la connexion FreeWifi, un peu comme un internaute va se connecter avec sa connexion internet vers un serveur VPN et rediriger tout le traffic vers ce VPN.
Ce dernier va établir alors les connexions aux services demandés via du NAT.
Le schéma ci-dessous résume la connexion :

Ci-dessous, la connexion en FreeWifi, l’adresse IP retournée est bien celle de Free.

Vous pouvez aussi lire la page : Qu’est-ce-qu’un VPN

VPN et Sécurité

On lance la connexion vers le serveur OpenVPN – les routes se mettent, les petites télé dans le systray sont vertes qui stipules que la connexion VPN est OK.
On rafraîchit la page et notre IP est bien chez Orange/Wanadoo.
La connexion vers internet passe donc bien via notre serveur VPN qui en réalité établie pour nous la connexion.

Côté Serveur – on peux lister les connexions natées.
Ici la source 10.8.0.4 est l’adresse IP de notre client VPN, destination sont les serveur WEB (port 80) contenues sur la page adresseip.com (174.120.0.154).
Comme vous pouvez déjà le voir, lister les connexions établies se fait très facilement.

Ensuite que se passe-t-il si on se connecte à des services dont l’authentification est non cryptées, par exemple Facebook ou le forum CommentCamarche ?

et bien même chose…. on récupère les informations en sniffant très facilement.
Ci-dessous la requête POST vers commentcamarche.net avec en paramètre le login et le pass :

et ci-dessous le cookie d’authentification de la requête POST de Facebook.

Comme vous pouvez le constater, récupérer des informations issues des connexions non cryptées est vraiment très simple.
Le problème est identique à celui de l’utilisation des proxys qui permet au final des attaques man in the middle .
Etant donné que la connexion passe un tiers, ou en réalité, c’est le tiers qui établie la connexion pour vous, ce dernier peux tout voir dès lors que la connexion au service n’est pas cryptée.
Tout ça pour en venir au fait, qu’il faut vraiment faire attention, dans le cas où vous souhaitez utiliser ces services, à quelle service vous souscrivez.
De par les désirs de filtrage qui émergent ces dernières années, les solutions de VPN ont le vent en poupe, dans ces solutions, il y aussi bien sûr des arnaques – comme des services fantômes : SuperVPN : mon oeil !Récupérer le trafic est assez simple, on peux donc imaginer des services VPN qui revendent des informations récupérées (adresse email etc) ou même des solutions VPN issus de la cybercriminalité pour voler des informations.

Conclusion et liens connexes

Comme recommandé, avant de souscrire, faites des recherches sur la société qui propose le service, lisez bien les conditions d’utilisation etc et si vous ne savez pas qui ou quoi se cache derrière une solution proposée, ne souscrivez pas.
Soyez vigilant.

• Adresse IP et confidentialité
• Anonymisation sur internet avec Proxy WEB
• Tracking WEB sur internet

REF.:

Pistage utilisateur sur internet : Browser FingerPrinting

Cet article traite du pistage utilisateur sur internet à travers le Browser FingerPrinting ou empreinte digitale du navigateur WEB.
Le Browser FingerPrinting est une technique qui vise à identifier le navigateur WEB utilisé de manière unique, ce qui permet ensuite de le pister sur la toile.
Cette méthode et technique est probablement peu connue des internautes.
Je rappelle qu’il existe un article qui traite de manière générale du pistage utilisateur : Web Tracking sur internet.

Table des matières [masquer]

• 1 Pistage utilisateur sur internet
  • 1.1 Démonstration
  • 1.2 Test du suivi utilisateur
• 2 Pistage utilisateur sur les réseaux sociaux
• 3 Limite et protection du pistage
  • 3.1 Mozilla Firefox
  • 3.2 Google Chrome
• 4 Conclusion & Liens

Pistage utilisateur sur internet

Afin d’expliquer ce qu’est le Browser FingerPrinting, il faut bien comprendre ce quoi repose le pistage utilisateur sur internet.
Ces aspects sont assez détaillés sur la page Web Tracking sur internet, voici donc en résumé les grandes lignes.
Pour pister un utilisateur, il faut être capable de reconnaître ce dernier, le but est donc de pouvoir reconnaître un utilisateur de manière unique parmi la multitudes d’internautes qui vont utiliser un service WEB.
Plusieurs techniques sont utilisées, la plus connue des internautes est probablement le tracking cookie. Cette méthode vise à déposer dans le profil du navigateur WEB, un cookie appartenant à un service WEB en particulier (en général une régie publicitaire). Ce cookie pourra alors être appelé par cette régie à tout moment et depuis n’importe quel site WEB utilisant ce dernier.
Le tracking cookies balisent donc les sites visités où les régies publicitaires sont présentes et permettent de dresser un profil consommateur pour ensuite proposer des publicités ciblées.
Le Browser FingerPrint, lui, consiste à constituer un UID (identifiant) unique du navigateur WEB à travers sa configuration comme (le fuseau horaire, résolution écran, la police utilisée, le user-agent etc).
Un service WEB et notamment les régies publicitaires peuvent alors distinguer n’importe quel navigateur WEB parmi d’autres et donc un potentiel l’internaute qui utilise ce dernier.
Pour les défenseurs de la vie privée, ces méthodes ne sont pas acceptables, vous trouverez quelques extensions qui permettent de vous protéger sur internet de ce type de collecte d’informations.

Démonstration

Démonstration sur un forum de test où un pistage et suivi d’internaute par Browser FingerPrint est présent.
Cela permet en autre de détecter les comptes multiples.
Ci-dessous, vous pouvez voir une connexion sur le forum avec le compte Malekal_morte qui sert de témoin.
Vous avez la date de la session et l’UID de l’empreinte digitale
Puis un autre utilisateur avec le même navigateur WEB utilisant un VPN.
L’empreinte digitale du navigateur WEB étant unique, quelque soit l’IP de connexion, on reconnaît le navigateur WEB utilisé et potentiellement l’internaute qui tente de se cacher derrière un VPN.
Cela permet aussi de suivre un internaute utilisant un ordinateur portable ou une tablette qui serait en vacances ou chez sa famille.

Le User-agent est la version du navigateur WEB, cette information est envoyé aux sites WEB à chaque requête.
Cette information peut-être modifiée par une extension pour renvoyer une fausse version.

La connexion sur le forum avec le VPN (HideMyAss) utilisant Mozilla Firefox.

Test du suivi utilisateur

Il existe différents sites internet qui permettent de tester son navigateur WEB pour savoir si ce dernier est unique.
Ces sites sont en anglais.
Voici les deux sites les plus connus :

• https://panopticlick.eff.org/
• https://amiunique.org

On retrouve ici différents critères de configuration qui permettent de générer l’empreinte digitale du navigateur WEB et son identifiant unique.
Quelques bémols sur ces sites, aucun ne donne d’identifiant, il n’est donc pas possible de savoir si vous êtes capables en installant des protections de faire varier l’empreinte digitale de votre navigateur WEB.

Pistage utilisateur sur les réseaux sociaux

Les réseaux sociaux utilisent aussi le pistage utilisateur, mais récupèrent aussi des informations que vous donnez sciemment via votre profil.
Ces informations sont ensuite monétisées.
Plus d’informations sur ces aspects sur la page : Le danger des réseaux sociaux

Limite et protection du pistage

Si vous avez bien compris le principe, la reconnaissance unique du navigateur WEB se fait à travers une concaténation de multiples paramètres utilisés par le navigateur WEB.
Ces informations sont transmises du navigateur WEB au serveur WEB.
Il est donc tout à fait possible de générer des informations erronées ou aléatoires. Il peut aussi être possible de détecter le script qui collecte ces données pour le bloquer.
Faire varier ces paramètres vont faire en sorte de modifier l’empreinte digitale et donc générer un nouvel identifiant empêchant ainsi la reconnaissance du navigateur WEB.
Parmi l’une d’elle se trouve la résolution écran de Windows.
En changeant la résolution écran, on obtient un nouvel identifiant d’empreinte digitale.
Bien entendu, si vous remettez la résolution d’écran d’origine, on retrouve l’identifiant de départ.

Même chose en mettant à jour Mozilla Firefox, un nouvel UID est généré :

Modifier le user agent ne génère pas un nouvel identifiant.
Dans l’exemple ci-dessous, je génère un useragent kikoo, l’empreinte digital reste inchangé.

Du coup, j’ai aussi testé quelques extensions :

• Privacy Badger
• Ghostery

Aucun des deux ne permet de générer un identifiant aléatoire ou de bloquer la récupération d’informations qui permet de le générer.
Ces deux extensions sont inefficaces contre le Browser FingerPrinting (empreinte digitale).
Avec Privacy Badger le site panopticlick affiche ces informations durant le test :

NoScript peut bloquer les appels JavaScript qui servent à collecter les informations.
Noscript étant inclut directement dans le navigateur WEB du projet TOR, si vous vous connectez avec TOR, il ya de fortes chances que vous soyez protégés de ce type de suivi utilisateur.
Il existe des extensions qui permettent de bloquer aussi ces appels ou de falsifier les informations envoyés.

Mozilla Firefox

L’extension Random Agent Spoofer pour Firefox permet de générer un identifiant aléatoire en chargeant un nouveau profil de navigateur WEB.
Ce profil peut être changé tous les X minutes ou à chaque requête.


On trouve bien une empreinte digitale différente pour chaque session.
L’extension CanvasBlocker fait aussi le boulot.
Les appels du script sont détectées et l’extension envoie des informations biaisées.

Ainsi, l’identificateur unique est modifié à chaque connexion.

Google Chrome

L’extension CanvasFingerprintBlock fait le boulot.
Par contre, l’extension StopFingerprinting n’a pas fonctionné, l’identifiant a pu être généré.

On obtient ceci sur le site de test :

Conclusion & Liens

Il y a de fortes chances que cette méthode de pistage utilisateur soit utilisée par les régies publicitaires, utiliser un bloqueur de publicités (comme uBlock ou AdBlock) doit limiter la casse.
A l’heure où ont été écrites ces lignes, les habituels extension dites de vie privée, comme Ghostery souvent mises en avant, sont relativement inefficaces.
Par exemple, le site lemonde.fr semble utiliser ce type de tracking utilisateur :


Notre dossier sur le Web Tracking sur internet et aussi Bloquer les mouchards sur Windows et internet vous donne toutes les méthodes pour protéger votre confidentialité.
De manière générale, tous les tutos sur les navigateurs WEB dans le menu : navigateurs WEB.

REF.:

Quelles informations retirés de votre Adresse IP et sa confidentialité

Adresse IP et confidentialité : quelles informations:

Une page concernant les informations que l’on peut obtenir lorsqu’une personne tiers obtient votre adresse IP.
Pour rappel, l’adresse IP est comme une immatriculation est permet de vous « identifier » sur le réseau afin que l’on puisse communiquer avec votre ordinateur.
L’adresse IP est censée être unique.

Table des matières [masquer]

• 1 Quelles sont les informations que l’on peut obtenir avec une adresse IP ?
  • 1.1 Adresse IP et géolocalisation
• 2 Adresse IP et attaque informatique
• 3 Adresse IP et anonymat
  • 3.1 Anonymat et VPN
• 4 Conclusion

Quelles sont les informations que l’on peut obtenir avec une adresse IP ?

Plusieurs informations sont possibles lorsqu’une personne tiers obtient votre adresse IP :

• Votre fournisseur d’accès internet
• Votre localisation géographique à plusieurs dizaines voire centaines de kilomètres (on appelle cela le GeoIP)

Par exemple chez Orange, on peut avoir le nom de la commune du BAS (concentrateur ADSL) dans le DNS de l’adresse IP.
Dans mon cas, le nom de la ville est à une centaine de kilomètre du point de connexion.
Cela peut donc donner une ordre d’idée.
Le site http://www.infobyip.com/ donne même une carte lié à une adresse IP.

Adresse IP et géolocalisation

Il n’est cependant pas possible pour une personne d’obtenir vos informations personnelles (nom, prénom, adresse) à partir de votre adresse IP, seule le fournisseur d’accès internet à cette possibilité.
De même, il est assez difficile de recouper les informations sur la toile par des recherches WEB à partir d’une adresse IP puisque celle-ci n’est généralement pas visible sur les sites WEB.
Par contre, les administrateurs et modérateurs des forums et sites peuvent voir votre adresse IP.
Par exemple sur le forum malekal, les administrateurs et modérateurs peuvent visualiser l’adresse IP des membres qui postent :

Voici une vidéo on l’on change d’IP et de localisation géographique grâce à un VPN (Hide My Ass) :

Adresse IP et attaque informatique

L’adresse IP permet d’atteindre votre ordinateur et donc potentiellement de semer des attaques :

• Prendre la main à distance à partir d’une vulnérabilité « piratage » – bien entendu, cela demande beaucoup de connaissances et ce n’est pas à la portée de tout le monde.
• Mener des attaques DoS qui vise à saturer la connexion internet. Sur les jeux en ligne, certains joueurs peuvent mener ce type d’attaque en utilisant des serveurs VPS et autres.

Certains internautes sur les réseaux sociaux et autres peuvent lancer des menaces « j’ai ton adresse IP, je vais hacker ton ordinateur ».
En règle générale, ces personnes sont incompétentes et à partir d’une adresse IP ne pourront pas faire grand chose.
A la limite, il est plus gênant qu’une personne lambda obtienne votre adresse email, cela est plus gênant : envoie potentiellement d’un malware/virus, inscription à des sites gênant etc.
En clair, les attaques seront plutôt psychologiques et non informatiques en essayant de faire peur à la victime.
Un peu lorsqu’une personne malintentionné possède votre numéro de téléphone ou adresse postale, il n’est pas dit qu’il fasse quelque chose, mais la peur peut suffire à causer des désagréments.

Adresse IP et anonymat

Lorsque vous vous connectez à un site WEB, vous laissez une trace de votre passage dans les journaux du serveur WEB.
Votre adresse IP (votre version de navigateur WEB) sont enregistrées.
Cela peut donc permettre de vous « pister »… même s’il existe d’autres méthodes et technique : tracking cookies, Browser FingerPrinting etc.
De même le fournisseur d’accès enregistre des informations afin de les livrer à la Justice, si celle-ci la réclame.
Quand on dit fournisseur d’accès, on étend cela à cybercafé, Wifi publique et autres. Les données qui doivent être qui doivent être conservées :

• des informations permettant d’identifier l’utilisateur (par exemple : adresse IP, numéro de téléphone, adresse de courrier électronique) ;
• des données relatives aux équipements terminaux de communication utilisés ;
• des caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
• des données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
• des données permettant d’identifier le ou les destinataires de la communication.
• Les données concernées sont, à titre d’exemple, les « log » de connexions (heures de connexion et durée de la connexion), l’adresse IP, …

Ces derniers n’enregistrent donc pas les sites visités, les conversations sur les réseaux sociaux etc.

Anonymat et VPN

Pour palier à cela, sur la toile beaucoup conseillent d’utiliser un VPN, un serveur tiers par lequel toute votre connexion passe, le serveur WEB ne voit alors que l’adresse du serveur VPN et cela ne laisse aucune trace. Qui dit passer par un tiers, dit que ce nouveau tiers va obtenir à son tour des informations concernant votre activité sur internet.
Le marketing de ces solutions jouent aussi un peu sur la paranoïa pour vendre ces solutions.
N’oubliez pas non plus que ces solutions peuvent poser des problèmes de sécurité, des attaques de l’homme du milieu peuvent être effectués :

• Hadopi et connexions VPN : Attention!
• De même l’utilisation de proxy inconnu peut être dangereux : Anonymisation sur internet avec Proxy WEB

Le projet Tor a justement pour but de proposer une anonymisation de votre adresse IP, pour plus d’informations sur Tor, se reporter au Tutoriel Tor : comment installer et utiliser Tor.
Pour plus d’informations sur le suivi utilisateur, rendez-vous sur la page : Web Tracking sur internet et comment s’en protéger sur la page Bloquer les mouchards sur Windows.

Conclusion

L’adresse IP et donc une information partielle qui peut être utilisée à des fins néfastes, mais il ne faut pas non plus tomber dans la paranoïa.
A lire sur le même sujet : Que peut faire un pirate avec votre adresse IP ?

REF.:

Comment afficher l’adresse IP source d’un email

Vous trouverez quelques informations sur le header et en-tête d’un mail sur la page suivant : Mail : sources et entêtes de l’enveloppe & du message
Pour rappel, il ne faut pas se fier à l’adresse de l’expéditeur, tout comme dans une lettre postale, on peut signer sous n’importe quel nom.

Comment afficher le source d’un mail ?

Pour afficher ces informations, la procédure est un peu différente selon l’interface de votre webmail ou client mail, même si le principe.
En général, il faut faire un clic droit sur le mail et chercher une option du type : afficher le source ou afficher le header du mail.

Sur Gmail, il faut ouvrir le mail et cliquer en haut à droite sur l’icône puis Afficher l’original.

Les adresses IPs dans l’en-tête du mail

Le source du mail brut s’affiche alors, ce dernier se compose de l’entête qui se termine avec les From / To (Expéditeur / destinataire) et le sujet du mail.
Ensuite, se trouve le corps du mail.
Dans le header, en bas, il faut chercher les lignes Received qui contient le transit du mail.
A chaque fois que le mail passe par un serveur, ce dernier ajoute une ligne en début.
Il faut donc lire de bas en haut pour suivre le transport du mail du début à la fin.
Par exemple, ci-dessous, on voit que le serveur émetteur est 23.94.168.42

Dans le mail de SPAM ci-dessous, on constate que le mail a été envoyé depuis le serveur 34.212.234.127

Les informations sur le type de serveur SMTP peuvent aussi être indiquées.
Par exemple ci-dessous, on peut voir qu’il s’agit d’un mailer PHP.

Enfin pour le mail malveillant, on constate ci-dessous qu’il s’agit d’une IP ADSL, l’ordinateur infecté faisant parti d’un botnet utilisé pour diffuser des mails malveillants.

Il y a plusieurs années, on pouvait, même en envoyant depuis un Webmail comme Hotmail ou Gmail obtenir l’adresse IP de l’ordinateur source.
Ces informations étant sensibles, Hotmail, Gmail etc ont retiré ces données.
Toutefois, si la personne utilise un client mail comme Thunderdbird par exemple, on peut parfois obtenir des informations.

Tous les webmail ne font pas cet effort, par exemple, chez Orange l’IP source est encore présente.

A partir de ces informations, on peut parfois avoir une idée si le mail est véridique ou non, notamment à partir des serveurs à partir le mail à transité.
Si vous souhaitez savoir quelle information, on peut obtenir à partir d’une adresse IP, lire l’article : Adresse IP et confidentialité

REF.:

Windows Script Host : Identifier la source des messages d’erreur

Au démarrage de Windows ou à intervalles réguliers, vous pouvez rencontrer des messages d’erreur Windows Script Host.
Le message d’erreur Windows Script Host indique :

L'accès à Windows Script Host est désactivé sur cette machine.
Contactez l'administrateur système pour plus d'informations.

Voici quelques explications autour de ce message d’erreur Windows Script Host.

Table des matières [masquer]

• 1 Windows Script Host
  • 1.1 Comment identifier la source des messages d’erreur
  • 1.2 Comment supprimer un script VBS malveillant ?
  • 1.3 Et si le script est légitime ?
• 2 Autres liens

Windows Script Host

Windows Script Host est un interpréteur qui permet l’exécution de scripts VBScript et JScript dans Windows.
Il s’agit de programmes écrits dans ces langages qui peuvent être exécutés à tout moment.
Lorsqu’un script est en cours de fonctionnement, le processus wscript.exe est alors visible.
Des applications peuvent utilisées Windows Script Host mais il peut aussi s’agir de scripts malveillants notamment des virus par clé USB.
Il est possible de désactiver Windows Script Host, ce qui interdit l’exécution de ces scripts.
Dans ce cas, lorsqu’un script VBS ou JS tentent de se lancer, vous obtenez le message d’erreur donné en introduction de cette page.
En clair donc, la popup d’erreur Windows Script Host s’affiche lorsqu’un script tente de se lancer mais que Windows Script Host a été interdit.

Comment identifier la source des messages d’erreur

Pour pouvoir identifier la source de ces messages et le script qui en est à l’origine, le plus simple est d’utiliser Process Explorer.

• Téléchargez Process Explorer et placez le sur votre bureau.
• Lancez Process Explorer par un clic droit puis exécuter en tant qu’administrateur
• Cliquez en haut sur l’icône cible

• puis cliquez sur le message d’erreur Windows Script Host

• Process Explorer se positionne directement sur le processus source du message, normalement, il s’agit de wscript.exe
• Il aurait été d’ailleurs possible de le trouver directement dans la liste.
• Double-cliquez dessus, le script source apparaît dans le champs command line

Par exemple, ici, il s’agit du script « C:\Program Files\Intel\SUR\QUEENCREEK\task.vbs » qui est tout à fait sain.
Si le chemin mène à un fichier dans le dossier AppData ou TEMP, il y a de fortes chances qu’il s’agisse d’un script malveillant.
Parmi les scripts malveillants les plus répandus :

C:\Users\Fabio\Desktop\Suivi-colis-mondial-relay.vbs
C:\Users\jean-luc\AppData\Local\Fetode\Fogonabag.dat
%temp%\SysinfY2X.db

ou encore ci-dessous un script VBS lié un PUP.Yahoo

Wscript.exe C:\ProgramData\{8AC94FAA-008B-C56C-864D-5B2E1C0FD0E0}\tete.txt

Comment supprimer un script VBS malveillant ?

Avec Process Explorer, faire un clic droit sur le processus wscript.exe puis kill Processes afin que le script ne soit plus en cours d’exécution.
Une fois le chemin du script identifié, il ne reste plus qu’à supprimer le fichier manuellement.
Vous pouvez faire cela depuis l’explorateur de fichiers.
En cas de difficultés, créé un sujet dans la partie Virus du forum pour obtenir de l’aide.

Et si le script est légitime ?

Si le script est légitime mais que vous continuez à voir des messages d’erreur Windows Script Host.
Il faut alors supprimer le point de lancement et pour cela il faut le trouver, ce qui n’est pas forcément simple.
Un utilitaire comme Autoruns peut aider puisqu’il permet de lister tous les points de chargement de Windows.
Si l’on reprend l’exemple du script précédent « C:\Program Files\Intel\SUR\QUEENCREEK\task.vbs » qui provoque des erreurs Windows Script Host.
Ce dernier est lancé par une tâche planifiée, on trouve alors le script dans Task Schedulers sur Autoruns.

Il ne faut pas faire une recherche sur task.vbs car Autoruns ne le trouvera pas.
Plutôt chercher sur wscript.exe, on trouve alors la source que l’on peut désactiver en décochant ce dernier.

Autres liens

Quelques liens du site autour de Windows Script Host :

• Comment désactiver Windows Script Host
• Comment se protéger des scripts malicieux sur Windows

En lien ce tuto pour vérifier son ordinateur manuellement : Comment vérifier si ordinateur a été hacké ou piraté

REF.: