Comment pouvez-vous être surpris en utilisant Private VPN lorsqu'il n'y a pas de journaux sur qui vous êtes?
Je sais qu'il existe 2 services de VPN (gratuits et payants). Normalement, les VPN gratuits ont besoin d'argent quelque part et parfois ils peuvent vendre vos informations à n'importe quelle agence qui en a besoin.
Maintenant, si nous parlons d'un VPN payant où ils utilisent le cryptage et ne conservent aucun journal ou information sur l'utilisateur, les adresses IP ou ce que vous faites, comment un pirate peut-il être traçable? Ensuite, les meilleurs hackers qui ont été capturés devaient être un VPN gratuit, car ils étaient trop bon marché pour payer 7-10 $/mois ou il me manque quelque chose.
Un extrait de la FAQ de l'un de ces services VPN. Ils l'ont dans la politique de confidentialité.
Mise à jour/Remarque: Ce n'est pas pour décourager l'utilisation du VPN. J'utilise personnellement l'un des fournisseurs mentionnés ci-dessous, et j'en suis très satisfait. L'important est de ne pas avoir l'illusion d'être protégé à 100% par le fournisseur VPN. Si vous faites quelque chose de suffisamment mauvais pour que les acteurs étatiques soient après vous, le fournisseur VPN ne va pas se risquer pour vous. Si ceux qui viennent après vous sont suffisamment motivés, ils exerceront tous les pouvoirs légaux (et pas si légaux) qu'ils ont. Télécharger des torrents ou publier sur des forums anarchistes n'est probablement pas assez motivant, mais les menaces de mort contre des politiciens de haut niveau, d'autre part ... S'il y a une chose à retenir de ce post, c'est: utilisez le bon sens.
J'ai fait des recherches sur ce sujet depuis plus de 3 ans *: à la recherche de fournisseurs de VPN, en parcourant leur politique de confidentialité et leurs pages juridiques, en les contactant, en contactant leurs FAI lorsque cela est possible, et j'ai conclu ce qui suit:
J'ai pu trouver zéro fournisseur de services VPN de bonne réputation/digne de confiance et accessible au public (gratuit ou payant) qui:
En fait, ne conserve pas les journaux d'utilisation.
En fait, ne répond pas avec vos informations personnelles lorsqu'il est présenté avec un subpoena .
Je n'exagère pas, absolument aucun, zéro, nada, nula, nulla, ciphr, cifra.
* Evidemment pas une recherche dédiée depuis 3 ans
Mise à jour: Concernant "les super fournisseurs de services VPN suédois". Le fournisseur de services suédois respecte la 'Electronic Communications Act 2003 389' . Les sections 5, 6 et 7 sous "Traitement des données de trafic" protègent complètement votre vie privée, mais allez un peu plus loin et lisez la section 8
Les dispositions des articles 5 à 7 ne s'appliquent pas
Lorsqu'une autorité ou un tribunal a besoin d'accéder à ces données comme indiqué dans la section 5 pour résoudre les litiges.
Pour les messages électroniques qui sont transmis ou qui ont été expédiés ou commandés vers ou depuis une adresse particulière dans un réseau de communications électroniques soumis à une décision sur l'écoute téléphonique secrète ou la télésurveillance secrète .
Dans la mesure où les données visées à la section 5 sont nécessaires pour empêcher et exposer l'utilisation non autorisée d'un réseau de communications électroniques ou d'un service de communications électroniques.
Si les autorités ordonnent des écoutes téléphoniques secrètes, le prestataire de services ne doit pas divulguer d'informations à ce sujet.
Section 19 Une opération doit être menée de manière à ce qu'une décision sur l'écoute téléphonique secrète et la télésurveillance secrète puisse être mise en œuvre et que la mise en œuvre ne soit pas divulguée .
Mise à jour 2: En ce qui concerne autres services VPN super anonymes hautement recommandés (Je vais passer en revue uniquement les deux premiers)
BTGuard: Il suffit de jeter un coup d'œil à la politique de confidentialité pour savoir qu'il se passe quelque chose de louche.
Avant ou au moment de collecte des informations personnelles , nous identifierons les finalités pour lesquels des informations sont collectées.
Nous collecterons et utiliserons des informations personnelles uniquement dans le but d'atteindre les objectifs spécifiés par nous et à d'autres fins compatibles, sauf si nous obtenons le consentement du personne concernée ou tel que requis par la loi .
Nous ne conserverons les informations personnelles que le temps nécessaire à l'accomplissement de ces finalités .
Nous collecterons des informations personnelles par des moyens légaux et équitables et, le cas échéant, avec la connaissance ou le consentement de la personne concernée .
Vous pouvez clairement voir le langage intentionnellement vague: "remplir ces objectifs spécifiés par nous", quels sont ces objectifs spécifiés par eux? Personne ne sait. Ils disent même clairement qu'ils collecteront des informations personnelles lorsque la loi l'exige. Dans le dernier point, ils déclarent même qu'ils n'ont même pas à vous informer sur la collecte de vos informations personnelles, sauf si cela est "approprié".
PrivateInternetAccess: C'est probablement l'un des langages juridiques les plus simples de l'entreprise.
Vous acceptez de vous conformer à toutes les lois et réglementations applicables en rapport avec l'utilisation de ce service. Vous devez également accepter que vous-même ou tout autre utilisateur auquel vous avez donné accès ne vous engagez dans aucune des activités suivantes:
Télécharger, posséder, recevoir, transporter ou distribuer tout contenu protégé par le droit d'auteur, une marque de commerce ou un contenu breveté dont vous n'êtes pas propriétaire ou auquel vous ne disposez pas d'un consentement écrit ou d'une licence du titulaire du droit d'auteur.
Accéder à des données, des systèmes ou des réseaux, y compris des tentatives pour sonder l'analyse ou tester les vulnérabilités d'un système ou d'un réseau ou pour enfreindre les mesures de sécurité ou d'authentification sans le consentement écrit du propriétaire du système ou du réseau.
Accéder au service pour enfreindre toute loi aux niveaux local, étatique et fédéral aux États-Unis d'Amérique ou dans le pays/territoire dans lequel vous résidez.
Si vous ne respectez aucune de leurs conditions de conduite (mentionnées ci-dessus)
Le non-respect des présentes conditions d'utilisation constitue une violation substantielle de l'accord et peut entraîner une ou plusieurs des actions suivantes:
- Emission d'un avertissement;
- Révocation immédiate, temporaire ou permanente de l'accès à Privateinternetaccess.com sans remboursement;
- Actions en justice contre vous pour le remboursement de tous les frais encourus par l'indemnité résultant d'une violation;
- Action en justice indépendante par Privateinternetaccess.com à la suite d'une violation; ou
- Divulgation de ces informations aux autorités répressives si cela est jugé raisonnablement nécessaire.
La plupart des services d'anonymisation qui prétendent "ne pas garder de journaux" en fait faire tenir des journaux, car sinon ils auraient des problèmes encore plus graves lorsque les fédéraux tomberaient dessus à 6h00 avec des accusations de terrorisme. Un service VPN comme ceux que vous citez dit essentiellement: "oui, nous acceptons d'assumer l'entière responsabilité juridique de tout ce que vous faites en ligne pour seulement 7 $ par mois". Est-ce que cela semble vraiment ... plausible?
En outre, le paiement implique des transactions et les transactions incluent des journaux. Partout. Dans une large mesure, les informations de carte de crédit volées atténuent les risques d'être interceptés par le biais de ces journaux, mais ajoutent des risques supplémentaires (c'est-à-dire qu'il y a maintenant une fraude par carte de crédit, et cela fait appel à d'autres agences à trois lettres pour poursuivre l'auteur).
Plus précisément, à partir de politique de confidentialité pour le service VPN:
Nous enregistrerons un horodatage et une adresse IP lorsque vous vous connecterez et vous déconnecterez de notre service VPN avec l'adresse IP du serveur VPN individuel que vous utilisez. Nous ne stockons ni ne surveillons les détails des sites Web auxquels vous vous connectez lorsque vous utilisez notre service VPN.
En d'autres termes, ils enregistrent que l'utilisateur X (identifié par ses informations de compte et son adresse IP client) a utilisé le point de terminaison VPN V de l'instant T1 à l'instant T2.
Supposons maintenant que les autorités veulent savoir qui a fait quelque chose et qu'elles savent que le coupable venait de V au moment T. Ils demanderont au fournisseur VPN, qui pourra leur dire quel utilisateur utilisait V à ce moment-là.
Un VPN ne fournit qu'un seul niveau d'isolation entre l'identité de l'utilisateur et les services auxquels l'utilisateur accède. Dans une situation où les forces de l'ordre s'impliquent, ce n'est pas grand-chose. Si l'anonymat peut être atteint, il faut utiliser plusieurs sauts, de préférence dans autant de juridictions différentes que possible. Lisez comment Tor fonctionne.
Lorsque vous vous posez des questions sur ce genre de chose, cela vaut vraiment la peine d'aller lire politique de confidentialité complète . Il détaille ce qu'ils conservent dans le journal.
Plus précisément, en parlant de HMA , ils gardent un journal de l'adresse IP qui vous a été attribuée. Cela signifie que, sur ordonnance du tribunal, ils seront (tenus de) fournir votre véritable identité aux forces de l'ordre. D'autres fournisseurs VPN (sérieux) font la même chose.
Comme je l'ai dit dans la section des commentaires, vous ne pouvez jamais être sûr que votre fournisseur VPN n'enregistre aucune information qui pourrait être divulguée au gouvernement ou tout parti qui a suffisamment de pouvoir.
Une autre façon d'utiliser un VPN serait de louer un VPS et de configurer votre propre service VPN dessus. Cependant, vous devrez effectuer des paiements par carte de crédit prépayée et ne fournir aucune information personnelle. Les Bitcoins sont souvent considérés comme un moyen anonyme d'effectuer des paiements, mais il a été prouvé pas si anonyme après tout.
Gardez à l'esprit que cette solution peut ne pas être parfaitement anonyme, à moins que vous ne divulguiez jamais vos informations lorsque vous vous connectez à votre VPS (IP, emplacement, etc.), peut-être en utilisant Tor comme d'autres mentionnés.
Aucune de ces réponses ne répond réellement à la question, et personne ne mentionne le pouvoir derrière les métadonnées. Voyons en détail comment cela peut être fait.
Comment pouvez-vous être surpris en utilisant Private VPN quand il n'y a pas de journaux sur qui vous êtes?
D'une manière générale, il y a des journaux sur qui vous êtes, même si votre fournisseur VPN ne consigne rien de vos connexions. D'autres sociétés enregistrent d'autres informations vous concernant. Annonceurs, etc.
Alors qu'un fournisseur VPN peut prétendre ne pas fournir de journaux de connexion, son fournisseur de services Internet peut le faire. Ils peuvent vous dire la vérité, mais pas la vérité entière .
Mais pour répondre à votre question, abordons ce sujet en partant de l'hypothèse que votre fournisseur VPN n'enregistre rien.
Les métadonnées sont bien plus puissantes que la plupart des gens ne le pensent
Les métadonnées sont puissantes. Lorsque les métadonnées peuvent vous mettre en correspondance avec d'autres sources de données, il n'est pas difficile de vous trouver .
J'ai créé un organigramme très abruti pour aider à expliquer comment cela peut se produire. Bien sûr, différents systèmes d'exploitation rendent cela plus difficile, mais en général, il est beaucoup plus facile de trouver un utilisateur Mac ou Windows, ou un utilisateur d'appareil mobile que c'est un utilisateur Linux.
Avant de lire, supposez que l'ID de l'appareil peut être n'importe quoi: votre clé Windows, les informations de votre appareil matériel communiquées aux fournisseurs, vos adresses MAC utilisées, les adresses IP, les empreintes digitales du navigateur, etc. Cela pourrait être un certain nombre de choses.
Quel type d'informations de compte pourrait vous aider à vous révéler?
Tout service que vous utilisez en ligne pour lequel vous vous connectez à un compte. Ceux-ci incluent, mais ne sont pas limités à:
- Skype
- Vapeur
- Battle.Net
- Origine
- Comptes mail
- Xbox Live
- Forums de discussion
- Windows Update
- Pilotes Nvidia
Si vous vous connectez à l'un de ceux-ci tout en étant connecté à un VPN - et beaucoup d'entre eux sont des connexions automatiques qui se rétablissent une fois que vous vous connectez au VPN - un schéma clair est apparu.
Et ce n'est qu'une petite liste. Il existe un nombre incalculable de services qui feront la même chose. Ces fournisseurs de services enregistreront votre tentative d'accès, et ils sont tenus par la loi dans la plupart des pays de remettre ces données sur demande.
Conclusion
Dans la plupart des cas, vous pouvez exécuter ... mais vous ne pouvez pas vous cacher. :) Bien sûr, il existe des moyens de contourner cela, mais la grande majorité des utilisateurs VPN ne sont pas vraiment conscients de cela. C'est l'une des nombreuses raisons pour lesquelles ceux qui se "cachent derrière 7 mandataires" continuent de se faire prendre.
Gardez également à l'esprit qu'il ne faut qu'une seule erreur pour se faire prendre. Faites une seule visite sur un site cible sans activer d'abord votre VPN et ils auront votre vraie adresse IP. Si vous effectuez une attaque au cours de cette session, des données d'identification persistent de la session non VPN vers VPN (ou vice versa) telles que n cookie de tout type ou données de paramètres du navigateur , ou un nom d'utilisateur (l'un des bustes anonymes de l'IIRC provenait d'une seule connexion non VPN à IRC), les enquêteurs peuvent vous connecter à votre activité VPN même si elle est vraiment aussi opaque que le prétendent les promesses marketing.
Même si le service que vous utilisez fait tout ce qui est en son pouvoir pour protéger votre vie privée, ils peuvent être piratés.
Si vous avez une grande entreprise de VPN dont les utilisateurs pensent qu'ils peuvent utiliser le VPN pour cacher leur identité, ils constituent une cible de grande valeur pour le NSA et d'autres grandes agences de renseignement).