web-dev-qa-db-fra.com

VPN + HTTPS = 100% anonyme?

Disons que je visite Twitter en utilisant HTTPS et un VPN

Tout d'abord, je sais que HTTPS est crypté de bout en bout, donc personne, à l'exception de Twitter, ne peut savoir ce que données est envoyé, pas même le fournisseur VPN. Deuxièmement, je sais que lorsque j'utilise un VPN, personne ne peut savoir qui est tilisateur, à l'exception du fournisseur VPN.

Donc, Twitter ne connaît pas le tilisateur, et le fournisseur VPN ne connaît pas le données. Est-ce vrai? Suis-je 100% anonyme?

tlsvpnanonymity
49
uihiuh

Twitter ne connaît pas l'utilisateur

Si vous avez déjà utilisé ce navigateur pour vous connecter à Twitter en dehors du VPN, il est possible que Twitter ait utilisé des cookies ou (même dans le cas d'une suppression complète des données du navigateur) des empreintes digitales du navigateur pour vous identifier. Même s'ils ne l'ont pas fait, vous devez supposer que leurs fournisseurs d'annonces l'ont fait.

personne ne peut savoir qui est l'utilisateur, sauf le fournisseur VPN.

Toute personne ayant une visibilité des nœuds d'entrée et de sortie sur le VPN (FAI, acteurs étatiques, etc.) peut appliquer des techniques de correspondance de paquets pour essayer d'identifier les flux de trafic.

Vous avez également le risque que Twitter et le VPN partagent les informations qu'ils détiennent sur vous avec d'autres parties.

94
Hector

Comme le souligne Steffen, vous êtes peut-être plus anonyme que vous ne seriez pas sans VPN, mais vous êtes loin d'être 100% anonyme.

  • Votre navigateur Web lui-même peut révéler une énorme quantité d'informations sur votre ordinateur, votre navigateur et d'autres services auxquels vous pourriez être connecté. JavaScript a été utilisé pour anonymiser les personnes sur Tor.
  • Les choses que vous publiez et les interactions que vous avez sur les réseaux sociaux peuvent potentiellement être corrélées avec vous, surtout si votre OpSec est faible.
  • A DNS Leak pourrait vous démasquer
  • Si votre fournisseur VPN conserve des journaux de connexion et opère dans une juridiction qui l'obligerait à remettre ces informations (ou s'il se conforme volontairement aux LEA), vous risquez de vous faire arroser.
  • Si vous vous glissez et atterrissez sur le radar d'une agence d'application de la loi, ils peuvent vérifier si vous avez effectué des paiements à votre fournisseur VPN, engager votre FAI pour corréler le trafic du FAI avec le VPN au moment où les publications ont été faites sur Twitter, etc.

Je ne sais pas si vous pouvez être anonyme à 100% sur Internet, mais si vous le pouvez, cela nécessite plus que HTTPS et une connexion VPN.

58
DKNUCKLES

L'utilisation d'un VPN signifie uniquement que Twitter ne peut pas déterminer les détails de l'utilisateur à partir de l'adresse IP. Il pourrait cependant avoir d'autres moyens d'obtenir suffisamment de détails sur l'utilisateur, par exemple à partir du suivi des utilisateurs interdomaines (en utilisant des cookies tiers et d'autres techniques) que de nombreux sites utilisent.

En dehors de cela, Twitter peut déterminer que l'adresse IP appartient à un VPN spécifique. Et, si vous avez enfreint des lois en interagissant avec Twitter, ils pourraient utiliser la loi pour exiger que le VPN fournisse des informations détaillées sur vous. Si le fournisseur VPN conserve des journaux, quel utilisateur a été affecté à quelle adresse IP et à quel moment il fournira probablement ces informations aux forces de l'ordre également.

16
Steffen Ullrich

HTTPS concerne la confidentialité et l'intégrité du contenu, pas l'anonymat des parties . Il peut fournir un chiffrement de bout en bout entre votre navigateur et le serveur, mais il ne masque pas l'adresse IP source et de destination, les horodatages et la taille des demandes. Il ne fournit pas d'anonymat en ce qui concerne l'infrastructure réseau.

Le VPN masquera cependant votre adresse IP personnelle (attribuée par votre FAI) à Twitter, mais si votre fournisseur VPN tient des journaux et qu'ils se parlent tous (ou sont amenés à parler *), ils peuvent simplement suivre les traces de votre adresse IP personnelle. qui peut être utilisé par votre FAI pour vous identifier. Il se peut même qu'ils n'aient pas besoin de votre coopération avec votre FAI si votre fournisseur VPN est en mesure de vous identifier (via l'enregistrement du client ou les informations de paiement).

Il existe d'autres solutions de mise en réseau (telles que Tor ) dont le but est de rendre ce suivi de réseau beaucoup plus difficile ou pratiquement impossible s'il est utilisé correctement.

Attention également à ce que votre adresse IP ne soit pas la seule chose qui puisse être utilisée pour vous identifier, votre navigateur peut également divulguer des informations utiles (cookies évidemment mais aussi son empreinte digitale plus ou moins unique ).

Pour atténuer ces risques, vous devez utiliser un navigateur sûr et sécurisé en mode navigation privée (pour éviter les cookies et autres) et l'utiliser uniquement à cette fin (pour éviter la correspondance croisée des empreintes digitales).

*: Toutes les données des fournisseurs de services peuvent être divulguées aux autorités répressives en fonction de la juridiction ou peuvent être récupérées par une organisation ingénieuse par un moyen ou un autre.

11
zakinster

Je sais que HTTPS est crypté de bout en bout, donc personne, à l'exception de Twitter, ne peut savoir quelles données sont envoyées, pas même le fournisseur VPN.

Oui, si tout fonctionne correctement avec SSL, mais par définition, le VPN est un homme du milieu.

https://stackoverflow.com/questions/14907581/ssl-and-man-in-the-middle-misunderstanding

Je préfère utiliser mon FAI plutôt que d'utiliser un fournisseur VPN de Chine, d'Inde ou de Russie. La lettre du milieu [~ # ~] p [~ # ~] signifie private et c'est très subjectif.

Deuxièmement, je sais que lorsque j'utilise un VPN, personne ne peut savoir qui est l'utilisateur, à l'exception du fournisseur VPN.

Ils connaîtront le VPN et l'adresse IP sera partagée avec d'autres utilisateurs. Vous n'êtes donc pas anonyme. Ils ont probablement déjà vu cette adresse IP plusieurs fois auparavant.

Ce que je veux dire, c'est qu'ils pourraient allouer plus de temps CPU au serveur dans la surveillance des adresses IP VPN par rapport aux autres IP. Cela s'appelle être coupable par association. Vous avez mis un drapeau sur votre connexion à leurs serveurs.

Les VPN vous font ressembler à la femme en robe rouge des films Matrix. Vous vous démarquez dans une foule d'utilisateurs occupés.

Donc, Twitter ne connaît pas l'utilisateur et le fournisseur VPN ne connaît pas les données. Est-ce vrai? Suis-je 100% anonyme?

Pourquoi Twitter devrait-il dépendre du trafic réseau pour identifier un utilisateur?

Votre comportement à lui seul peut suffire à vous identifier si vous effectuez l'une des actions suivantes:

  • Utilisez un VPN pour aimer vos propres tweets.
  • Utilisez un VPN pour publier des liens vers vos propres sites Web.
  • Utilisez un VPN pour suivre votre propre compte.
  • Utilisez un VPN pour afficher les comptes des personnes que vous connaissez dans la vie réelle.
  • Utilisez un VPN pour attaquer des personnes que vous connaissez dans la vie réelle.
  • Quelqu'un est capable de vous identifier sur la base de votre activité.

Si Twitter voulait retrouver un utilisateur dans le monde réel, il pourrait effectuer l'une des actions suivantes:

  • Twitter peut simuler une erreur de réseau sur des URL uniques pour voir si vous revenez sans VPN.
  • Twitter peut vous profiler en vous appâtant avec de faux tweets.
  • Twitter peut vous positionner en suivant l'emplacement des tweets avec lesquels vous interagissez.
  • Twitter demande aux autres utilisateurs de vous aider à vous identifier.
  • Twitter demande au VPN de vous identifier.
  • Twitter demande à Facebook ou Google de vous aider à vous identifier.
  • Twitter peut rediriger tout le trafic VPN vers des serveurs dédiés qui disposent de ressources supplémentaires pour suivre les utilisateurs à haut risque.

Je n'ai aucune preuve qu'ils font l'une des choses ci-dessus, mais je pense aussi qu'il est parfaitement raisonnable de penser qu'ils le feraient. Compte tenu de l'histoire des idiots qui utilisent Twitter pour faire des choses stupides ou pire encore.

4
Reactgular

L'anonymat à 100% n'existe pas dans cet univers. Même avec un OpSec parfait, vous êtes toujours vulnérable.

HTTPS est considéré comme raisonnablement sûr, mais cela ne le rend pas totalement imperméable à l'écoute. Des faiblesses cryptographiques peuvent potentiellement encore exister dans TLS, ce qui peut éventuellement le casser (ce qui devient de plus en plus probable à mesure que le matériel continue d'évoluer et de fonctionner plus rapidement, donnant aux attaquants de plus en plus de puissance de traitement pour épargner les attaques).

De plus, comme l'a souligné zakinster, HTTPS ne fournit pas d'anonymat, il ne fournit que la confidentialité. HTTPS ne masque pas l'hôte d'origine d'une demande ou l'hôte auquel la demande est envoyée. Il masque uniquement le contenu de la demande.

Un VPN peut fournir un certain degré d'anonymat, mais le VPN lui-même sait toujours qui y est connecté et il est toujours possible que quelqu'un puisse obtenir votre identité à partir du VPN (par exemple, ingénierie sociale/piratage du fournisseur VPN, assignation des forces de l'ordre pour obtenir des informations, etc.)

En outre, comme Hector l'a souligné, les FAI peuvent voir votre trafic réseau vers/depuis le VPN et peuvent potentiellement comprendre qu'il s'agissait de vous en fonction de l'analyse du trafic. Cela pourrait être aussi simple que de vérifier les horodatages des paquets et de les corréler avec le moment où l'hôte distant (Twitter) les a reçus.

100% anonyme n'existe pas. Une personne suffisamment déterminée et disposant des bonnes ressources pourra éventuellement vous trouver, quelles que soient les mesures que vous prendrez.

1
ag415