Les risques cachés de l'utilisation d'OpenVPN
Ce document montre comment les FAI peuvent toujours détecter OpenVPN.
― 7 min lire
Table des matières
- Qu'est-ce qu'OpenVPN ?
- La montée des VPN
- Réaction des gouvernements
- Inspection approfondie des paquets et OpenVPN
- Identifier le trafic OpenVPN
- Modèles d'octets
- Taille des paquets
- Comportement du serveur
- Résultats de recherche
- La menace pour les utilisateurs
- Solutions à court terme
- Solutions à long terme
- Conclusion
- Source originale
- Liens de référence
L'utilisation des réseaux privés virtuels (VPN) a beaucoup augmenté ces dix dernières années, les gens prenant conscience des problèmes de confidentialité et de surveillance. Cependant, certains gouvernements essaient de restreindre l'accès à ces réseaux en les identifiant grâce à des technologies de filtrage avancées. Ce document examine comment certains VPN, en particulier OpenVPN, peuvent être identifiés même si les utilisateurs essaient de dissimuler leurs traces.
Qu'est-ce qu'OpenVPN ?
OpenVPN est une méthode largement utilisée pour créer des connexions sécurisées sur Internet. Il permet aux utilisateurs d'envoyer leurs données en toute sécurité en les cryptant avant qu'elles ne passent par le réseau public. OpenVPN utilise une technologie appelée tunneling pour établir ces connexions sécurisées, ce qui en fait un choix populaire pour les personnes qui veulent préserver leur vie privée en ligne.
La montée des VPN
Ces dernières années, l'utilisation des VPN a explosé. Les gens utilisent les VPN pour diverses raisons. Les activistes et les journalistes s'en servent pour protéger leurs informations dans des environnements sensibles. Les utilisateurs ordinaires veulent garder leurs activités Internet privées, surtout lorsqu'ils utilisent des réseaux Wi-Fi publics. La peur croissante de la surveillance et de la censure a poussé beaucoup de gens à se tourner vers les VPN.
Un exemple marquant est l'augmentation des téléchargements de VPN à Hong Kong après l'introduction d'une loi sur la sécurité nationale. Cet événement a mis en lumière comment la peur de la surveillance pourrait entraîner une augmentation spectaculaire de l'utilisation des VPN, alors que les gens cherchaient des moyens de protéger leurs activités en ligne.
Réaction des gouvernements
Avec la popularité croissante des VPN, certains gouvernements et fournisseurs d'accès Internet (FAI) ont réagi en essayant de suivre ou de bloquer le Trafic VPN. Ils soutiennent que c'est nécessaire pour la sécurité nationale. Par exemple, en Chine, les autorités ont ordonné aux FAI de signaler l'utilisation personnelle de VPN. D'autres pays comme la Russie et l'Inde cherchent aussi des moyens de restreindre les services VPN, les qualifiant de menaces.
Les FAI utilisent souvent des techniques de base pour identifier et bloquer les connexions VPN. Ils pourraient suivre les modèles de connexion ou bloquer les sites web de fournisseurs VPN connus. Cependant, ces méthodes sont souvent facilement contournées par des utilisateurs déterminés. Avec l'introduction de technologies plus avancées, les FAI peuvent utiliser l'inspection approfondie des paquets (DPI) pour analyser le trafic de manière plus précise.
Inspection approfondie des paquets et OpenVPN
La DPI permet aux opérateurs de réseau d'examiner les données qui circulent sur leurs réseaux à un niveau très détaillé. Cela signifie qu'ils peuvent identifier des types de trafic spécifiques, y compris les VPN. Ce document examine l'efficacité de la DPI pour identifier le trafic OpenVPN et si cela est possible sans provoquer trop de faux positifs.
Nous avons développé un cadre qui utilise deux étapes : une analyse passive du trafic et une sonde active des connexions VPN suspectes. En collaborant avec un FAI, nous avons testé ce cadre sur un trafic réel et avons découvert que nous pouvions identifier avec précision une part significative des flux OpenVPN, indiquant qu'il peut être efficacement bloqué.
Identifier le trafic OpenVPN
Notre recherche a identifié trois principales manières de reconnaître le trafic OpenVPN. Nous avons examiné des caractéristiques spécifiques dans les paquets de données qui pourraient révéler leur nature. La première méthode se concentrait sur les motifs dans les octets des paquets, tandis que la seconde examinait la taille des paquets. La troisième approche observait comment le serveur réagissait à diverses requêtes.
Modèles d'octets
Chaque paquet OpenVPN a un en-tête qui commence par un opcode indiquant le type de message. Ces opcodes peuvent être uniques à OpenVPN, et en analysant une série de paquets, nous pouvons créer un profil qui aide à les identifier. Cette méthode est efficace, même contre certaines méthodes d'obfuscation qui essaient de cacher les paquets.
Taille des paquets
Une autre façon d'identifier le trafic OpenVPN est d'analyser la taille des paquets. Différents types de paquets ont des tailles spécifiques et en surveillant ces tailles, nous pouvons identifier un trafic qui provient probablement d'une connexion OpenVPN. Cela peut être particulièrement utile pour distinguer les différents types de trafic.
Comportement du serveur
Le comportement du serveur en réponse à des requêtes spécifiques peut également révéler si une connexion utilise OpenVPN. En envoyant des requêtes soigneusement conçues, nous pouvons déclencher des réponses spécifiques du serveur qui peuvent indiquer son identité. Cette sonde active peut confirmer si une connexion suspectée est effectivement OpenVPN.
Résultats de recherche
Dans notre évaluation, nous avons travaillé avec un FAI de taille moyenne pour analyser une quantité substantielle de trafic. Nous avons découvert que nous pouvions identifier plus de 85 % des connexions OpenVPN avec très peu de faux positifs. Cela suggère qu'il est faisable pour les FAI de bloquer efficacement les services OpenVPN.
Nous avons également examiné divers fournisseurs de VPN qui affirmaient avoir des services obfusqués rendant leur trafic indétectable. Cependant, nous avons constaté que beaucoup de ces services étaient encore vulnérables à nos techniques de reconnaissance. Sur 41 configurations obfusquées que nous avons testées, 34 ont été identifiées avec succès.
La menace pour les utilisateurs
Les résultats ont des implications sérieuses pour les utilisateurs quotidiens. Beaucoup de gens croient que l'utilisation d'un VPN, surtout un obfusqué, garantira la confidentialité de leurs activités. Cependant, notre recherche montre que ce n’est pas garanti. Les utilisateurs dans des situations à haut risque, comme les activistes dans des pays autoritaires, peuvent ne pas réaliser que leur utilisation du VPN est détectable.
Pour les utilisateurs cherchant la confidentialité, le paysage semble préoccupant. Ils pourraient faire face à une réduction de débit ou à un blocage total de la part des FAI qui peuvent facilement identifier le trafic OpenVPN. C'est particulièrement inquiétant dans les régions où les VPN sont illégaux ou fortement surveillés.
Solutions à court terme
Pour répondre à ces préoccupations, nous proposons plusieurs stratégies défensives à court terme. D'abord, les fournisseurs de VPN devraient séparer leurs services obfusqués des connexions OpenVPN classiques. Cette séparation pourrait rendre plus difficile pour les FAI de détecter leur trafic.
Ensuite, utiliser un remplissage aléatoire peut aider à masquer la taille des paquets envoyés, rendant l'analyse des motifs de trafic plus difficile. Cela perturberait les méthodes qui s'appuient sur l'analyse de la taille des paquets pour identifier les connexions VPN.
Enfin, nous recommandons que les développeurs d'OpenVPN envisagent de modifier la façon dont leurs serveurs répondent aux tentatives de handshake échouées. Rendre ce processus plus imprévisible pourrait réduire l'efficacité des méthodes de sonde active utilisées pour identifier leurs services.
Solutions à long terme
En regardant vers l'avenir, nous prévoyons une lutte continue entre les fournisseurs de VPN et ceux qui essaient de bloquer ou de surveiller leur utilisation. Ainsi, nous encourageons les fournisseurs de VPN à développer et à adopter des techniques d'obfuscation standardisées qui peuvent mieux résister aux méthodes de détection.
De plus, les recherches futures devraient se concentrer sur l'équilibre entre le maintien de mesures de confidentialité solides et la garantie que les utilisateurs puissent toujours accéder aux services VPN quand ils en ont besoin.
Conclusion
En conclusion, notre étude met en lumière qu'OpenVPN, malgré sa popularité et l'utilisation de diverses techniques d'obfuscation, peut être efficacement suivi et bloqué par les FAI. Les utilisateurs doivent comprendre que même si les VPN offrent un certain niveau de confidentialité, ils ne sont pas totalement infaillibles. Les résultats de cette recherche devraient encourager à la fois les fournisseurs de VPN et les utilisateurs à prendre des mesures pour améliorer la sécurité et la confidentialité en ligne.
Titre: OpenVPN is Open to VPN Fingerprinting
Résumé: VPN adoption has seen steady growth over the past decade due to increased public awareness of privacy and surveillance threats. In response, certain governments are attempting to restrict VPN access by identifying connections using "dual use" DPI technology. To investigate the potential for VPN blocking, we develop mechanisms for accurately fingerprinting connections using OpenVPN, the most popular protocol for commercial VPN services. We identify three fingerprints based on protocol features such as byte pattern, packet size, and server response. Playing the role of an attacker who controls the network, we design a two-phase framework that performs passive fingerprinting and active probing in sequence. We evaluate our framework in partnership with a million-user ISP and find that we identify over 85% of OpenVPN flows with only negligible false positives, suggesting that OpenVPN-based services can be effectively blocked with little collateral damage. Although some commercial VPNs implement countermeasures to avoid detection, our framework successfully identified connections to 34 out of 41 "obfuscated" VPN configurations. We discuss the implications of the VPN fingerprintability for different threat models and propose short-term defenses. In the longer term, we urge commercial VPN providers to be more transparent about their obfuscation approaches and to adopt more principled detection countermeasures, such as those developed in censorship circumvention research.
Auteurs: Diwen Xue, Reethika Ramesh, Arham Jain, Michalis Kallitsis, J. Alex Halderman, Jedidiah R. Crandall, Roya Ensafi
Dernière mise à jour: 2024-03-06 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2403.03998
Source PDF: https://arxiv.org/pdf/2403.03998
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.
Liens de référence
- https://www.security.org/vpn/best/
- https://www.techradar.com/vpn/best-vpn
- https://www.cnet.com/news/best-vpn/
- https://www.tomsguide.com/best-picks/best-vpn
- https://www.pcmag.com/picks/the-best-vpn-services
- https://thebestvpn.com/
- https://www.wired.co.uk/article/best-vpn
- https://www.zdnet.com/article/best-vpn/
- https://www.cloudwards.net/best-vpn/
- https://www.internetsecurity.org/compare/usa
- https://www.top10vpn.com/best-vpn-for-usa/v/d/?bsid=c33se1kw011
- https://bestvaluevpn.com/usd/best-vpn/?utm_campaign=ggls-en-usa-gen
- https://www.nytimes.com/wirecutter/reviews/best-vpn-service/
- https://cybernews.com/best-vpn/
- https://vpnoverview.com/best-vpn/top-5-best-vpn/
- https://www.guru99.com/best-vpn-usa.html
- https://www.crazyegg.com/blog/best-vpn-services/
- https://www.forbes.com/advisor/business/software/best-vpn/
- https://blog.flashrouters.com/vpn/
- https://vpnpro.com/best-vpn-services/
- https://bestvpn.org/best-vpns-for-the-usa/
- https://www.safetydetectives.com/best-vpns
- https://www.tomsguide.com/best-picks/best-free-vpn
- https://www.top50vpn.com/best-vpn
- https://www.top10vpn.com/best-vpn/