ExpressVPN, Tor Browser et Q4OS Linux: un beau mariage de « Sécurité » avec « Anonymat » !
Exclusivité Le Blog Du Hacker : 10 Comptes ExpressVPN à gagner !!
Nous vous proposons de gagner 10 comptes chez ExpressVPN, chacun valable pour une durée de 6 mois.
Pour participer et tenter votre chance, c’est très simple, il suffit de partager cet article et de laisser un commentaire sous celui-ci.
EDIT: FIN DE l’OFFRE, les gagnants ont été contactés par e-mail, mais ExpressVPN lance régulièrement des promotions, peut-être que c’est le cas aujourd’hui ?
NOTE : Cet article explique l’installation d’ExpressVPN dans un cadre précis sous forme d’architecture sécurisée, destinée aux utilisateurs avertis. Si vous souhaitez uniquement lire le test complet d’ExpressVPN (débits, fonctionnalités, etc). Vous pouvez cliquer ici.
Table des matières
I. Introduction
Bonjour à toutes et à tous,
À l’instar d’un marché d’offres VPN en croissante évolution, j’ai choisi pour vous le célèbre éditeur ExpressVPN et son offre à 99.00€/an incluant une période d’essai de 30 jours satisfait ou remboursé ! ICI. L’installation d’ExpressVPN a été effectuée sous environnement système Microsoft Windows 8.1 Pro (CPU Intel i7 Skylake 6700, 32 Go mémoire vive DDR4, deux cartes graphiques Asus GTX 750 Ti…). La machine ayant servi à ces tests est branchée par câble réseau Ethernet sur une interface CPL, il faudra donc prendre en compte une déperdition du débit impactée par le réseau CPL de cette installation.
Tests réalisés sous abonnement FAI Orange avec une offre ADSL.
La phase d’installation du client ExpressVPN est rapide, la configuration par défaut s’installe automatiquement sans aucun souci. Malgré une console de gestion ExpressVPN en anglais, cela n’aura aucune incidence sur son utilisation qui reste très simple et minimaliste. Nous verrons juste après que la configuration par défaut d’ExpressVPN s’adapte à la plupart des besoins de l’usager lambda.
Afin de rendre un peu plus « Fun » cet article, j’ai décidé de faire plaisir aux passionnés du monde de « Linux » surnommés les « linuxiens », en agrémentant cette publication d’un test croisé à partir de deux systèmes d’exploitation phares, le premier tournant sous distribution « Q4OS Linux 64 bits » basée sur « Debian » et le second sous « Microsoft Windows« . Peut-être que vous ne connaissez pas cette nouvelle distribution « Q4OS Linux » ? Aucun souci ! Venez la découvrir avec nous, elle va vous plaire !
« Q4OS Linux » est un savant mélange de « Debian Linux » avec « Windows ». Pour ceux et celles qui n’ont jamais touché à une distribution GNU/Linux, nous allons découvrir rapidement ensemble la version « Live USB Q4OS 64 bits » (Debian) et l’installation du paquet Debian ExpressVPN à travers cette belle distribution que je qualifie de conviviale et presque « intuitive » !
Je complèterai cet article par une section « protection » dédiée à l’installation d’un logiciel antivirus et pare-feu sur la distribution « Q4OS Linux » (ClamAV, UFW), afin de sécuriser plus efficacement l’environnement utilisateur.
Par défaut, l’installation de la distribution « Q4OS Linux » ne propose pas le navigateur internet « Tor Browser« , aucun souci ! Nous verrons par la suite comment installer le package « Tor Browser ». Petite surprise, « Q4OS Linux » proposera durant l’installation d’installer le navigateur internet « Google Chrome » ! Cool ! Pour les adeptes du navigateur internet « Mozilla Firefox« , vous pourrez l’installer rapidement via le gestionnaire d’installation des logiciels « Q4OS Linux ».
Certains d’entre vous vont prendre peur en apercevant dans cet article que la distribution « Q4OS Linux » est en anglais, rassurez-vous tout a été prévu ! Il suffira de cliquer sur l’icône « Language Pack Installation » pour obtenir une distribution « Q4OS Linux » en français. À la différence de la distribution « Tails », « Q4OS Linux » n’est pas amnésique ! L’utilisateur pourra ainsi préserver toutes ses installations, configurations et données après chaque redémarrage de la clé Live USB Q4OS Linux.
Le volet des « logs » du « Client ExpressVPN » sera abordé synthétiquement dans la mesure où ce sont des utilisateurs « experts » qui seront amenés à utiliser cette fonctionnalité. Pour les utilisateurs « débutants », rassurez-vous, vous serez en mesure de comprendre sans difficulté ce chapitre des logs. Je pointerai notamment trois points importants, le protocole activé au démarrage du Client ExpressVPN, la vérification de la connexion réseau (Box Internet / DHCP ExpressVPN), l’écouteur générique d’ExpresVPN en LOCALHOST et le cycle automatique d’effacement complet de la table ARP (mesure de protection initiée par le Client ExpressVPN). Ce dernier point peut sembler évident pour les plus experts d’entre vous. Sauf que cette mesure de protection procédant à l’effacement automatique complet de la table ARP, toutes les 2 minutes, est visible sur les logs d’ExpressVPN mais pas chez d’autres fournisseurs de solutions « Client/Serveur VPN ». Nous y reviendrons plus loin en détail.
II. Préparatif et installation d’un environnement Linux dédié à cette présentation d’ExpressVPN
Faisons simple et pragmatique, je vous invite à suivre le tutoriel d’installation d’une distribution « Live USB Linux » du chapitre I jusqu’au VIII vers le lien suivant: https://www.leblogduhacker.fr/live-usb-tails-se-proteger-des-robots-scanners-et-de-lespionnage-massif-sur-le-web/ Il vous suffira de remplacer le fichier ISO « Tails » par celui que vous téléchargerez sur le site officiel « Live CD Q4OS 64 bits » ici
Pour plus de facilité, vous pouvez graver le fichier ISO « Q4OS Linux » directement sur un CDROM. Ce dernier vous servira à démarrer « Q4OS Linux » sur votre PC pour ensuite lancer l’utilitaire d’installation de votre clé « Live USB Q4OS Linux » directement accessible sur le « Bureau Gnome » (Q4OS Linux). Tout comme moi, vous pouvez aussi créer une machine virtuelle temporaire tournant avec la distribution « Live CD Q4OS Linux » (phase intermédiaire) dédiée à la création de la clé « Live USB Q4OS Linux« .
Rassurez-vous, si j’ai évoqué précédemment l’aspect « intuitif » de cette distribution « Q4OS Linux » ce n’est pas par hasard ! Au terme de l’installation du fichier ISO « Live CD Q4OS 64 bits », utilisez simplement le programme d’installation natif de « Q4OS » ci-dessous permettant la création d’une clé « Live USB Q4OS Linux ».
Au terme de l’installation de la distribution « Live USB Q4OS 64 bits » (installation sur une clé USB de 16Go) à partir d’une machine tournant temporairement sur la même distribution « Live CD Q4OS », vous devriez avoir ceci sur votre écran d’ordinateur:
Installation temporaire en « Live CD Q4OS » sur la machine virtuelle (VMWARE ou VirtualBox)
!!! Ne pas redémarrer !!!
Partitionnement de la clé USB avec 2 partitions « swap » (4 Go) et « / » (12 Go) à l’aide de l’outil automatique Q4OS (écrasement des partitions existantes)
Pour les plus experts d’entre vous, vous remarquerez que le démarrage de la clé « Live USB Q4OS Linux » est relativement lent. Si vous souhaitez optimiser le démarrage, je vous conseille de partitionner manuellement votre clé USB (ici clé USB 16 Go: 1 partition de 8.6 Go en swap montée swap et 1 partition de 7.2 Go en ext4 montée /) et éventuellement affiner le fichier d’échange (réduction et déplacement du Swap en RAM).
Vous pourrez également adapter, en fonction de vos besoins et matériels (CPU, mémoire vive, clé USB ultra rapide 3.0), vos propres réglages (éditer ‘/etc/sysctl.conf ‘ et ajouter la ligne ‘ vm.swappiness=10 ‘ pour régler le déclenchement du swap dès que la RAM a atteint 90% de son utilisation — reconfiguration du ‘ GRUB ‘ avec « Profile », voire même recompiler votre propre noyau etc.). Sans aucune surprise, la clé USB (bas de gamme) ayant servi à ces tests a « grillé ». Dans le cas d’une utilisation intensive, il est donc conseillé d’investir dans une clé USB plus performante du genre « Kingston HyperX Savage 64/128 Go 3.1« .
D’autres distributions GNU/Linux proposent notamment une meilleure panoplie applicative comme « Kodachi » que j’ai pu récemment tester avec la solution ExpressVPN. La distribution « Kodachi » s’adresse particulièrement à des utilisateurs avertis puisqu’elle intègre d’origine une offre gratuite VPN couplée au réseau « Tor » et dispose de la solution « DNSCrypt ». Les performances de la solution VPN native de Kodachi (gratuite) laissent à désirer (multiples coupures de la connexion VPN lors de téléchargement, confiance des serveurs VPN douteuse…), il sera donc préférable de lui installer une offre VPN payante, en l’occurrence « ExpressVPN » pour plus de sécurité et de fiabilité.
III. Procédure d’installation automatique de la clé « Live USB Q4OS 64 bits » à partir d’une distribution Q4OS
(ici Live CD tournant sur une machine virtuelle)
L’installation de la clé « Live USB Q4OS 64 bits » sera fera grâce à l’utilitaire (icône sur le Bureau) « Install Q4OS«
Un message demande à l’utilisateur de redémarrer l’ordinateur, répondre « Non » puis arrêtez « Live CD Q4OS » proprement, ensuite démarrez à partir de la clé « Live USB Q4OS » sur une autre VM ou bien un ordinateur.
Installation du package « Desktop Profiler » (Profil Bureau)
Cette étape est la plus importante de l’installation, elle sera un peu longue. Ici j’ai choisi d’installer le « Bureau Q4OS » de base sans les packages applicatifs recommandés (Suite Office, Mozilla Thunderbird, NVDIA Drivers, Skype, Dropbox, Teamviewer, VLC media player etc.). Lorsque le processus d’installation sera lancé, ne l’arrêtez surtout pas !
Normalement, lorsque vous ouvrirez pour la première fois le navigateur internet générique « Konqueror » de la distribution « Q4OS« , une fenêtre vous demandera d’installer « Google Chrome ». Si vous préférez « Firefox« , aucun souci, vous pourrez l’installer à partir du bouton « Install Applications »
Installation du package « Codecs propriétaires » (facultatif)
Afin d’obtenir l’ensemble des codecs multimédias nécessaires, « Q4OS Linux » offre la possibilité à l’utilisateur de les installer automatiquement.
Installation du package « Language Pack Installation » via « Live USB Q4OS Linux
Au terme de l’installation du package « Language Pack Installation » le système détectera la langue sélectionnée durant la phase d’installation de la clé « Live USB Q4OS », en l’occurrence le français. Il vous faudra redémarrer la clé Live USB Q4OS pour que le package puisse prendre effet.
Soyons prudents ! Je vous conseille de créer une première sauvegarde (clone) de votre clé Live USB Q4OS Linux dès à présent ! Si vous ne savez pas quel utilitaire choisir, vous pouvez utiliser « USB Image Tool Free » disponible sur le Net.
IV. Installation du package ExpressVPN sous distribution GNU/Linux (Q4OS Linux)
Pour certains d’entre vous qui êtes débutants cette étape pourra vous sembler difficile voire trop compliquée, rassurez-vous il n’en est rien ! Comme vous pourrez le constater plus bas il suffira de taper quelques commandes simples à travers une « Console Linux » (Terminal). Comme vous pourrez le voir, ceux et celles qui sont habitués au Bureau Windows ne seront pas dépaysés ! Nous verrons par la suite comment installer rapidement « ExpressVPN ».
Ouverture de la Console Linux (Terminal):
La « Console Linux » va nous permettre de saisir des lignes de commande « Linux » pour la suite des opérations. Pour ce faire, nous allons ouvrir une « Console Linux » en super Administrateur (super user) comme indiqué sur l’image ci-dessous ( Menu Démarrer Q4OS en bas à gauche de l’écran , comme sur Windows !). Vous devrez ensuite taper votre mot de passe « Super Administrateur » (super user) créé durant la phase d’installation de la clé Live USB Q4OS. Toutes les commandes d’installation qui suivront dans cet article devront être saisies dans cette même « Console Linux » (super Administrateur).
Ce Bureau ne vous rappelle-t-il pas celui de Windows !
Terminons par une mise à jour du système en tapant les deux commandes (super administrateur) suivantes:
apt-get update apt-get upgrade
Vérification de la connexion réseau
Avant de démarrer l’installation du package ExpressVPN sous « Q4OS« , vérifions l’état du service réseau et la configuration de l’interface réseau ‘ Eth0 ‘ (ici) en tapant les deux commandes successivement dans une « Console Linux« .
Comment ? C’est très simple ! Il suffit de cliquer sur l’icône « Menu Démarrer Q4OS » en bas à gauche de l’écran, comme sur Windows puis taper « terminal » dans le champ de recherche ci-dessus) .
Saisir successivement les deux commandes suivantes dans le « Terminal » (Console Linux):
/etc/init.d/networking status ifup eth0
Normalement, si vous êtes équipé d’une Box Internet, le résultat des deux commandes devrait ressembler à l’image ci-dessous. La première commande retournera l’état du service réseau avec « active (running) » affiché en vert confirmant que tout est OK.
La seconde commande renvoie le message « l’interface réseau eth0 est déjà configurée« , donc tout est OK à ce niveau ! Dans le cas contraire, n’hésitez pas à me solliciter par commentaire, je vous aiderai à régler ça.
Installation du package « ExpressVPN »
Lorsque vous souscrivez à une offre ExpressVPN, vous pouvez accéder immédiatement à votre compte Client ExpressVPN ainsi qu’à la page Web dédiée au téléchargement du package ExpressVPN. Beaucoup d’autres informations utiles seront mises à la disposition de l’utilisateur abonné. Notons au passage que la solution « ExpressVPN » propose 30 jours d’essai gratuit sans aucun engagement ! Vous l’avez compris, si nous voulons procéder à l’installation du « Client ExpressVPN » il faut au préalable avoir souscrit à un abonnement ExpressVPN.
Comme indiqué sur l’image ci-dessous, nous allons pouvoir récupérer le code d’activation ExpressVPN de son compte abonné ainsi que le fichier d’installation ExpressVPN à partir du navigateur internet lancé via la distribution « Live USB Q4OS Linux« .
Télécharger le paquet ExpressVPN sur le lien (Linux ici): https://www.expressvpn.com/setup#linux
Il est noté qu’un service « Chat online » est présent , il apparaît tout de suite après s’être identifié sur le portail ExpressVPN. Le Support ExpressVPN est réactif et répondra à toutes vos requêtes (en anglais pour l’instant).
Commandes à saisir dans une Console Linux (super Administrateur) pour lancer l’installation d’ExpressVPN:
Se positionner dans le répertoire où a été téléchargé le paquet ExpressVPN ici: /home/diki/Documents/
Lister le contenu du répertoire (ici) ‘ /home/diki/Documents/ ‘: ls
Installation du paquet ExpressVPN (ici): sudo dpkg -i expressvpn_1.1.0_amd64.deb
Activation du compte ExpressVPN (copier/coller son code licence): expressvpn activate
Choisir de partager ou non son expérience utilisateur avec ExpressVPN: ‘Y‘ ou ‘N‘
Connexion automatique (mode « Smart Location ») à un serveur VPN d’ExpressVPN: expressvpn connect
Pour de plus amples informations sur les commandes ExpressVPN, veuillez taper la commande: man expressvpn
Choix des serveurs VPN disponibles
Liste des serveurs VPN disponibles, saisissez la commande suivante: experssvpn list
Se déconnecter de la connexion VPN en cours: expressvpn disconnect
Se connecter à un serveur VPN de son choix exemple ci-dessous Guatemala et Colombie:
expressvpn connect gt1
expressvpn connect co1
Choix du protocole VPN sous environnement « GNU/Linux »
Sous plateforme « GNU/Linux », la sélection d’un protocole VPN s’effectuera via une ligne de commande à travers une « Console » comme indiqué sur l’image ci-dessous, en fonction des besoins de l’usager (sécurité, débit…).
Sélection automatique du protocole VPN: expressvpn protocol auto
Affichage des préférences: expressvpn preferences
! Astuce importante !
Comment configurer l’exécution automatique d’ExpressVPN au démarrage de la machine ? Vous allez devoir créer un ‘script’ pour ensuite… Je plaisante ! C’est très simple, ouvrez une « Console Super Utilisateur Linux » et taper la commande suivante (voir image ci-dessus):
expressvpn autoconnect true
Proposition de modules complémentaires pour ceux et celles qui ne savent pas trop quoi installer sur leur navigateur internet « Firefox » ou « Tor Browser »:
Tout le monde aujourd’hui connait plus ou moins l’extension « Adblock Plus » et « Ghostery« . J’ai sélectionné un module intéressant nommé « Agent Random Spoofer » pour les plus paranos de l’anonymat.
Installation du navigateur internet « Tor Browser »
Vous connaissez !?! Oui, Non ? Aucun souci ! Voici les lignes de commandes qui vous permettront de l’installer sur la clé « Live USB Q4OS Linux« . Nous allons tout d’abord télécharger son paquet sur le site officiel de « GitHub » ici: https://github.com/TheTorProject/gettorbrowser/releases
Commandes d’installation de « Tor Browser »
- Positionnez-vous dans le répertoire où a été téléchargé le fichier d’installation « Tor Browser » (ici ligne 151: cd /home/diki/Documents)
- lister le contenu du répertoire (ici ligne 152: ls)
- lancer l’extraction des fichiers d’installation (ici ligne 153: tar -xvJf tor-browser-linux64-6.0.8_en-US.tar.xz)
- positionnez-vous dans le répertoire d’installation des fichiers (ici ligne 154: cd /tor-browser_en-US/)
- lister le contenu du répertoire en cours (ici ligne 155: ls -lt)
- démarrer « Tor Browser » à partir d’une Console Linux sans privilèges « Super Administrateur » (ici ligne 156: ./start-tor-browser.desktop)
C’est fait ! Le navigateur « Tor-Browser » s’ouvre automatiquement, il ne vous reste plus qu’à le configurer et l’étoffer à votre convenance !
V. Quel est l’intérêt d’utiliser « Tor Browser » (réseau Tor) avec ExpressVPN ?
Le Duo « ExpressVPN » et « Tor Browser » offre plusieurs avantages. ExpressVPN assurera une meilleure sécurité de tout le trafic réseau entrant et sortant quel que soit l’application, le service ou le processus nécessitant un accès à internet à partir de votre machine (PC). ExpressVPN sera donc le seul point d’entrée et de sortie du trafic réseau totalement sécurisé (chiffré), lorsque vous accèderez à internet (effet entonnoir). Évidemment, tout le trafic réseau initié à travers « Tor Browser » aura aussi un seul et unique point d’entrée et de sortie, en l’occurrence celui d’ExpressVPN !
Nous obtenons donc une excellente protection par connexion VPN (ExpressVPN) couplée à une navigation internet via « Tor Browser » renforçant solidement l’anonymat de l’usager !
Il est évident que ce Duo, ExpressVPN et « Tor Browser », n’a d’intérêt que pour le surf sur le Net (sécurité et anonymat) et en aucun cas pour satisfaire des besoins de téléchargements massifs ou de visualisation de films vidéos en streaming.
En d’autre terme, lorsque l’usager aura besoin d’un meilleur débit notamment pour télécharger ou visionner une vidéo en ligne, il utilisera le navigateur « Firefox » classique ou « Google Chrome » (au choix) à travers ExpressVPN. Dans le cas contraire (surfe sur le Net, consultation de sa boite mail…), afin d’obtenir plus d’anonymat, l’utilisateur lancera « Tor Browser » à travers ExpressVPN.
VI. Protection de l’environnement « Q4OS Linux »
Afin de compléter le volet « protection » de cette belle petite distribution « Q4OS Linux« , je vous propose d’installer un antivirus et un pare-feu. J’ai sélectionné pour vous deux applications connues des « linuxiens », l’antivirus « ClamAV » fiable et performant couplé à l’applicatif pare-feu « ufw » qui facilitera les phases de configuration du pare-feu natif ‘ iptables ‘ s’avèrant compliqué pour les utilisateurs non avertis. Rassurez-vous, deux lignes de commande suffiront à installer l’antivirus et le pare-feu.
Ouvrir une Console en « super administrateur » (super user)
ANTIVIRUS ‘ ClamAV ‘
Commande d’installation de l’antivirus « ClamAV »:
apt-get install clamav clamav-freshclam
Commande d’exécution du « scan antivirus » sur le dossier /home ici:
clamav -i -r /home
Commande d’affichage des options de « ClamAV »:
clamav -h
PARE-FEU ‘ UFW ‘
Commande d’installation du pare-feu « ufw »:
apt-get update && apt-get install ufw
Commande status du pare-feu « ufw »:
ufw status verbose
Commande pour tout bloquer (rien ne rentre et rien ne sort):
ufw default deny incoming
Autorisation des principaux ports de sortie 80/TCP, 53/udp, 443/TCP:
ufw allow out 80/tcp
ufw allow out 53/udp
ufw allow out 443/tcp
Commande pour appliquer et valider les changements du pare-feu ‘ ufw ‘:
ufw disable && ufw enable
Soyons prudents ! Je vous conseille de créer une nouvelle sauvegarde(clone) de votre clé Live USB Q4OS Linux dès à présent ! Si vous ne savez pas quel utilitaire choisir, vous pouvez utiliser « USB Image Tool Free » disponible sur le Net.
VII. Installation d’ExpressVPN sur environnement « Microsoft Windows »
L’environnement « Microsoft Windows » offre évidemment ses avantages et ses inconvénients lorsqu’il s’agit de pointer l’aspect « sécurisation/protection » à travers la solution ExpressVPN. C’est la raison pour laquelle j’ai souhaité rédiger cet article sur les deux environnements « Leader » du marché, en l’occurrence Microsoft Windows » et « GNU/Linux ». À la lecture de cet article, chacun pourra ainsi se faire sa propre expérience, et choisir l’environnement de travail qui lui convient.
Détails de la configuration ExpressVPN
- Exécution automatique d’ExpressVPN au démarrage de l’ordinateur
- Mémorisation du dernier serveur VPN connecté
- Activation du système de sécurité « coupe circuit » au démarrage du PC
- Sélection automatique du protocole
- Activation automatique du serveur DNS d’ExpressVPN (il est conseillé de laisser par défaut le serveur DNS d’ExpressVPN)
La configuration par défaut du « Client ExpressVPN » est appropriée à la grande majorité des usagers. Je vous conseille dans un premier temps de laisser cette configuration par défaut surtout au niveau du protocole utilisé. Ce dernier est à modifier par des utilisateurs « experts ». ExpressVPN propose d’autoriser l’accès au réseau local pour des besoins de type « partages réseau ou imprimantes », par défaut (précaution) ce paramétrage n’est pas permis.
Une autre particularité du « Client ExpressVPN » est la possibilité d’alterner avec plusieurs comptes notamment si vous réussissez à parrainer un de vos amis ou proches, alors vous pourrez bénéficier d’un mois d’abonnement gratuit par compte parrainé !
En amont je vous ai conseillé de laisser par défaut le serveur DNS d’ExpressVPN ceci afin de vous éviter quelques « fâcheuses surprises » pouvant corrompre votre anonymat. Par mesure de précaution, je vous invite à installer sur votre machine hôte (PC) un serveur DNS en LOCALHOST du genre « Simple DNSCrypt » afin de renforcer la sécurité de votre trafic réseau. L’outil « DNSCrypt » s’installe rapidement et automatiquement sous environnement « Microsoft Windows » (lien téléchargement fichier ‘ .msi ‘ Windows : Simple DNSCrypt ici)
Choix des protocoles VPN:
Un protocole VPN est une convention de communication permettant de se connecter à un serveur VPN. Sous environnement Microsoft Windows, la sélection du protocole s’effectuera via une interface graphique utilisateur (voir image ci-dessus) en fonction des besoins de l’usager (sécurité, débit…).
VIII. Propriété du « coupe-circuit » ExpressVPN au démarrage de la machine HOST (machine physique)
Ce dispositif « coupe-circuit » est très important ! J’ai pu le tester à maintes reprises, il est pratique et très performant. Il sécurise et protège notamment l’anonymat de l’utilisateur lorsque la connexion réseau se coupe (anomalie) ou que le serveur VPN devient indisponible temporairement. Sans cette protection « coupe-circuit », l’identité de l’utilisateur passerait en clair sur le Net au moment d’une micro-coupure de la connexion réseau ou d’une indisponibilité du serveur VPN . Ce « coupe-circuit » se lance automatiquement au démarrage du PC et affiche le message de notification ci-dessous: « Coupe-circuit réseau actif. En cours de connexion…Le trafic internet est maintenant bloqué pour protéger votre vie privée »
IX. Choix de la localisation géographique des serveurs VPN et tests de débit
Récemment, le nombre de serveur VPN disponibles à travers le monde avec ExpressVPN a considérablement augmenté. Pour vous donner un ordre d’idée, au moment de ma souscription à l’offre ExpressVPN, il n’y avait que 4 serveurs VPN disponibles aux USA. Aujourd’hui, nous pouvons compter jusqu’à 24 serveurs VPN localisés et disponibles aux USA !
La raison de cette augmentation est logique, elle s’explique par le nombre croissant d’utilisateurs abonnés au service. Il est à noter que j’ai pu tester un par un chaque serveur VPN, ils sont tous opérationnels ! Le nombre de serveurs VPN est d’environ 150 répartis approximativement sur 87 pays.
Débit référence sans VPN 8,384Mb/s (FAI Orange Offre DSL) et avec ExpressVPN Paris 6.327 Mb/s
ExpressVPN Algérie
ExpressVPN Amsterdam
ExpressVPN Espagne
ExpressVPN Hong Kong
ExpressVPN Italie
ExpressVPN Japon
ExpressVPN Londres
ExpressVPN New-York USA
ExpressVPN Paris
ExpressVPN Russie
ExpressVPN Singapour
ExpressVPN Suède
ExpressVPN Suisse
ExpressVPN Whashington USA
Tests de débit film vidéo streaming avec ExpressVPN:
Streaming ExpressVPN Espagne: 474Kb/s
ExpressVPN Amsterdam: 542Kb/s
ExpressVPN Allemagne: 568Kb/s
ExpressVPN Paris: 660Kb/s
ExpressVPN Suède: 216Kb/s
ExpressVPN UK: 578Kb/s
ExpressVPN USA: 581Kb/s
X. Nouveautés de la solution ExpressVPN
Abordons maintenant quelques nouveautés de la solution ExpressVPN qui à ce jour est le seul fournisseur accessible sur le réseau Tor en ‘ .onion ‘.
L’ouverture du portail ExpressVPN sur le réseau Tor, via « Tor Browser » est donc accessible (.onion) mais pour des raisons de « développement en cours » certaines pages du site ne sont pas disponibles, notamment celle concernant le compte client ExpressVPN (« MON COMPTE »). Pour les fans du célèbre réseau social Facebook, vous serez ravis d’apprendre que ce dernier est accessible à travers une connexion totalement sécurisée (« HTTPS ») validée et certifiée par une autorité de certification de bout en bout de l’échange (maillage du réseau Tor) comme nous allons le voir plus bas.
Nous découvrons avec la nouvelle mouture de « Tor Browser » qu’il est maintenant possible de prioriser uniquement l’ouverture de pages web sécurisée en « HTTPS » garantissant ainsi la totalité du processus « d’authentification/identification » de bout en bout à travers les relais du « Circuit Tor« . Il semblerait donc que la problématique du dernier relais de sortie (maillon faible du circuit Tor) Tor ait été résolu… Pour ceux et celles qui s’interrogeraient sur l’accès au Darknet, je vous invite à lire l’article suivant: https://www.leblogduhacker.fr/les-risques-du-web-et-dune-protection-vpn-10-astuces-de-securite/
Le paradoxe de l’anonymat ! Quel est l’intérêt d’être anonyme sur Facebook via le réseau Tor quand on sait que Facebook sait tout de vous ?
La question est paradoxale puisque nous savons bien évidemment que dans ce cas de figure (Facebook via le réseau Tor) vous ne serez JAMAIS ANONYME ! L’intérêt de se connecter sur son compte Facebook via le réseau Tor, protégé en l’occurrence par une connexion ExpressVPN, est d’être « caché » des autres intermédiaires comme votre FAI ou encore de camoufler sa géolocalisation actuelle à Facebook ceci afin de contourner plus efficacement la censure de plus en plus présente sur la toile ! N’oublions pas que le relais de sortie du circuit Tor ne semblerait plus être un problème ou une faiblesse, étant donné que vous pouvez aujourd’hui utiliser le réseau Tor combiné à une offre VPN (ici ExpressVPN) pour ne partager que les informations que vous voulez et en l’occurrence uniquement avec Facebook !
Certains lecteurs auront quelques doutes sur l’aspect « sécurisation » des informations transitant sur un « Réseau Tor » lorsqu’ils seront connectés sur leur compte Facebook protégé par une connexion VPN (ici ExpressVPN). Rassurez-vous, nous allons découvrir qu’il n’en est rien ! Le processus d’authentification de chaque connexion à des portails « HTTPS », notamment celui de Facebook, est maintenant validé et certifié par une « Autorité de certification » qui certifie que l’identité de la « personne » (site Web) est bien celle qu’elle prétend être pour ensuite procéder à un second processus d’authentification simple par « identifiant + mot de passe » permettant d’accéder à vos informations confidentielles ! En voici une preuve ci-dessous, lorsque vous vous connecterez sur le portail https://www.facebookcorewwwi.onion/ vous n’aurez plus qu’à vous identifier !
Penchons-nous rapidement sur les risques de fuites DNS et la protection WebRTC nuisibles à votre anonymat et à la protection de vos données personnelles. Vous pouvez d’ores et déjà être rassuré car l’utilisation d’un Client VPN (payant) , en l’occurrence ExpresVPN combiné au « Réseau Tor » (Tor Browser) à travers l’utilisation d’une distribution « Live USB Q4OS Linux« , vous protège efficacement.
XI. Les logs ExpressVPN (journalisation des diagnostics)
Les logs d’ExpressVPN sont accessibles à partir de l’icône ‘ … ‘ (menu) puis sur l’onglet « Diagnostics« . Automatiquement un « bloc-notes » s’ouvrira affichant le logs ExpressVPN.
Observons d’un peu plus près les logs ! Nous pouvons voir sur le première ligne surlignée en jaune fluo (ici: « Connecting to France – Paris – 2, ip: 85… ») la localisation du serveur VPN à Paris. De suite après (ici: « MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1… » ) on remarque que le port d’écoute TCP dédié au « Management » est bien en LOCALHOST (127.0.0.1). Le protocole UDPv4 est correctement appliqué par ExpressVPN, par mesure de sécurité j’ai désactivé les propriétés TCPv6 sur toutes mes connexions réseau. Le serveur DNS ExpressVPN est bien configuré ici en 10.22.0.1
Le serveur DHCP ExpressVPN est quand à lui configuré sur la plage (ici) 10.22.9.142 / 10.22.9.141. Pourquoi voit-on une seule adresse IPv4 DHCP dédiée, en l’occurrence 10.22.9.141, au serveur DHCP et une seule adresse IPv4 DHCP dédiée au trafic sécurisé ExpressVPN ici 10.22.9.142 ? C’est une mesure de sécurité classique qui permet d’isoler totalement la plage DHCP d’ExpressVPN en la rendant accessible uniquement au serveur DHCP ExpressVPN et à la connexion réseau sécurisée ExpressVPN (trafic) utilisateur. Cette mesure de sécurité permet notamment d’éviter toute intrusion (attaques) à partir d’autres « sources malveillantes » potentielles sur le réseau local de l’utilisateur (pour faire simple)
Pour les plus curieux d’entre vous, si vous lisez un peu plus loin sur la même ligne du log « PUSH: Received control message: ‘PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 10.22.0.1,route 10.22.0.1…« , vous remarquerez que toutes les 60 secondes l’adressage DHCP change automatiquement pour plus de sécurité !
La dernière ligne surlignée (ici: « Successful ARP Flush on interface… » ) en jaune fluo est intéressante car elle démontre que le « Client VPN » efface complètement la table ARP de la machine hôte (PC). Nous savons que la plupart des intrusions sur un réseau local utilisent, à l’insu de l’usager, cette table ARP permettant notamment de lancer des attaques de type « ARP Poisoning / Spoofing » ! A chaque démarrage du « Client ExpressVPN » la table ARP est donc totalement vidée. L’effacement de la table ARP est répété automatiquement toute les deux minutes environ.
Voyons maintenant un cas problématique auquel vous pourriez être confronté, celui d’une coupure de la connexion internet (attaque potentielle sur le réseau local utilisateur). Ici, j’ai simulé volontairement une anomalie réseau en modifiant l’adressage IP statique initial (IP 192.168.1.31 soudée à la MAC de ma carte réseau Ethernet) en DHCP (adressage dynamique) sur mes propriétés TCP/IP (carte réseau Ethernet). L’idée est de voir comment réagit « ExpressVPN ». Comme nous pouvons le constater ci-dessous, les logs ExpressVPN affichent une nouvelle ligne concernant une erreur de lecture sur l’adresse IP interne statique initiale 192.168.1.31. Suite à cette « anomalie » ExpressVPN a coupé immédiatement la connexion internet sans altérer la connexion VPN ! En d’autre terme, l’intérêt ici dans ce test d’être en adressage IP statique (Box Internet / Carte réseau Ethernet) est d’être toujours sûr d’avoir toujours la même IP interne (ici 192.168.1.31) afin de pouvoir l’identifier dans les logs en cas de problème ou d’anomalie ou d’attaque potentielle sur le réseau local.
Comment corriger ce problème ? C’est très simple ! Il suffit de fermer votre navigateur internet puis déconnecter le « Client ExpressVPN » et le relancer ! Cool !
Certains lecteurs vont certainement évoquer la problématique des fuites DNS, car d’autres fournisseurs proposent un dispositif de sécurité intitulé « DNSLeak« . A titre d’exemple, certains fournisseurs de solutions « Client/Serveur VPN », que je nommerai pas, ont été contraint de désactiver automatiquement ce dispositif « DNSLeak » sur des machines tournant sous Microsoft Windows Vista/7/8 pour des raisons d’instabilité du système causée par ce même dispositif « DNSLeak », sauf pour la version « Windows 10 » !
Vous vous doutez bien maintenant que si ExpressVPN n’a pas introduit un dispositif « DNSLeak » (fuite DNS) dans sa solution, c’est tout simplement parce qu’elle n’en a pas besoin !
Poussons le volet sécurité un peu plus loin pour les plus aguerris. Pour des raisons évidentes, je ne vais pas épiloguer sur tous les volets possibles traitant de la « Sécurité ». En revanche, j’ai souhaité vous faire part d’une note d’information très souvent occultée ou « ignorée » des utilisateurs du système d’exploitation Microsoft Windows. Je vais être bref sur cette note technique.
Durant l’installation d’un logiciel ou d’une application quelconque, en l’occurrence ExpressVPN, sur une machine tournant sous Microsoft Windows, vous serez peut-être confronté à ce genre de découverte ou d’anomalie concernant un « compte inconnu » Windows ?!? Sans rentrer dans la technicité de la chose, l’idée ici est de vérifier que votre système de fichier NTFS Windows n’a pas récupéré un « compte inconnu » ayant le « Contrôle Total »provenant d’anciens « droits/permissions » (voir ci-dessous). Si vous vous trouvez dans ce cas de figure, vous devrez simplement supprimer le « compte inconnu » (plus d’explications par commentaires). Un vieux proverbe dit « Personne n’est parfait ! », c’est le cas de le dire à notre « ami Windows » ! Si ça peut vous rassurez, vous n’aurez pas ce genre de souci avec une distribution GNU/Linux !
XII. Interfaçage de la solution ExpressVPN avec un « routeur/pare-feu » dédié
L’approche évolutive de l’offre commerciale ExpressVPN est très pertinente dans la mesure où elle s’inscrit dans une sécurisation optimale de son dispositif. L’installation logicielle d’ExpressVPN sur un « routeur/pare-feu » dédié offre plusieurs avantages, notamment:
- Sécurité optimisée (stabilité fonctionnelle du VPN installé en « dur » directement à la source de votre réseau local)
- Gain de temps (plus besoin d’installer d’application sur vos appareils connectés chez vous)
- Protection immédiate héritée sur l’ensemble des appareils connectés sur votre réseau Wi-Fi ou filaire (PlayStation, Xbox…)
- Protège de la censure établie par certains pays
- Interface graphique utilisateur conviviale et « intuitive »
- Un dispositif en « dur » pour contrer les éventuelles fuites DNS
XIII. Jeux vidéos multijoueurs en ligne avec ExpressVPN
Passons maintenant au volet jeu vidéo multijoueurs en ligne. Pour ce test, j’ai opté pour un grand classique du genre, j’ai nommé « Battle Field 4 Premium » !
Précédemment, nous avons évoqué l’intérêt de combiner ExpressVPN avec « Tor Browser » afin de bénéficier des performances et de l’efficacité des deux solutions, c’est à dire la sécurité renforcée du VPN associée à l’anonymisation du réseau Tor.
Penchons nous maintenant sur les performances d’ExpressVPN avec « Battle Field 4 Premium » !
Revenons à l’environnement Windows sur lequel nous allons pouvoir testé « BF 4 » en mode multijoueurs en ligne via une connexion sur serveur VPN situé à Paris (FR). Je rappelle que la machine utilisée pour cet test est équipée d’une carte graphique Asus GTX 750 Ti (seconde carte graphique GTX 750 Ti désactivée pour ce test), d’un CPU i7 Skylake 6700, de 32 Go de mémoire vive (DDR4), un disque dur SSD Samsung 1 To, le tout vivant sur une carte mère Asus Z170 Gaming Pro (écran de marque BENQ 24″ à 300€). Il est à noter que toutes les phases d’installation de « Battle Field 4 » (téléchargements des packages BF4, plugin) ont été effectuées en étant connecté sur un même et unique serveur VPN localisé à Paris, ainsi que les phases de jeu vidéo multijoueurs en ligne (navigateur Firefox).
Première impression:
J’ai été surpris par la très bonne qualité de l’image, de l’excellente fluidité des mouvements et surtout des animations environnantes ! Certains d’entre vous connaisseurs de « Battle Field 4 » ou d’autres jeux vidéos multijoueurs en ligne évoqueront certainement l’aspect problématique d’utiliser une connexion VPN avec un jeu vidéo en ligne pour de multiples raisons. D’ores et déjà, je vous confirme n’avoir eu aucune restriction ou blocage émanant des serveurs « BF4 Premium », dans la mesure où j’ai pris le soin de toujours être connecté sur le même serveur VPN localisé à Paris (FR).
Mes premiers pas dans un couloir sombre en sous-sol où j’ai hésité à flinguer un ennemi virtuel à travers une fenêtre m’ont donné beaucoup de sensation forte et un côté « guerrier » que je ne me connaissais pas ! Je n’ai pour l’instant ressenti aucun lag sur des zones de combats violents où ça tirait tout azimut ! Vous remarquerez que le chargeur de mon arme est vide ! Instinctivement et par précaution j’ai volontairement déchargé mon arme par « peur » de blesser » quelqu’un ou d’exécuter un ami ! (rires)
XIV. CONCLUSION
Je vais tout d’abord dresser les avantages les plus pertinents de la solution ExpressVPN suivis des inconvénients que j’ai pu relever durant la réalisation de cet article (tests) .
J’ai aimé (avantages):
- La garantie 30 jours satisfait ou remboursé d’ExpressVPN
- Vitesse des serveurs ExpressVPN
- Niveau de protection extrêmement performant contre les attaques (« cyber menace »)
- Compatibilité d’ExpressVPN avec un large éventail d’appareils
- Niveau d’isolation réseau irréprochable (journal des diagnostics: détection d’anomalie réseau, purge cache DNS automatisé, IP DHCP recyclé…)
- Fonctionnalités et haute disponibilité des services (bande passante illimitée, téléchargement à volonté)
- Population des serveurs étendue sur un panel de zones géographiques judicieusement réparties
- Politique « no log » garantie (aucun journal de connexion sauvegardé)
- Installation simple et rapide sur les environnements « Microsoft Windows » et « GNU/Linux » (Ubuntu/Fedora: commandes intuitives, configuration simple)
- Sécurisation ExpressVPN renforcée par un dispositif « coupe circuit » très performant et fiable (reconnexion automatique au serveur VPN en cours d’utilisation)
- Services IP ExpressVPN non bloqués par les serveurs de jeu vidéo multijoueurs en ligne (testé sur Battle Field 4)
- Service Support Chat ExpressVPN très disponible et convivial
- Excellent « Support/tutoriels » fourni à travers l’Espace Client Utilisateur ExpressVPN.
- Ouverture sécurisée des services ExpressVPN sur le Réseau Tor (.onion)
- Tarif de la solution ExpressVPN testée (99€/an) en adéquation avec la qualité des services proposés
- Application ExpressVPN pour Smartphone Android, Iphone, Ipad, très bien conçue
- Possibilité d’interfacer et configurer la solution ExpressVPN sur un « routeur/pare-feu » dédié (choix de routeur Linksys avec ou sans configuration pré-installée)
Je n’ai pas aimé (inconvénients):
- Aucune période d’essai proposée (remplacée par la « Garantie Satisfait ou remboursé« )
- L’accès aux fichiers d’installation nécessite au préalable une identification en ligne (Compte Abonné ExpressVPN)
- Tarif de la solution ExpressVPN testée (99€/an) susceptible de freiner voir perturber le choix final de l’usager (Client)
Les différents tests effectués sur la solution « ExpressVPN » révèlent de très bonnes performances générales. Je n’ai constaté aucune anomalie d’ordre fonctionnel ou technique. L’interface graphique utilisateur est minimaliste, conviviale et « intuitive ».
La conclusion de cet article aurait pu être développée plus en détail, mais j’ai préféré opter pour un échange constructif à travers les commentaires qui seront postés. Nous pourrons notamment aborder des questions plus techniques afin de satisfaire l’ensemble des lectrices et des lecteurs. Je tiens par la même occasion à préciser que je ne répondrai qu’à des commentaires en relation avec la solution ExpressVPN, car je ne souhaite pas ouvrir de débat comparatif entre telle ou telle solution qui au final n’apporterait rien d’intéressant…
Dans l’attente de vos commentaires, réactions et suggestions,
Amicalement,
Diki
Article sous licence Creative Commons Attribution 2.0 FR