Toutes les personnes concernées par leur sécurité et leur confidentialité sur le web connaissent les VPN les plus performants et The Onion Router. Savez-vous cependant qu'une méthode appelée Onion Over VPN existe pour combiner les deux sur le réseau? Qu'est-ce que cette méthode ? Comment fonctionne-t-elle ? Peut-on l'utiliser avec un VPN gratuit ? Est-ce la même chose que ce qui est proposé par certains VPN ? Est-ce utile d'utiliser Tor avec un VPN ? On vous explique tout.
La différence entre Tor et un VPN
Comment fonctionne un VPN ?
Lorsque vous vous connectez au serveur d’un VPN, le client crée un tunnel sécurisé entre votre appareil et son serveur dans lequel faire passer les données chiffrées. Le but est d’empêcher un observateur extérieur d’intercepter ces données et donc de savoir ce que vous faites précisément. Du côté de votre fournisseur d’accès Internet, il pourra voir la connexion à un serveur VPN, sans déterminer quelle est votre destination, par exemple un site web si vous utilisez votre VPN avec un navigateur. Quant à votre destination, elle ne recevra pas votre adresse IP, mais celle du serveur VPN. Ainsi, elle ne pourra pas déterminer précisément qui vous êtes et créer un profil sur vous. Les serveurs VPN étant présents dans de nombreux pays, se connecter à l’un d’entre eux permet également d’être localisé dans un autre pays que celui où vous vous trouvez physiquement, vous permettant ainsi de contourner les blocages géographiques.
Comment fonctionne Tor ?
Pour vous procurer plus d’anonymat en ligne, The Onion Router, plus connu sous le nom de Tor, utilise un système de relais. Chacun de ces relais ou nœuds est hébergé par des utilisateurs volontaires du service. Tor fonctionne sur un principe simple. Pour pouvoir espionner facilement votre navigation, il est nécessaire d’avoir au minimum deux informations : l’adresse IP, pour savoir qui visite un site donné, et la destination, pour savoir quel site est visité.
Pour éviter que ces informations soient obtenues par une seule entité, Tor fait passer vos données par plusieurs nœuds de son réseau et les protège par autant de couches de chiffrement qu’il y a de nœuds sur le chemin, généralement trois. Lors de votre connexion à Tor, vous arrivez sur le premier nœud, appelé entry node. Ce nœud voit votre adresse IP, mais pas votre destination. Également, votre fournisseur d’accès Internet peut voir que vous vous connectez à Tor, sans déterminer pourquoi. Le premier nœud enlève une première couche de chiffrement et passe le reste de vos données au nœud du milieu. Ce nœud est celui qui en sait le moins sur vous : tout ce qu’il reçoit comme informations sont l’adresse du premier nœud et l’adresse du nœud à qui il doit envoyer les données. Il enlève également une couche de chiffrement et envoie les informations au dernier nœud, l’exit node. Ce dernier ne connait pas votre adresse IP, ayant reçu uniquement celle du nœud intermédiaire, mais il enlève la dernière couche de chiffrement pour savoir quelle est votre destination et envoyer ainsi votre requête au site que vous souhaitez visiter. De son côté, le site visité reçoit lui l’adresse IP de l’exit node et ne sait pas d’où provient réellement le trafic.
Les avantages et inconvénients de la méthode « Onion Over VPN »
Dans une tentative d’améliorer encore plus la protection de leur anonymat et la sécurité de leurs données sur le web, certains utilisateurs sont tentés d’utiliser une méthode appelée « Onion Over VPN » ou « Tor Over VPN ». Ils se connectent à leur VPN en premier lieu, avant de se connecter enfin à Tor. Ainsi, les données sont à la fois chiffrées par le VPN et par Tor. Cette méthode a deux avantages principaux : le fournisseur d’accès Internet ne voit que la connexion au VPN et ne sait donc pas que l’utilisateur accède à The Onion Router par la suite et l’entry node reçoit l’adresse IP du serveur VPN au lieu de recevoir celle de l’utilisateur. Cette méthode peut être utile si vous habitez dans un pays où se connecter à Tor est plus suspect que de se connecter à un VPN ou si Tor est bloqué. Dans cette configuration, votre VPN ne voit pas non plus votre activité et votre destination au sein du réseau Tor.
Cependant, ce n’est utile que si vous faites explicitement plus confiance à votre service fournisseur VPN qu’à votre FAI, et que vous pensez que le réseau de votre VPN est plus sécurisé. Dans ces cas-là, il vous faut vous assurer d’utiliser un VPN réellement no log afin que la connexion à Tor ne puisse pas remonter jusqu’à vous. Si le fournisseur VPN respecte toutes ses promesses, vous serez ainsi plus protégé si le nœud d’entrée est compromis.
L’un des désavantages principaux de cette méthode est sa lenteur. Le réseau de Tor est déjà connu pour être particulièrement lent à cause de la nécessité de passer les informations entre plusieurs relais, mais ajouter un VPN ajoute une complication supplémentaire et donc renforce la perte de vitesse. Certaines personnes considèrent également qu’utiliser un VPN avec Tor n’apporte en vérité aucun avantage, ni désavantage.
D’autres avancent au contraire que l’utilisation d’un VPN avec Tor introduit un risque supplémentaire puisqu’il est désormais nécessaire d’avoir entièrement confiance dans une entreprise qui possède vos informations personnelles (lors du paiement par exemple), au contraire de la philosophie de Tor. Tor repose sur le principe qu’il n’est pas nécessaire d’avoir confiance en qui que ce soit sur le réseau, parce qu'il est très difficile qu’une seule entité arrive à contrôler assez de nœuds d’entrée et de nœuds de sortie pour surveiller et désanonymiser le trafic de quelqu’un au sein du réseau Tor. Et vous n'avez pas besoin de dévoiler des informations personnelles pour utiliser Tor.
Imaginons que vous décidez d'utiliser Tor en étant connecté à un Wi-Fi public : si vous vous connectez avant à un VPN qui ne respecte pas sa promesse de ne conserver aucun log ou information personnelle, il est facile de retracer votre connexion à ce Wi-Fi et à Tor en vous identifiant grâce à votre VPN, là où la seule utilisation de Tor rend cette identification plus difficile.
En règle générale, The Onion Router reconnait qu’utiliser un VPN avant de se connecter à Tor peut avoir des bénéfices dans quelques cas particuliers, mais cela nécessite que les personnes aient assez de connaissances techniques pour le faire correctement, au risque d’introduire des dangers supplémentaires pour leur anonymat dans le cas contraire.
Les serveurs Onion Over VPN des VPN
Quelques VPN, comme ProtonVPN ou NordVPN, proposent des serveurs Onion Over VPN ou Tor Over VPN. En un clic, ils vous proposent donc de vous connecter au VPN avant de vous faire passer automatiquement par le réseau Tor. De cette manière, ils vous promettent un accès aux sites Onion dans votre navigateur habituel, là où normalement, il est recommandé d’utiliser le navigateur Tor.
Mais le navigateur Tor est plus qu’un simple navigateur. Il est configuré de telle manière qu’il permet aux utilisateurs d’être anonymes dans la mesure du possible. Il vient avec NoScript, un add-on qui permet de contrôler l’exécution du JavaScript sur différentes pages, la fenêtre est d’une taille standard pour tous les utilisateurs pour éviter qu’ils puissent être reconnus à la taille de leur écran et, le plus important, à chaque fois que vous visitez un nouveau site, un nouveau circuit dans le réseau Tor est créé. De cette manière, si Facebook est ouvert dans un onglet et que vous visitez un autre site dans l’autre, Facebook n’a aucun moyen de savoir que vous visitez l'autre site et de vous y suivre. Le navigateur Tor possède de nombreuses autres fonctionnalités de confidentialité et de sécurité des données que les autres navigateurs ne possèdent pas par défaut.
Même si l’option Onion Over VPN incluse chez NordVPN et ProtonVPN semble pratique, elle peut donc être plus dangereuse pour votre anonymat dans certains cas. Utiliser votre navigateur habituel vous empêche de profiter de la sécurité conférée par le navigateur Tor. Il est nécessaire de déterminer ses besoins en matière de confidentialité avant d’utiliser cette méthode.
VPN Over Tor, l’erreur à ne pas faire
Les exit nodes sont probablement les nœuds les plus sensibles du réseau Tor. Il est d’ailleurs déconseillé aux particuliers d’en héberger sur leur connexion personnelle, au risque de s’attirer des ennuis avec les autorités. Ce sont ceux qui relaient le trafic vers sa destination et qui obtiennent donc cette information. S’ils sont contrôlés par des entités malveillantes, ils peuvent être un vecteur d’attaque, notamment des attaques de type man-in-the-middle, et poser un risque pour les utilisateurs de Tor. Certains seraient ainsi tentés de s’en protéger en se connectant à Tor puis en se connectant à leur VPN afin de cacher leur trafic au nœud de sortie. Également, les nœuds Tor étant publics, certains sites leur bloquent l’accès. Utiliser un VPN après s’être connecté à Tor pourrait résoudre ce problème puisque le trafic ne proviendrait plus de l'exit node mais du serveur VPN.
Mais c’est une fausse bonne idée. Avec cette méthode, tout passe par le tunnel du VPN et vous perdez donc l’anonymat et la confidentialité conférés par le réseau Tor. De plus, le nœud d’entrée obtient donc votre adresse IP et votre FAI sait que vous vous connectez à Tor. Pour ne rien gâcher, l’ensemble est compliqué à mettre en place, n'est généralement pas pris en charge par les VPN et est donc totalement déconseillé.
Tout savoir sur les VPN. Consultez nos autres définitions
- Qu'est-ce que le split tunneling et à quoi ça sert ?
- Quelles différences entre la navigation privée, TOR et un VPN ?
- Tout savoir sur votre adresse IP
- Qu'est-ce que le kill switch d'un VPN ?
- Zoom sur le protocole VPN Wireguard
- VPN ou proxy : quelles différences ?
- Protocoles et VPN : tout savoir et identifier celui qu'il vous faut
- Sécurité vs protection de la vie privée : les différences-clés
- Zoom sur les protocoles NordLynx et WireGuard
- storage11000 serveurs
- language100 pays couverts
- lan7 connexions simultanées
- moodEssai gratuit 45 jours
- descriptionPas de log de données
- storage6654 serveurs
- language111 pays couverts
- lan10 connexions simultanées
- moodEssai gratuit 30 jours
- descriptionPas de log de données
- storage8633 serveurs
- language112 pays couverts
- lan10 connexions simultanées
- moodEssai gratuit 30 jours
- descriptionPas de log de données