Choisir un service VPN prêt à l'emploi, est-ce sûr d'accéder à mes comptes Gmail, Paypal, ...?
Les comptes sont accessibles via https, mais je ne sais pas si avec un VPN il y a un canal sécurisé entre mon ordinateur et le serveur https, ou deux, c'est-à-dire [moi] <-> [serveur VPN] <-> [serveur https]
Si c'est le dernier cas, est-ce que l'administrateur VPN pourrait voir le trafic non chiffré entre moi et le serveur https?
Les connexions HTTPs ne peuvent réellement être validement effectuées qu'entre le client et le serveur https.
Si l'administrateur VPN était capable de décrypter le trafic, il aurait besoin d'un certificat SSL valide se faisant passer pour le domaine du serveur, avec une clé privée valide pour le certificat. Cela ne devrait pas être possible tant que les autorités de certification racine activées dans votre navigateur sont sûres. Pour en être sûr, gardez votre navigateur à jour.
Si un homme du milieu devait effectuer la méthode mentionnée sans cela, votre navigateur se plaindrait d'un certificat invalide.
Bien expliqué et faux, si l'administrateur VPN possédait "un certificat SSL valide prétendant être du domaine du serveur", il ne serait pas en mesure de déchiffrer les données - il aurait besoin du certificat SSL réel et complet que le serveur HTTPs distant utilise - et je doute beaucoup plus qu'un administrateur VPN puisse mettre la main sur cela pour gmail/paypal, etc.
Ils pourraient ne pas obtenir la clé privée du serveur HTTPS, mais si une autorité de certification racine non fiable permettait à quelqu'un de créer un certificat SSL avec le domaine paypal, ils pourraient pratiquer une attaque de type "man-in-the-middle". La probabilité que cela se produise est cependant faible.
Lorsque vous utilisez le trafic du site HTTPs/TLS/SSL est crypté entre votre navigateur (ou l'application initiant la connexion) et le serveur web qui vous propose des pages. Cela signifie que si un intermédiaire tente de "écouter" vos requêtes/réponses, tout ce qu'il verra est un trafic crypté.
Ce modèle de cryptage est le même que vous utilisiez un VPN ou une connexion internet standard.
La seule option sécurisée serait d'utiliser un vrai VPN. L'un des meilleurs qui fonctionne sur chaque système d'exploitation est OpenVPN. J'utilise Road Warrior VPN comme fournisseur VPN depuis quelques années. La raison pour laquelle je dis d'utiliser un vrai VPN comme OpenVPN est qu'il n'est pas possible pour quelqu'un de vous faire une attaque de type Man-in-the-middle.
Comme les autres l’ont dit, il s’agit généralement d’être sécurisé. Mais j’ajouterai cela pour être complet car personne d’autre n’a mentionné ceci.
Si le service vpn en question nécessite également un proxy, il est possible que le proxy utilise un certificat SSL de confiance pour s’insérer au milieu de cette communication. Cependant, cela nécessiterait que votre ordinateur fasse confiance au CA (autorité de certification) du proxy. Pour cela, vous devriez installer le certificat CA du proxy du service VPN dans votre navigateur. Cela pourrait également être fait en utilisant une stratégie de groupe dans un domaine Windows. Donc, en supposant que vous parliez d’un service tiers car la configuration ne nécessite pas une étape de confiance dans un CA soit dans votre navigateur soit dans le trousseau de clés CA de votre OS, alors votre trafic est sécurisé. Gardez à l’esprit qu’il existe quelques raisons légitimes de le faire, car cela est généralement fait pour que le flux de données puisse être analysé par la prévention des intrusions et les moteurs antivirus/antimalware.
Mais la demande https dans une telle situation ressemblerait à ceci.
[moi] <-> [serveur vpn] <----> [proxy] <--> [site web]
| |
certificat ssl falsifié par le proxy certificat ssl du site webAinsi, tout ce qui se trouve entre [moi] et [proxy] est sécurisé à l’aide d’un certificat falsifié signé par le CA de confiance du proxy, et tout ce qui se trouve entre [proxy] et le site web utilise le certificat d’origine du site web. Par conséquent, il y a une opportunité dans ce cas d’accéder aux données sur le proxy non cryptées.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
