VPN open source : alternative plus sûre ?

CosmoCuck

SA- soldat de choc
Membre confirmé
Membre
Joined
Oct 25, 2021
Messages
580
Reaction score
1,256
Bonjour,

J'ai testé quelques vpn, et me suis pas mal documenté sur la question (en amateur, non en tant que développeur).
Si le vpn gratuit est à proscrire par principe (nos infos sont leurs ressources), le vpn payant en général plus sérieux n'en demeure pas moins un intermédiaire, dont il faut se méfier des garanties qu'il prétend apporter à notre confidentialité.
Comment savoir s'il ne garde pas nos logs contrarement à ce qu' il affirme ? Ses serveurs sont-ils fiables comme il le prétend ?

On connaît la musique : la juridiction, les propriétaires, le type de serveurs (RAM ou pas, opérés en direct ou non...), etc...qui inspireront plus oumoins confiance.

Mais toutes choses sensiblement égales par ailleurs entre vpn qui cochent les bonnes cases, comment distinguer l'honnête du filou qui garde des infos ou lésine simplement sur les coûts techniques, rendant des fuites plus probables ?

Et bien naturellement, comme pour tout software, le plus digne de confiance devrait être le plus transparent, celui qui donne à connaître l'entièreté de son code source, ie le vpn OPEN SOURCE. Ai-je vraiment besoin de développer pourquoi cette option est préférable au softawre propriétaire, en particulier concernant un vpn ? Là maintenant je peux pas 'j'ai Poubelles' (je dois m'occupper de toutes celles de mes des vacances), mais si quelqu'un me le demande sur ce thread je le ferais volontiers.
Spoiler : il ne s'agit pas de prétendre à l'infaillibilité urbi et orbi de cette solution, mais simplement de discuter de son éventuelle supériorité toutes choses égales par ailleurs sur le vpn propriétaire

Voici l'implicite : un open source sérieux techniquement (donc payant naturellement), qui ne communique pas que son code source, mais organise et publie aussi des audits dits indépendants et explicite sa structure de serveurs au public.
Egalement prérequis : un vpn qui ne demande aucune info personnelle, pas même un email (plus besoin de s'emmerder avec des mail anonymes même si c'est pas la mer à boire) et permet le paiement en XMR.

J'en connais mais souhaitais avoir l'avis des amateurs en la matière. En connaissez-vous de votre côté qui vous semblent fiables ?
Et également échanger des questions/réponses à ce sujet avec des personnes intéressées, qui pourrainet éclairer d'autres membres du forum sur leur choix en la matière..shoah fondamental s'il en est !

C'est d'autant plus important de mon point de vue que la cfg tor over vpn n'est pas réaliste pour un nombre important d'internautes qui n'ont pas des connexions suffisamment rapides, spécialement quand il s'agit de télécharger du contenu audio ou vidéo. Sans compter que passer par tor rend la connexion parfois capricieuse. Rien à y faire de fondamental ; c'est la nature de ce réseau en onion : l'onion c'est bon mais parfois c'est con ! (je ne rentrerai pas dans l'éternel débat entre le con et l'onion, moins serein et techniquement beaucoup plus délicat ;) ).

Donc je suppose que beaucoup de démocrates browsent ce site avec leur seul vpn, et ce encore plus quand il s'agit de télécharger leur émission favorite, d'où l'importance de ne pas se tromper de prestataire, ou disons plutôt de minimiser les risques de déconvenues en choisissant son vpn de la façon la plus pointilleuse qui soit, quitte à provoquer le nettoyage ethnique des mouches.

NB pour les gens non avertis : open source signifie que le code source du programme du vpn est communiqué au public qui peut alors le lire et vérifier (essayer en tout cas) d'y lever des loups ou simplement proposer des améliorations et des patchs de bugs éventuels. Cela ne signifie pas gratuit, car on ne peut pas forcément utiliser ce programme gratuitement (ça dépend de la licence).
 

CosmoCuck

SA- soldat de choc
Membre confirmé
Membre
Joined
Oct 25, 2021
Messages
580
Reaction score
1,256
https://www.privacytools.io/

Peu importe le VPN, tu n'as aucune certitude que celui-ci respecte le no-log.
OK, réponse lapidaire avec un lien hyper connu. merci mais je connais ce lien. T'es en train de me dire que nos données circulent à travers le réseau et qu'elles ont souvent vocation à y rester, qu'il faut se méfier des intermédiares. Je te remercie énormément mais c'était déjà compris dans la question.

C'est comme si tu me disais : t'as aucune garantie de ne jamais avoir un accident de la route, donc on s'en fout on conduit n'importe comment n'importe quelle bagnole à n'importe quelle vitesse...
Ça ne fait aucunement avancer la connaissance du sujet et surtout ça ne sécurise pas l'utilisateur.

A moins que tu n'aies à développer en quoi techniquement on ne peut absolument pas se fier au code source fourni par un vpn open source en matière de no logs ?
Et en quoi cette démarche open-source n'améliore aucunement la probabilité que le prestataire tienne sa parole de no logs par rapport à un vpn propriétaire ?
 

Un Four Pour Tous

SA- chef d'assaut
Membre confirmé
Membre
Joined
Aug 2, 2020
Messages
2,593
Reaction score
8,961
OK, réponse lapidaire avec un lien hyper connu. merci mais je connais ce lien. T'es en train de me dire que nos données circulent à travers le réseau et qu'elles ont souvent vocation à y rester, qu'il faut se méfier des intermédiares. Je te remercie énormément mais c'était déjà compris dans la question.

C'est comme si tu me disais : t'as aucune garantie de ne jamais avoir un accident de la route, donc on s'en fout on conduit n'importe comment n'importe quelle bagnole à n'importe quelle vitesse...
Ça ne fait aucunement avancer la connaissance du sujet et surtout ça ne sécurise pas l'utilisateur.

A moins que tu n'aies à développer en quoi techniquement on ne peut absolument pas se fier au code source fourni par un vpn open source en matière de no logs ?
Et en quoi cette démarche open-source n'améliore aucunement la probabilité que le prestataire tienne sa parole de no logs par rapport à un vpn propriétaire ?
Tout simplement parce que les configs peut-être modifier et il te faut premièrement, l'accès au serveur ainsi que les compétences pour les analyser.
 

CosmoCuck

SA- soldat de choc
Membre confirmé
Membre
Joined
Oct 25, 2021
Messages
580
Reaction score
1,256
Tout simplement parce que les configs peut-être modifier et il te faut premièrement, l'accès au serveur ainsi que les compétences pour les analyser.
C'est très succint mais merci quand même de ta réponse FOUR.
Tu penses donc que l'examen du code source en son état le plus récent ne préjuge en rien de la config sur serveur ?
Genre le code source dit/implique 'pas de log' mais la config serveur peut toujours le faire ?
Ça semble pouvoir faire sens mais je suis pas un crac en la matière.
D'où aussi l'intérêt de la transparence sur l'administration et la structure serveurs, mais là on touche aussi à la confiance.
Bon je vais tenter de creuser ça quand je peux. Je reste amateur de précisions en la matière ou d'autres apports.

merci d'avance
 

Un Four Pour Tous

SA- chef d'assaut
Membre confirmé
Membre
Joined
Aug 2, 2020
Messages
2,593
Reaction score
8,961
C'est très succint mais merci quand même de ta réponse FOUR.
Tu penses donc que l'examen du code source en son état le plus récent ne préjuge en rien de la config sur serveur ?
Genre le code source dit/implique 'pas de log' mais la config serveur peut toujours le faire ?
Ça semble pouvoir faire sens mais je suis pas un crac en la matière.
D'où aussi l'intérêt de la transparence sur l'administration et la structure serveurs, mais là on touche aussi à la confiance.
Bon je vais tenter de creuser ça quand je peux. Je reste amateur de précisions en la matière ou d'autres apports.

merci d'avance
Ca ne change rien d'avoir le code source publié. L'admin peut utiliser ce code source review par d'autres devs indépendants tout en ajoutant des scripts supplémentaires.
 

Copycat

SA- aspirant
Membre
Joined
Mar 16, 2021
Messages
109
Reaction score
138
Il s'agit d'apporter une énorme précision ! Le fait que le VPN soit open source n'a de sens que si les utilisateurs compilent eux même le logiciel. Si les utilisateurs se contentent de télécharger le binaire, alors il n'y a quasiment aucune différence avec les logiciels propriétaires fermés.
Je peux très bien publier un code source impec, le modifier en secret, compiler la version modifiée et proposer le binaire résultant comme étant le produit des sources non modifiées.
Du reste, même si le logiciel est open source, il n'y a aucune garantie sur le plus important, les serveurs. Impossible de sérieusement les auditer sans les compromettre.
Il n'y a pas d'échappatoire. Il faut, à un moment ou à un autre, faire confiance à quelqu'un comme dans toute activité impliquant des tiers humains.
 

CosmoCuck

SA- soldat de choc
Membre confirmé
Membre
Joined
Oct 25, 2021
Messages
580
Reaction score
1,256
Il s'agit d'apporter une énorme précision ! Le fait que le VPN soit open source n'a de sens que si les utilisateurs compilent eux même le logiciel. Si les utilisateurs se contentent de télécharger le binaire, alors il n'y a quasiment aucune différence avec les logiciels propriétaires fermés.
Je peux très bien publier un code source impec, le modifier en secret, compiler la version modifiée et proposer le binaire résultant comme étant le produit des sources non modifiées.
Du reste, même si le logiciel est open source, il n'y a aucune garantie sur le plus important, les serveurs. Impossible de sérieusement les auditer sans les compromettre.
Il n'y a pas d'échappatoire. Il faut, à un moment ou à un autre, faire confiance à quelqu'un comme dans toute activité impliquant des tiers humains.
Merci pour ta réponse sur la compilation. Ça fait pas longtemps que je suis conscient de ce truc et c'est vrai que personnellement je ne compile pas OS, crypto-wallet, etc...je me contente de télé le fichier 'à la bonne adresse', vérifier l'intégrité en contrôlant le hash et l'authenticité (quand possible) avec la vérif de signature.
Mais effectivement, si l'éditeur lui-même de l'open source s'avère retors, ces vérif ne suffisent pas. J'essaierai de me renseigner pour compiler du code (j'ai eu qu'une formation autodidacte succinte en python -pas pu consacrer plus de temps-, j'y connais rien en compilation)
 
Last edited:

CosmoCuck

SA- soldat de choc
Membre confirmé
Membre
Joined
Oct 25, 2021
Messages
580
Reaction score
1,256
Ca ne change rien d'avoir le code source publié. L'admin peut utiliser ce code source review par d'autres devs indépendants tout en ajoutant des scripts supplémentaires.
Merci pour ta réponse. C'est donc la marge de manoeuvre de l'admin des serveurs dans sa fonction même qui nous enlève toute certitude définitive sur l'absence de logs.
Je crois que j'y vois enfin plus clair. Un certain vpn payant anonyme open source évoque justement sa volonté et ses efforts pour expliquer, exposer sa structure et ses pratiques en termes de serveurs, pour aller plus loin dans la confiance avec les clients.
Mais d'après ta réponse, j'en déduis que tu peux toujours étudier ça, voir les visiter (ce qu'ils proposent !) pour constater les pratiques par toi-même, ça les empêchera pas de modifier la sauce quand ils voudront sans toucher au code source...Là on atteint effectivement la quadrature du cercle : pas de certitude absolue !
 

Un Four Pour Tous

SA- chef d'assaut
Membre confirmé
Membre
Joined
Aug 2, 2020
Messages
2,593
Reaction score
8,961
Merci pour ta réponse. C'est donc la marge de manoeuvre de l'admin des serveurs dans sa fonction même qui nous enlève toute certitude définitive sur l'absence de logs.
Je crois que j'y vois enfin plus clair. Un certain vpn payant anonyme open source évoque justement sa volonté et ses efforts pour expliquer, exposer sa structure et ses pratiques en termes de serveurs, pour aller plus loin dans la confiance avec les clients.
Mais d'après ta réponse, j'en déduis que tu peux toujours étudier ça, voir les visiter (ce qu'ils proposent !) pour constater les pratiques par toi-même, ça les empêchera pas de modifier la sauce quand ils voudront sans toucher au code source...Là on atteint effectivement la quadrature du cercle : pas de certitude absolue !
Tu es entrain de prendre la tête pour pas grande chose. Si tu veux consulter des sites nazis, utilise Tor.
 

Jean Chrysostome

SA- aspirant
Membre
Joined
Sep 3, 2022
Messages
16
Reaction score
25
Salut.
J'utilise le VPn Enikma pour du telechargement sur emule et pour acceder à n'importe quel site bloqué par mon FAi ou Google.
Ca fait 3ans maintenant et j'ai jamais été balancé par la société Enikma. Auparavant j'étais sur Hide my Ass, ils m'ont balancé à hadopi en 6 mois.
 
Top