[Edit : Bluetouff a eu l'amabilité de répondre à mon troll sur son blog. Désolé pour cet edit tardif.]

…car il écrit beaucoup de bêtises en ce moment.

Quel dommage. Ce blogueur de renom est très bon quand il s’agit de parler de technique, mais quand il s’agit de parler d’éthique, il glisse parfois trop vite sur la pente savonneuse du troll.

Dernièrement, l’ami Bluetouff, particulièrement remonté, a écrit une petite série de posts sur les solutions d’anonymisation et de protection contre les lois stupides en « I », dans lesquels le VPN en prend plein la gueule.

Sur les posts Anonymat – Acte 1 : VPN et HADOPI… et vous vous pensez anonymes ?, Anonymat – Acte 2 : Les solutions d’anonymat tiennent-elles réellement leurs promesses ? et Notre Internet est malade, ne l’achevez pas…, après un titre provocateur et un billet trollesque, Bluetouff se radoucit en général dans les commentaires. C’est en répondant aux plus pertinents d’entre eux qu’il précise sa pensée en donnant les détails nécessaires à la bonne compréhension de son billet. On se rend alors compte qu’une fois muni de ces précisions et après avoir fait abstraction de l’impertinence du style des articles, ceux-ci contiennent finalement plus de raison que de trollitude.

Mais ça n’est pas le fait d’avoir dépassé le piège de la provocation grossière qui va m’empêcher de traquer les quelques bêtises de l’argumentaire de Bluetouff qui ont survécu aux commentaires lucides de ces articles. Non mais.

Plantons le décor :

Auteur : Bluetouff. Sujet : VPN et Anonymat sur le Réseau. Nombre d’articles contestables : trois. Trollomètre : Rouge.

Thèse : Le VPN, Çaylemal.

Les différents points de la thèse défendue par Bluetouff sont formulés plus clairement dans les réponses de celui-ci dans les commentaires que dans les articles eux-mêmes^[1]. Récapitulatif :

Les services de solutions de VPN spamment. Et disent des bêtises.

On connaît désormais la principale raison qui a poussé Bluetouff à écrire cette série de posts. Il s’est fait largement spammer et n’a pas apprécié cela, au point de faire deux articles rien que là-dessus. Dans les 4 raisons évoquées ici, les trois dernières concernent les services de VPN spammeurs. Comme Bluetouff se rend compte qu’en disant cela, il se contente de nous expliquer que la publicité c’est du mensonge et ça vous prend pour des imbéciles, il passe à d’autres points moins tautologiques.

Le VPN favorise la généralisation du chiffrement, qui est une mauvaise chose.

*Baff*.<- Ça, c’est le bruit de la claque que prend dans la tronche un cyberrésistant récemment converti au crypto-anarchisme comme moi^[2] lorsqu’il lit que la généralisation du du chiffrement est une mauvaise chose.
L’argument généralement utilisé pour défendre ce point est que les solutions de chiffrement (pour les particuliers) étaient autrefois des mesures extrèmes, utilisées notamment par certains cybercriminels. Si on passe au tout chiffré, cela ne facilitera pas le travail de la police pour coincer les cybercriminels noyés dans la mase des crypto-anarchistes lambda.
Il me semble que ce qui dérange Bluetouff, c’est que les VPN ne soient plus réservés aux criminels.
Je suis parfaitement d’accord avec Korben : la démocratisaion du crypto-anarchisme est une réaction normale.
N’oublions pas qu’avec HADOPI et LOPPSI nous sommes tous des criminels…
…puisque nous tuons un artiste à chaque fois que nous téléchargeons illégalement une œuvre ou que nous mettons les Français en danger quand nous nous opposons au DPI.
Tout délinquant essaye d’échapper à la répression. Si désormais nous sommes tous des délinquants, il est naturel que nous essayions tous d’échapper à la répression.

Remarque : Bluetouff clarifie sa pensée dans sa réponse à Korben : selon Bluetouff, il ne faudrait pas se cacher pour exercer notre activité illégale. D’ailleurs il ouvre son Wifi. C’est son choix. Mais dans un État en train de virer totalitaire, parmi les êtres véritablement humains travaillant à la sauvegarde de leurs libertés, je donne d’avantage de chances de survie aux « planqués » qu’aux héros contestataires.

Mais je m’arrête là, je déborde un peu trop sur ce post.

Focalisons-nous sur le troisième point de l’argumentaire de Bluetouff :

Les VPN ne garantissent pas, à eux seuls, la sécurité. Et ceci pour trois raisons :

Les VPN ne suppriment pas la principale faille de sécurité du système : l’interface chaise-clavier.

Donc là de deux choses l’une : soit je vous ai meni en disant que Bluetouff en avait fini avec les tautologies, soit le lectorat de Bluetouff’s blog n’est finalement pas aussi élitiste que peuvent le faire croire ses articles très pointus sur la sécurité informatique.
Il est évident que les bases de l’anonymat s’appliquent toujours (et pas que pour les VPN, idem pour les proxys, TOR, darknets, etc…). Ne pas utiliser de programme strictement privateur, mettre ses softs à jour, ne pas mélanger sa « vraie identité » (« Madame Michu, utilisatrice Facebook ») et sa « fausse identité » (« Guy Fawkes, utilisateur 4chan »)…

Les solutions anonymisatrices VPN (que j’appellerai désormais VPN as a Service, pour simplifier) posent un problème de confiance technique, exactement comme n’importe quelle solution SaaS

Face à ce problème, 2 solutions : déminitéliser le net et avoir son propre VPN, comme certains ont leur propre cloud at home (bon le problème c’est qu’il faut s’héberger à l’étranger dans un pays libre, ce qui n’est pas à la portée de tout le monde^[3]), ou au minimum valider le VPNaaS contre soi-même (pour reprendre les termes de Gourmet), c’est-à-dire inspecter les logs sur ses propres serveurs (sécurité du contexte) et passer un petit coup de Wireshark sur les flux sortants (sécurité du contenu).

Les VPNaaS posent un problème de confiance éthique

…exactement comme n’importe quelle soluion SaaS, là encore (même si ici le problème est plus grave car on nous vend de la sécurité).

Là encore, 2 solutions : avoir son propre VPN, comme dit précédemment, (ou bien avoir un certain talent dans l’établissement d’une relation de confiance : connaître très bien le proprio du VPN, se servir de son intuition (celui qui par exemple ne propose de payer que par Paypal, qui propose un logiciel proprio pour se connecter et spamme les blogs est peut-être moins fiable que celui qui est soutenu par l’EFF et Amnesty…) ou se tenir au courant des scandales (si un client d’un grand VPNaaS se fait pincer ça se saura sûrement assez vite)…), ou chaîner les VPN pour optimiser la confiance (logique des réseaux TOR ou JonDo). Je suis d’ailleurs assez partisan d’établir une base données collaborative des VPN, avec un indice de fiabilité technique/éthique. Ce sera peut-être l’objet d’un autre billet sur ce blog.

Commentaires intéressants (liste non exhaustive):
Bluetouff
Grysyl
deadalnix
Grysyl
Je termine par moi :
gnuzer (avec une réponse intelligente de Bluetouff)
gnuzer (avec une réponse à la hauteur du pseudo en face, mais pas de réponse de Bluetouff : dommage, on aurait bien voulu savoir ce que c’est, selon lui, « la panacée ».)

Les VPN minitellisent le Net

Ça, c’est de loin le point le plus intéressant de l’argumentaire de Bluetouff. On peut l’interpréter de plusieurs façons :

• L’apsect SaaS : effectivement, avec un VPNaaS, on met son trafic entre les mains d’un tiers, avec tous les problèmes que cela engendre. Comme quand on souscrit à un FAI commercial au lieu d’être son propre FAI. Pour des solutions (ou des débuts de solutions), voir les deux points précédents.

• L’aspect NAT : placer sa connexion derrière un gros nœud, c’est très mauvais. Plus d’IP publique -> on quitte la logique du net.
  Mais alors l’usage d’un VPN ne diffère pas de celui d’un proxy : on utilise sa vraie IP pour son serveur web, on utilise le proxy simplement pour surfer.
  Pour le P2P, rien ne change à ce niveau-là (on est toujours à la fois client et serveur, il y a juste un nœud de plus dans le réseau).
  Ceci dit certaines technologies un peu sophistiquées doivent permettre de déminitélieser le net malgré l’utilisation d’une solution anonymisatrice type VPN. Je pense par exemple à The Hidden Tracker, le fameux tracker bittorrent invisible, qui est un véritable serveur anonyme et dont je ne pourrais pas détailler le fonctionnement assez complexe, mais dont je sais que ça n’est pas du Minitel et que ça fonctionne. ;)

• La logique du Réseau : Si j’ai bien compris les conférences de Benjamin Bayart sur la nature du Réseau, Internet est, dans le modèle TCP/IP simplifié, composé de deux grandes couches :  la couche Transport et la couche Applications. Le génie de la technologie d’Internet repose sur le fait que ces deux couches sont totalement indépendantes, la couche transport étant là pour faire en sorte que la couche applicative fonctionne dans sa globalité, sans en différentier les usages.Dans la couche transport, la logique est d’avoir un réseau de nœuds reliés entre eux qui font passer bêtement les données entre des extrémités intelligentes. Le réseau se débrouille pour faire passer les paquets par le chemin le plus court et le moins encombré.

  Dans la couche applicative, la logique est d’avoir des protocoles fonctionnant de différentes manières pour permettre différents usages.

  La couche applicative n’est pas forcément une copie virtuelle de la couche transport. Par exemple, il existe des applications qui suivent la logique de la couche transport (comme le P2P, où les ordinateurs sont égaux entre eux, ou les réseaux de type ANTS ou MUTE où les ordinateurs font passer les paquets par le chemin le plus court, un peu comme le font les nœuds de routage dans la couche transport) et d’autres qui ne suivent pas cette logique (par exemple les réseaux de type client-serveur comme le web). Certes les applications qui suivent la logique de la couche transport sont « meilleures » d’une certaine façon, puisque la logique du fonctionnement de la couche transport est bonne à la base, mais ce n’est pas pour autant que les autres applications trahissent la logique de l’Internet. La logique du Net, c’est avant tout d’un côté une couche transport qui fonctionne d’une manière bien précise, et de l’autre une couche applicative qui permet de faire à peu près ce que l’on veut, indépendamment du fonctionnement de la couche transport.

  Le reproche fait par Bluetouff au VPN est que celui-ci casse la logique du Réseau en ajoutant un intermédiaire dans la connexion. Ainsi, les paquets ne sont plus routés par le chemin le plus court, mais forcés à passer par un nouvel intermédiaire (souvent éloigné géographiquement), le VPN.

  En réalité ce mode de fonctionnement ne dégrade en rien le bon fonctionnement du Réseau, car les connexions VPN concernent la couche applicative : il faut alors voir le serveur VPN comme une extrémité et non comme un nœud du réseau. Les paquets sont bien routés entre le client et le VPN par le chemin le plus court. Ceux-ci sont renvoyés par le VPN et atteignent leur destination finale par le chemin le plus court. La logique de fonctionnement du Réseau n’est donc pas plus altérée que lorsque deux parisiens utilisent pour chatter un serveur jabber situé à Berlin, au lieu d’utiliser un serveur jabber local sur leur machine. Ça n’est pas la manière la plus intelligente de faire passer des paquets, certes, mais la logique du Réseau n’en est pas remise en cause.

  On peut voir la chose encore d’une autre manière, en se disant que finalement si : la couche applicative, même truffée de VPN, respecte la logique de la couche transport. Il suffit pour cela de considérer un lien entre deux nœuds du réseau non pas comme une liaison physique, mais comme la combinaison d’une liaison physique et d’une liaison sociétale. Si X envoie à Y le fichier « copyrightedblockbusterdvdrip.avi » en peer-to-peer, il existe bien une liaison physique entre X et Y. Cependant comme la loi interdit cet échange, la liaison sociétale est coupée à cet endroit-là. Que fait le réseau lorsque que la liaison la plus courte est coupée ? Il passe par une liaison plus longue. X et Y se connectent donc à un VPN de manière à rétablir leur liaison sociétale. Dans ce cas de figure la société est un réseau qui, d’une certaine manière, suit la logique de la couche transport.

  C’est pourquoi si le fait de faire passer l’information par un intermédiaire supplémentaire est absolument débile dans un pays où on autorise le Net à fonctionner normalement, c’est en revanche parfaitement raisonnable dans un pays où le gouvernement a des tendances orwelliennes.

  À ceci Bluetouff pourra m’objecter que si on ne détruit pas la logique du Réseau en utilisant des VPN, en pratique le Réseau s’en trouve quelque peu modifié. En effet, si je me connecte à un serveur près de chez moi via un VPN situé à Amsterdam, les paquets parcourront une distance beaucoup plus grande que si la connexion était directe. Il s’en suivra des problèmes tels que : consommation supplémentaire de bande passante, consommation supplémentaire d’électricité, facturations supplémentaires entre les opérateurs, etc.

  À cela j’ai envie de répondre que l’optimisation de la consommation n’est pas une fin en soi (si on se focalise sur l’usage du Réseau). Je vois ces surcoûts engendrés plus comme un effet collatéral du système répression + résistance.

  Ceci dit d’autres pistes intéressantes ont été proposées dans les commentaires sur ce point :

  Grunt
  Grysyl
  sebyuku qui parle des seedbox, un autre solution assez proche du VPN, mais sur laquelle je serais curieux de connaître l’avis de Bluetouff. Idem pour les darknets type ANTS ou MUTE.
  Bluetouff

[1] Ça n’est pas un reproche. J’ai moi-même bien plus d’inspiration pour les dialogues que pour les monologues. C’est pourquoi je vous invite volontiers à troller en bas de mes articles.

[2] À prendre avec des pincettes, hein. Je ne pratique pas (encore) réellement le crypto-anarchisme. J’adhère simplement depuis peu à l’idée de chiffrer toute donnée transportée sur un réseau grand public y compris lorsque ce n’est pas nécessaire à l’exercice de ses libertés fondamentales, comme un moyen non-violent de mettre des bâtons dans les roues des charrues qui nous gouvernent.

[3] Encore que… Nos brillants hommes politiques n’ont pas tenu compte de la possibilité d’héberger un VPN chez soi lorsqu’ils ont écrit la loi Hadopi. Dans le cas où j’héberge un VPN chez moi, c’est au juge de trancher s’il y comprend quelque chose. À ce moment-là je pense qu’il est inutile de s’embêter à installer un serveur VPN sur son ordinateur. « J’hébergeais un VPN chez moi au moment des faits : un dissident chinois à qui je proposais un peu de liberté d’expression s’en est servi pour télécharger Les Bronsés 3, le vilain. Mais depuis j’ai formaté mon disque dur et ai perdu les logs, pas de pot. » me semble alors une excuse tout à fait valable.