Hackable Magazine 28

Arduino / Flash / Mémoire : 

Utilisez la mémoire “secrète” de vos ESP8266 !

  • Configurez la mémoire SPIFFS inutilisée
  • Copiez vos fichiers depuis l'ordinateur
  • Lisez/écrivez les fichiers en flash

Plus de détails

OU
NOUVEAU ! Ce numéro est également en vente sur :
en téléchargeant notre application DIAMOND KIOSK

7,74 €

 
sommaire

Ardu'n'co

p. 08 Combien faut-il taper de chiffres pour trouver un code à 4 chiffres ?
p. 20 Compresser des images en noir et blanc efficacement et simplement

En couverture

p. 30 Stockez des fichiers dans la flash de vos ESP8266

Embarqué & Informatique

p. 44 Recyclez votre vieille souris en capteur

Repère & Science

p. 62 Gérez et manipulez les bits comme un chef
p. 70 Modélisation 3D avec OpenSCAD

Démontage, hacks & récup

p. 88 Z80 : une exécution pas-à-pas qui fonctionne

édito

Le VPN. Une brique, rien de plus...

Avez-vous remarqué la profusion, sinon l’overdose d’annonces, de publicités et de sponsoring YouTube autour des solutions VPN en ce moment ? Laissant majoritairement entendre que cette approche technique est LE remède absolu à la surveillance en ligne et aux problèmes de protection de la vie privée en ligne, cette avalanche de propositions de services, payants bien sûr, n’est toutefois pas le médicament miracle ultime, loin de là.

Mais qu’est-ce donc, tout d’abord, qu’un VPN ? Cet acronyme de Virtual Private Network ou réseau privé virtuel en bon français est un système permettant de construire un réseau sur ou dans un réseau existant déjà physiquement. En plus de cet aspect virtuel donc, s’ajoute celui du caractère privé de la chose puisque l’idée même du VPN est de construire un réseau qui vous appartient (en théorie) ou, du moins, qui n’est pas accessible publiquement.

Voyez simplement cela comme le fait de créer ce qui paraîtra être un réseau local, comme celui qui est présent chez vous, filaire ou Wifi, mais trouvant place dans un réseau plus grand et public, comme Internet. Pour différencier et séparer ce qui circule dans votre réseau virtuel et le reste du net, on utilise le chiffrement. Ainsi, ce qui circule dans le VPN est illisible pour qui se trouve en dehors.

Voici pour le concept technique de base, mais ces derniers temps, la perception du public concernant les VPN nous oblige désormais à distinguer deux sens au terme « VPN ». Le premier est celui que je viens de décrire et qu’il vous est possible de créer relativement facilement en utilisant des logiciels libres comme OpenVPN ou WireGuard. Vous avez des ordinateurs un peu partout sur le net et les connectez entre eux pour former un réseau bien à vous. Vous pouvez ainsi accéder à n’importe quelle machine depuis n’importe quelle autre dans le VPN sans que quiconque puisse voir ce qui circule dans ce réseau ; ni les autres internautes, ni des vilains espions, ni même votre fournisseur d’accès. C’est comme si vous aviez tiré des câbles Ethernet virtuels entre ces machines. Vous pouvez également configurer l’ensemble pour qu’une des machines partage sa connexion internet et que toutes les autres accèdent aux sites web, par exemple, via cette dernière. Les seules choses qui seront alors visibles, hors du VPN, ce sont les connexions provenant de cet ordinateur vers les sites et inversement. Exactement comme ce qui circule dans votre réseau local n’est visible que de vous, mais ce qui sort de votre box est « public » et identifiable par l’adresse IP de votre box et non votre adresse locale. Dans un VPN, la machine qui fait office de point de sortie est l’équivalent de votre box/routeur.

C’est là que nous arrivons à l’autre notion de VPN qui gagne actuellement en popularité à grands coups de campagnes commerciales. Imaginez que votre VPN fait main soit tellement gros que vous avez configuré des points de sorties vers le Web un peu partout. Tout fonctionne parfaitement et vous avez très envie de partager cette merveille avec d’autres, sous réserve d’une petite contrepartie financière. Vous allez donc permettre à d’autres utilisateurs d’utiliser votre VPN tout en prenant soin de bien séparer le trafic de chaque utilisateur. Ils pourront même choisir par où « sortent » leurs connexions parmi les machines que vous aurez configurées de la sorte. Le tout avec un minimum d’installation et une configuration aisée faite directement depuis leur navigateur web.

Voilà très exactement ce que proposent les prestataires communiquant massivement actuellement pour vous louer leurs services de VPN.

Est-ce une solution pour garantir la protection de votre vie privée ? Pas vraiment.

Imaginez cela d’une autre façon : vous voulez envoyer un message à M. Martin dans une grande entreprise quelconque. La méthode classique consiste à griffonner votre petit mot sur un bout de papier, prendre votre voiture et aller le déposer à l’accueil de sa société. Le mot suit alors, dans le bâtiment, tout un parcours jusqu’à M. Martin et tout le monde peut le lire. Avec un VPN, vous êtes un peu plus malin, vous glissez la note dans une enveloppe et la confiez à un ami, qui la remet à un autre ami qui l’apporte à l’accueil. Là elle est ouverte et transmise à M. Martin. Certes, l’ami à qui vous confiez l’enveloppe ne peut pas en voir le contenu, et l’accueil ne saura pas que c’est vous qui avez émis la note. Mais passé ce point, tout un tas de gens peuvent encore lire ce que vous avez rédigé. De plus, si quelqu’un surveille votre domicile, certes il ne vous verra plus aller dans la société de M. Martin, mais il verra toujours que vous transmettez une enveloppe à un ami. Enfin, l’ami qui remet l’enveloppe est aussi celui qui l’ouvre et il peut également lire votre mot.

Dans le cas d’un abonnement à un service de VPN, le principe est le même et les limitations identiques. Lorsque vous vous connectez à hackable.fr de cette manière, effectivement, votre fournisseur d’accès ne voit pas cette connexion et ne peut lire les données échangées. Ce qu’il voit en revanche est une connexion au VPN et que des données circulent. La société fournissant le service de VPN en revanche, elle, doit connaître la destination de vos données pour accéder au site et verra donc le trafic en question. La seule chose qui vous protège contre l’enregistrement de ces connexions et la transmission de ces informations à un tiers est... une promesse. Techniquement, absolument rien n’empêche les personnes en charge du VPN de surveiller vos connexions comme ils l’entendent. C’est donc une simple question de confiance et on est en droit de se demander pourquoi davantage l’accorder à un fournisseur d’un tel service plutôt qu’à son fournisseur d’accès, qui vous dira, lui aussi, ne rien surveiller de façon injustifiée.

Une telle solution VPN n’est absolument pas équivalente à ce que permet de faire Tor, par exemple, où chaque point relais est incapable de lire vos données et où le point de sortie est aléatoire et, lui, ne sait pas d’où viennent les données. Le fournisseur VPN, sait parfaitement d’où viennent les connexions, où elles vont et, surtout qui vous êtes, puisque vous avez donné votre identité pour vous abonner au service et l’aurez très certainement payé en ligne par carte bancaire ou via PayPal.

Mais ce n’est pas tout. Même si le transfert de confiance de votre fournisseur d’accès vers le service VPN vous convient, ceci ne représente qu’une partie de la surveillance qui peut prendre place sur le Web. Si vous utilisez les services de Google, Facebook, Twitter, etc., n’importe quel site intégrant également ces services permettra un suivi, non pour lui-même puisque les informations nominatives collectées par ces systèmes ne sont pas transmises au site, mais pour Google, Facebook, Twitter, etc. Avec ou sans VPN, si vous êtes connecté à votre compte Google, par exemple, vous pourrez toujours être suivi à la trace. Que vous vous connectiez sans VPN à YouTube ou avec un service de VPN, vous retrouverez toujours vos playlists, vos préférences et les suggestions adaptées à ce que vous avez l’habitude de regarder... En d’autres termes, YouTube saura tout de même qui vous êtes...

Au-delà de ça, un lien direct vers votre identité n’est pas même nécessaire. À force de laisser des traces sur le net, votre historique de recherche et de navigation, la version de votre navigateur, la résolution de votre écran, le système que vous utilisez... un profil émerge vous décrivant avec toujours plus d’exactitude et, à un moment où un autre permettra d’approximer votre identité avec une relative exactitude. Non seulement l’utilisation d’un VPN, à elle seule, ne changera pas cet état de fait, mais peut potentiellement aggraver le risque.

N’oubliez pas, la seule chose qui assure que la société derrière le VPN ne transmettra pas vos données de navigation et votre identité est une simple promesse. Ces informations représentent un lien direct permettant de rattacher les données collectées par ailleurs avec votre personne, exactement comme votre fournisseur d’accès peut le faire. Ce lien peut être fait par n’importe quelle personne accédant aux informations connues du service VPN : quelqu’un ayant accès à ces données, quelqu’un obtenant légalement l’accès à cette information ou quelqu’un la récupérant frauduleusement. Ce dernier point est très important, ce n’est pas parce qu’une société vend un service de VPN qu’elle est forcément davantage à l’abri d’un piratage qu’un fournisseur d’accès ou qu’un quelconque service en ligne (jeu, VOD, etc.).

Doit-on pour autant affirmer qu’un VPN de ce type, non totalement maîtrisé par l’utilisateur, est inutile ? Non. Mais il est important de comprendre que VPN n’est absolument pas synonyme d’anonymat et encore moins de total anonymat. Cette technologie n’est, tout simplement pas suffisante à elle seule, car elle n’a jamais été conçue pour cela. Le « P » de VPN n’est pas « vie Privée », c’est « Privé », tout comme le « L » de LAN veut dire « Local ». La seule chose qu’un tel VPN permet est de dissimuler votre adresse IP, car la très grande majorité des sites web utilisent désormais HTTPS et donc une communication de toute façon chiffrée entre votre navigateur et le site. Autrement dit, votre fournisseur d’accès peut certes voir que vous allez sur hackable.fr, mais ne verra rien d’autre. Ni votre identifiant, ni votre mot de passe, par exemple.

Un VPN reste cependant un élément très important si vous utilisez un accès internet public (hôtel, restaurant, etc.), car le trafic est protégé entre votre ordinateur (ou smartphone/tablette) et le serveur VPN, et peut donc traverser en toute sécurité le point d’accès wifi, le réseau local et l’infrastructure réseau du fournisseur d’accès, de l’établissement.

Une autre utilisation potentielle de ce type de VPN consiste à délibérément choisir un point de sortie situé géographiquement à un endroit différent de votre lieu de connexion effectif. Un certain nombre de sites, du plus modeste au plus populaire, utilisent l’adresse IP que vous utilisez (celle de votre box) pour identifier votre pays de résidence et appliquer des restrictions en conséquence. En utilisant un VPN, votre connexion peut sembler provenir d’un autre emplacement et ces restrictions ne s’appliqueront alors pas. Un exemple bon enfant de ce type de limitation est parfaitement résumé par une tentative d’accès aux sites journaldequebec.com et journaldemontreal.com qui, du fait l’entrée en vigueur du RGPD (Règlement Général sur la Protection des Données) fin mai 2018, affichent désormais un message « nos sites sont actuellement indisponibles dans votre région » dès lors que vous vous trouvez en Europe.

L’éditeur de ces sites n’ayant pas trouvé de moyen de se mettre en conformité avec le RGPD pour l’instant, a simplement préféré respecter la loi en bloquant l’accès à ses contenus pour les résidents européens. D’autres limitations géographiques cependant existent sur d’autres plateformes pour des motifs légaux, commerciaux ou politiques. Utiliser un VPN permet donc aux utilisateurs en faisant le choix (souvent localement illégal) d’accéder aux contenus. Bien entendu, ceci suppose que le lieu de résidence n’est pas connu d’une autre façon comme via les données du compte utilisé ou encore par un traqueur placé dans le navigateur.

Un VPN dans ce sens du terme possède donc une utilité, mais le problème que je constate, dans la propagation d’une idée selon laquelle un VPN protège de tout, est finalement le même qu’avec n’importe quel concept technique ou scientifique ramené à sa plus simple, ou sa trop simple, expression. Les fournisseurs de ce type de services ne mentent pas réellement, mais toutefois structurent une communication commerciale qui laisse entendre une sécurité absolue qui n’existe pas. Ceci n’a rien de choquant, après tout, n’importe quelle solution « grand public » actuellement se doit presque d’être miraculeuse pour capter l’attention. Qui s’attarderait aujourd’hui sur un service se réclamant comme « améliorant sensiblement votre sécurité une fois intégrée à une politique plus vaste de protection de votre vie privée ». Ce serait comme vendre un substitut alimentaire non pas en l’annonçant comme « LA solution pour maigrir rapidement sans rien faire », mais comme « une source de nutriment complétant un programme de régime construit sur la base d’exercices physiques réguliers ».

Comme souvent lorsqu’il s’agit de technologie ou de sciences, les choses ne sont malheureusement jamais aussi simples qu’elles n’y paraissent, et comprendre demande un effort à la fois pour se renseigner sur le sujet et pour assimiler les principes. Mais il est bien plus rapide et facile de s’extasier sur quelque chose de rapidement compréhensible comme un nombre de mégapixels, de gigahertz, de gigaoctets... Pire encore, cette approche naïve est en fin de vie, au bénéfice de quelque chose d’encore plus détaché de la réalité.

Depuis combien de temps n’avez-vous pas vu une vidéo publicitaire pour un véhicule qui vous parle de litres de carburant aux cent kilomètres, d’évaluation Euro NCAP, de volume utile ou de nombre d’airbags ? Tout ceci a presque disparu du message commercial au bénéfice d’une mise en avant d’un style de vie, de valeurs morales, de concepts quasi-spirituels, de l’expression de soi, d’une quête de sérénité ou de je ne sais quel principe émotionnellement transcendant. On voit clairement ici un motif récurrent apparaître, le message commercial se désolidarise tout d’abord de la réalité concrète du produit puis fini par devenir totalement abstrait. Regardez les publicités pour les voitures, le café ou même certains produits alimentaires, ça en devient presque surréaliste pour quelqu’un de même passablement pragmatique. À quand des annonces ou des sponsorings clamant « Soyez vous-même et exprimez votre vraie nature. Utilisez ProutVPN ! » ?

En marketing, il paraît que si on ne comprend pas ou qu’on n’aime pas le message c’est qu’on n’est tout simplement pas la cible visée. Soit. Mais ceci signifie donc que la « cible » en question, non seulement existe, mais en quantité suffisante pour justifier le message. Et ça, pour moi, c’est littéralement terrifiant !

Denis Bodor

A propos du magazine
Logo

Démontez / COmprenez / adaptez / partagez

Hackable met l’électronique plus que jamais à la portée de tous ! Ce bimestriel n’a qu’un but : faire de la technologie un vrai plaisir ! Le plaisir de démonter, d’apprendre, de comprendre, de faire, de maîtriser et d’adapter à ses besoins. En d’autres termes, c’est un magazine pour utiliser la technologie, pas la consommer. Au programme : montages à base Arduino, programmation, bidouillages autour de la Raspberry Pi, découverte de nouvelles cartes et de nouveaux modules, démontage et exploration de matériels, conseils, recommandations et astuces pour s’équiper, rétrogaming, mais aussi de quoi apprendre les bases pour s’en sortir seul et pour aller toujours plus loin !

Nouveaux produits