Beaucoup de gens pensent qu’un VPN, à savoir un réseau privé virtuel, suffit à lui seul à assurer la sécurité et l’anonymat sur internet.
Si vous ajoutez en plus dans la recette, une monnaie numérique en général difficilement traçable, à savoir une cryptomonnaie comme Bitcoin ou Monero, par exemple, alors on vous pardonne si vous vous mettez à croire dur comme fer que vous êtes devenu l’homme invisible !
Donc, il est facile de supposer que : VPN + cryptomonnaies == privé && sécurisé.
Mais les VPN et les cryptomonnaies sont réellement efficaces pour empêcher les cybercriminels et les autres créatures malveillantes d’accéder à votre vie privée en ligne, et nous vous expliquons ici pourquoi.
Dit simplement, un VPN chiffre votre trafic réseau, chaque paquet de données, pas seulement votre navigation sur le web ou vos emails, et transporte le tout vers un serveur, localisé ailleurs sur internet.
Ce serveur supprime ensuite le chiffrement et continue l’acheminement de vos données, comme si elles provenaient du réseau de l’opérateur VPN, et non de votre téléphone ou de votre ordinateur portable.
Soyons plus clairs à ce sujet : l’autre extrémité du VPN n’est pas la fin du voyage pour vos paquets vers les serveurs auxquels vous voulez accéder. En effet, le VPN fait en sorte que votre trafic semble provenir d’un autre endroit. Un VPN hébergé chez vous ou au sein de votre réseau professionnel, par exemple, n’apporte pas plus de sécurité que ce que vous auriez à la maison ou au travail, il s’assure simplement qu’il n’y ait pas moins de sécurité quand vous êtes en route et connecté aux réseaux d’autres personnes.
En d’autres termes, un VPN n’apporte pas nécessairement plus de sécurité, et si l’opérateur VPN est négligeant, ou incompétent, ou bien s’il s’agit même d’escrocs, la protection de votre vie privée et votre anonymat pourraient très bien se révéler bien plus mauvais qu’auparavant.
Après tout, votre fournisseur VPN voit tout votre trafic, comme s’il avait pénétré au sein même de votre carte réseau sur votre ordinateur portable ou sur votre téléphone portable. C’est comme si ce dernier était assis au café juste à côté de vous.
MyEtherWallet et Hola
Une défaillance de sécurité chez un opérateur VPN peut donc être une nouvelle très inquiétante, et c’est exactement la mise en garde émise par le populaire gestionnaire de cryptomonnaies en ligne, MyEtherWallet (MEW) :
Urgent! If you have Hola chrome extension installed and used MEW within the last 24 hrs, please transfer your funds immediately to a brand new account!
— MyEtherWallet.com (@myetherwallet) 10 juillet 2018
NB : Cela revient à obtenir une carte de crédit de remplacement après avoir été piraté : si vous invalidez vos anciens numéros de compte, ils ne servent plus à personne, y compris à des cybercriminels. Hola est un VPN gratuit qui partage essentiellement les connexions des navigateurs d’utilisateurs participants au sein de la communauté afin de contourner le géoblocage.
Par exemple, si vous êtes au Canada et que vous essayez de regarder une émission de télévision uniquement disponible en France, votre trafic pourrait être redirigé via l’ordinateur d’un autre utilisateur à Paris.
Dans le même temps, votre connexion nord-américaine pourrait aider quelqu’un en Allemagne à contourner le géoblocage du site web, destiné à tenir éloigné d’éventuels visiteurs de l’UE.
Nous n’avons aucun détail sur ce qui s’est réellement passé, à part le fait que les cybercriminels semblent avoir espionné le trafic de Hola, en particulier, concernant les activités liées à MEW.
Donc, nous ne savons pas encore si le trafic de cryptomonnaies a été compromis, mais l’avertissement est assez clair.
MEW ne peut pas être sûr que les cybercriminels en question n’ont pas obtenu suffisamment de données pour piller votre compte rempli de cryptomonnaies dans le futur …
… et conseille donc aux clients de créer de nouveaux comptes et de transférer leurs propres fonds, laissant ainsi derrière eux ces comptes potentiellement compromis.
Quoi faire ?
Si vous êtes un utilisateur de MEW-et-Hola, les instructions sur “quoi faire” peuvent être trouvées dans le tweet que nous avons intégré ci-dessus, mais s’il vous plaît rappelez-vous que c’est une histoire qui n’est pas seulement destinée aux propriétaires de cryptomonnaies.
Répétez après moi : Un VPN n’améliore pas par magie la sécurité. Son rôle est de faire de votre fournisseur VPN, votre nouvel FAI, votre “premier saut” sur internet. Ce premier saut est le seul endroit où un fournisseur peut observer tout votre trafic, qu’il soit chiffré ou non. Vous devez vraiment faire confiance à votre fournisseur VPN !
En outre, n’oubliez pas qu’un VPN qui se base ou intègre un plugin navigateur, comme dans ce cas, peut lire toutes vos données privées directement dans votre navigateur avant qu’elles ne soient chiffrées.
Un pilote VPN au niveau du réseau voit plus de trafic vous concernant, mais tout ce qui a déjà été chiffré, tel que le trafic HTTPS, ne peut pas être déchiffré.
Comme le dit Hola sur son site :
Hola vous donne la liberté de surfer sur le web sans censure et regarder des vidéos avec moins de mémoire tampon et un temps de démarrage plus rapide.
La liberté peut être une qualité très recherchée, mais elle ne vous sécurise pas forcément automatiquement, demandez à un rhinocéros.
Billet inspiré de Think that bitcoins and a VPN keep you anonymous? Think again…, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.