Depuis quelques jours, on voit pas mal de gens tentant de démontrer que les mesures prises par les internautes pour contourner l’HADOPI peuvent-être contrées. Ces inquiétudes sont présentes depuis que TMG a obtenu l’autorisation de collecter des adresses IP sur les réseaux P2P.

Tout part du fait que pour éviter de se “faire prendre” par la HADOPI (ou plutôt par TMG), il faut-être le plus anonyme possible. Or, différentes techniques auraient étés mises à mal dans certaines conditions, notamment lorsque-elles sont mal utilisées (ou mal comprises). Comme par exemple les VPN uniquement IPv4 quand la machine a une connectivité IPv6. On accuse également IPv6 de permettre la surveillance en révélant les adresses mac de toutes les machines (en mélangeant ça avec le cas précédent, qui n’ont rien à voir). Du coup, on assiste a une diabolisation de l’IPv6, et certains sites ou blogs conseillent purement et simplement de désactiver ce protocole, alors qu’il est la seule solution (à court terme maintenant) pour qu’Internet puisse continuer de grandir (la dernière IPv4 sera distribuée l’année prochaine, comme le rappelle Stéphane Bortzmeyer). IPv6 n’empêche pas moins l’anonymat qu’IPv4, et j’avoue que voir le contraire accompagnée du conseil “désactivez IPv6” à un an de la fin d’IPv4 m’agace singulièrement.

Comment en est-t-on arrivé à une telle désinformation ? Simplement en ne comprenant pas la technique. Voici donc quelques explications sur le fonctionnement des VPN, relativement faciles à trouver et à comprendre. Des informations qui expliquent pourquoi il est possible de vous retrouver dans certains cas avec IPv6 et un VPN actif.

Pour comprendre, il faut déjà savoir comment fonctionne le routage IP. Grosso-modo, votre ordinateur contient un tableau, dans lequel il est indiqué “pour contactez telle adresse IP, il faut envoyez les informations à telle machine”, ladite machine étant forcément sur le même réseau que vous. Cela fonctionne un peu comme les panneaux aux carrefours : “Pour atteindre Paris, prendre la route de gauche, pour Lyon la route de droite”. En pratique, sur votre machine, vous n’aurez que 2 routes : une pour atteindre votre réseau local, indiquant qu’il faut juste envoyer le paquet sur la carte réseau, et une seconde qui dit “pour tout le reste, passez le message à votre box”. Cette dernière est appelée route par défaut. Sur une machine ayant une connexion IPv4 et IPv6, cette table est présente 2 fois, pour les deux protocoles. Malgré leur ressemblance, elles n’ont rien de commun et sont totalement indépendantes. Maintenant, que se passe-t-il quand vous vous connectez à un VPN ? Le logiciel va créer une interface réseau virtuelle. Cette interface correspond à la liaison chiffrée entre vous et le serveur VPN. On pourrait voir cette connexion chiffrée comme étant un long câble vous reliant au réseau interne du VPN. Le VPN va ajouter 2 routes, qui indiquent respectivement “pour joindre le serveur VPN, passez par la box” et “pour atteindre le réseau du VPN, passe par la carte réseau virtuelle”. La connexion va également modifier la route par défaut, qui est désormais “pour tout le reste, envoie à une adresse [qui correspond au serveur VPN, mais de l’intérieur du réseau virtuel]”. On se retrouve alors avec un table de routage avec 4 règles :

-Pour atteindre le réseau local, passez par votre carte réseau -Pour atteindre le serveur VPN, passez par votre box -Pour atteindre le réseau interne du VPN, passez par l’interface virtuelle -Pour atteindre le reste, passe par le serveur VPN (du côté du réseau interne du VPN).

La quatrième route ne pose pas de problèmes, car on est sur le même réseau que le serveur VPN (le “long câble” qui nous relie à ce serveur). En sortie, l’adresse qui apparait est celle de votre carte réseau virtuelle, car votre machine a envoyé les informations par cette interface (et non à celle qui le relie à votre box). L’intérêt de la seconde route est qu’une fois la route par défaut modifiée, le serveur VPN reste joignable. Si on ne l’ajoute pas, votre PC va tenter d’accéder au VPN en passant par le VPN ;) .

Et l’IPv6 dans tout ça ? Et bien il se trouve que la plupart des fournisseurs VPN à l’heure actuelle n’en utilisent pas. Du coup, seule la table de routage IPv4 est modifiée. Et une requête IPv6 passera donc par votre box, la route par défaut n’ayant pas changée. Donc vous ne serez pas “protégé” par le VPN, mais ce n’est pas un problème intrinsèque à IPv6. Il est dû à votre fournisseur VPN qui a fait le choix de ne vous fournir d’IPv6 justement. Désactiver ce protocole n’est pas une vraie solution : il vaut mieux prendre un VPN avec de l’IPv6. Même si aujourd’hui ce n’est pas très répandu, ça va arriver très vite, au fur et à mesure que la fin d’IPv4 approche. Bref, stigmatiser une technologie quand on ne la connait pas, c’est une grosse erreur. Il vaut mieux chercher à comprendre ce que l’on fait, c’est bien plus efficace.

En résumé, être anonyme sur Internet ne s’improvise pas. En effet, un tas de petits indices peuvent mener à votre identité. Il ne s’agit pas de simplement masquer son adresse IP derrière un VPN ou un proxy, mais de savoir ce que l’on fait, pour identifier toutes les fuites d’informations possibles. Les solutions de type “cliquez ici pour être anonyme”, c’est comme les produits disant “Payez X€ pour être en sécurité” : ça n’existe pas ou alors c’est inefficace. Attention, ne me faites pas dire ce que je n’ai pas dit : il existe bel et bien des briques de solution pour être anonyme (un VPN en fait partie), tout comme il existe des logiciels aidant à renforcer la sécurité d’une machine. Mais comme ces derniers, les “logiciels anonymisants” ne sont pas infaillibles et doivent être utilisés à bon escient, en comprenant ce que vous faites. Malheureusement, un minimum de culture technique est nécessaire.

Edit : je viens de tomber sur l’article Trahi par son IPv6 ? sur le blog du G6, et ils en arrivent à la même conclusion, en passant par le même chemin :) .