Je me sors 5 min de mon weekend en amoureux les amis, pour avertir ceux parmi vous qui sont des utilisateurs de Mullvad, peu importe que vous soyez sur macOS, Windows ou un Linux Ubuntu/Debian... Si vous jonglez entre les serveurs en pensant brouiller votre piste, j'ai une mauvaise nouvelle pour vous.

Tmctmt vient de publier une analyse qui montre que vos IPs de sortie sont beaucoup moins aléatoires qu'on ne l'imagine. En fait, votre clé WireGuard agit comme une empreinte qui survit aux changements de pays.

Le mécanisme est un peu tordu, mais vous allez vite capter. En fait votre IP de sortie n'est pas tirée au hasard à chaque connexion, mais est calculée de façon déterministe à partir de votre clé WireGuard. Ou plutôt, à partir d'un float dérivé de cette clé, qui sert ensuite à vous positionner dans les plages d'IPs de Mullvad. Cette clé change tous les 1 à 30 jours, sauf si vous utilisez un client tiers (genre le driver WireGuard intégré au kernel Linux), et dans ce cas là, y'a pas de rotation.

Le chercheur a testé 3650 clés publiques, et il n'a obtenu que 284 combinaisons d'IPs distinctes alors que théoriquement, ça devrait donner des milliards. Bref, c'est moins varié qu'une plaque d'immat de votre département.

Imaginez maintenant un modérateur de forum qui voit débarquer un nouveau compte le lendemain d'un ban. Il croise les IPs Mullvad des deux comptes et tombe sur des plages flottantes qui se chevauchent, genre 0.4334 à 0.4428 d'un côté, 0.4358 à 0.4423 de l'autre. Hé bien ça veut dire qu'il y a plus de 99% de chances que ce soit la même personne. Et cela même si les deux IPs viennent de pays différents... argh !

Mais bonne nouvelle, pour fixer ce bug, c'est l'affaire de 5 secondes. Il suffit d'éviter de jongler entre 12 serveurs avec la même clé et voilà ! Et n'oubliez pas non plus de vous déconnecter de l'app Mullvad de temps en temps pour forcer la rotation de votre pubkey. Enfin, si vous êtes du genre puriste à utiliser WireGuard en direct via le client kernel, là c'est à vous de re-générer la clé manuellement, sinon vous gardez la même empreinte ad vitam.

Voili voilou...

Mullvad reste quand même un des rares VPN à avoir prouvé en justice, après le raid de la police suédoise en avril 2023, qu'il n'avait aucun log à fournir. Mais ce genre de problème mérite, je trouve, un petit patch côté Mullvad. Un petit seed aléatoire à chaque renouvellement de clé suffirait par exemple...

Et si le sujet VPN vous intéresse plus globalement, j'avais fait un guide complet qui peut compléter.

Source : tmctmt.com

Si vous faites tourner WireGuard depuis un réseau filtré par DPI (Genre en Russie, Iran, Chine, et autres pays défenseurs de la libertéééé (non)), vous avez sans doute remarqué que les tunnels tombent rapidement. En effet, les signatures des protocoles et notamment du protocole WireGuard sont devenues facilement identifiables. Les filtres modernes de censure sont ainsi capable de les bloquer en quelques secondes. C'est pour ça que wg-obfuscator , sorti par Alexey Cluster (le dev derrière le mod hakchi de la NES Classic Mini dont je vous parlais en 2017), m'a tapé dans l'œil.

Concrètement, c'est un petit proxy en C qui se glisse entre votre WireGuard et le réseau. Vous le lancez aux deux bouts du tunnel, et lui déguise les paquets pour qu'ils ressemblent à du STUN (le protocole utilisé par les outils de visioconf, rarement bloqué) ou à un flux random pas reconnaissable. WireGuard continue ainsi de tourner sans aucune modification...

C'est vraiment bien fichu son truc et surtout, par rapport à AmneziaWG (un célèbre fork de WireGuard souvent cité comme référence en obfuscation), hé bien y'a juste un binaire à rajouter, alors que AmneziaWG, lui, modifie TOUT le protocole. Il faut donc remplacer les client ET le serveur ce qui est bien relou.

Comme wg-obfuscator se contente uniquement de faire le proxy, vous gardez votre setup WireGuard classique et donc ça fonctionnera partout... Sur OpenWrt, MikroTik avec RouterOS 7.4+ sur ARM64/x86_64 via Docker, NixOS, Android, ou un simple Raspberry.

Par contre, l'outil utilise une clé symétrique en texte clair donc c'est pas du chiffrement fort, mais du camouflage.

Côté config, on est sur du fichier INI tout simple :

[main]
source-lport = 13255
target = 10.13.1.100:13255
key = votre_secret
masking = STUN
verbose = 2

Vous aviez remarqué que depuis quelques années, les joueurs de FPS multijoueurs sont de plus en plus nombreux à passer par un VPN ? Et non, ce n’est pas pour télécharger des trucs louches en cachette mais pour une raison bien plus technique.

Et avec la sortie de Battlefield 6 en octobre dernier et Black Ops 7 mi-novembre, ce sujet revient en force, alors je me suis demandé mais pourquoi diable utiliser un VPN pour jouer ?

Le truc, c’est que même si ces deux jeux gèrent leur matchmaking de façon complètement différente, dans les deux cas, un VPN peut vous sauver la mise. Battlefield 6 mise en effet principalement sur un matchmaking basé sur la géolocalisation et la connexion, sans SBMM agressif (le fameux Skill-Based Matchmaking qui vous colle systématiquement avec des gens de votre niveau).

Cela veut dire que si vous habitez en France ou aux États-Unis, zones ultra-peuplées de joueurs, vous vous taperez des parties hyper compétitives en permanence avec très peu de bots. À l’inverse, si vous êtes au Moyen-Orient, en Australie ou en Nouvelle-Zélande, vous vous retrouverez dans des lobbies où une bonne partie des participants sont des IA pour combler les places vides. Sympa pour se détendre donc mais moins pour progresser.

Pour Black Ops 7, c’est l’inverse qui pose problème car malgré les promesses d’Activision de minimiser le SBMM, le système vous matche constamment avec des adversaires de votre niveau exact, rendant chaque partie aussi tendue qu’une finale de championnat. Du coup, les joueurs râlent fort ! Grosse flemme pour ceux qui veulent juste faire quelques kills tranquilles après une journée de boulot.

Voilà où le VPN entre en jeu !

Vous l’aurez compris, techniquement, quand vous lancez une recherche de partie, le jeu prend en compte votre localisation, votre ping estimé et le nombre de joueurs disponibles dans votre zone. En vous connectant via un serveur VPN situé dans une autre région, vous perturbez ces paramètres et le système pense dans certains cas que vous aurez un ping élevé et assouplit parfois ses critères de matchmaking.

Pour Battlefield 6, un joueur européen qui veut des lobbies avec des bots peut se connecter à un serveur VPN au Moyen-Orient, en Océanie ou en Asie du Sud-Est. Comme je vous le disais, ces zones ont moins de joueurs, et donc le jeu remplit les places vides avec de l’IA. L’astuce bonus c’est de viser les heures creuses de la région ciblée, entre 3h et 7h du matin heure locale, quand la population de joueurs humains chute.

Pour Black Ops 7, la technique est différente car il faut se connecter à des régions où il sera tôt le matin ou tard le soir. Moins de joueurs connectés signifie un pool plus restreint, donc le SBMM n’a pas d’autre choix que de mélanger les niveaux. Les régions comme l’Afrique centrale (Kenya, Ghana) ou certaines parties de l’Asie (Inde, Taiwan) sont souvent recommandées par les joueurs.

Après, un VPN pour le gaming, ça ne s’improvise pas. Donc oubliez les VPN gratuits avec leur bande passante limitée, leurs serveurs bondés, et parfois même des risques de sécurité. Le jeu en ligne ça demande du débit et surtout une latence minimale.

Pour cela, le protocole WireGuard est actuellement ce qui se fait de mieux pour ça. Il est conçu pour être rapide et léger, avec une latence supplémentaire quasi imperceptible sur un bon serveur. Comparé à OpenVPN qui peut ajouter 5 à 10 ms facilement, c’est le jour et la nuit pour du gaming compétitif.

WireGuard utilise des primitives cryptographiques modernes (ChaCha20, Poly1305) qui sont moins gourmandes en CPU que l’AES traditionnel sur les machines sans accélération matérielle. Et pour optimiser encore un peu plus les performances, les experts recommandent d’ajuster le MTU (autour de 1412 pour éviter la fragmentation des paquets).

Enfin, au-delà du matchmaking, un VPN gaming (lien affilié) offre d’autres avantages non négligeables comme la protection contre les attaques DDoS. En masquant votre IP réelle, vous empêchez les mauvais perdants de vous déconnecter en pleine partie. En effet, certains joueurs toxiques récupèrent votre IP via des outils tiers mal sécurisés, et bombardent votre connexion pour vous faire ragequit. Avec un VPN, ils tapent sur le serveur VPN, et pas sur votre box.

Il y a aussi la question du throttling car certains FAI détectent le trafic de jeu et réduisent volontairement votre bande passante, surtout aux heures de pointe. En chiffrant votre connexion, un VPN peut parfois empêcher un FAI de savoir que vous jouez. Du coup, vous avez une connexion stable et sans bridage.

Et si vous jouez sur des réseaux publics (hôtel, café, aéroport), le chiffrement du VPN protège vos identifiants de jeu et vos données personnelles contre l’interception.

Après pour les joueurs console, il y a une subtilité car les PS5 et les Xbox ne supportent pas nativement les applications VPN. Il faut donc passer par votre routeur. Heureusement, la plupart des VPN gaming proposent des guides pour configurer ça sur les routeurs compatibles (généralement ceux sous firmware DD-WRT, Tomato ou les routeurs pré-configurés). NordVPN par exemple offre cette possibilité avec son protocole NordLynx (leur implémentation de WireGuard) et plus de 8000 serveurs dans plus de 110 pays.

Vous en avez marre de jongler entre différents clients VPN selon vos appareils ?

Alors ça tombe bien puisque je viens de tomber sur TailGuard , un projet open source qui est une application Docker, mise au point par un certain Juho Vähä-Herttua qui sert de passerelle entre WireGuard et Tailscale .

Si vous n’avez jamais entendu parler de ces deux technologies, laissez-moi vous faire un petit récap rapide… WireGuard, c’est LE protocole VPN moderne ultra-rapide dans le vent, et Tailscale, c’est LA solution mesh VPN qui fait un carton en ce moment.

Et le truc chouette avec TailGuard, c’est qu’il résout ce casse-tête des appareils qui ne peuvent pas faire tourner Tailscale nativement. Vous savez, ces vieux routeurs, ces IoT un peu bizarres ou ces environnements restreints où installer un client VPN moderne c’est plus compliqué que d’avoir un Premier Ministre décent. Mais avec TailGuard, vous créez ainsi un pont entre votre infrastructure WireGuard existante et le réseau mesh de Tailscale. Pas besoin de tout refaire de zéro, c’est plutôt bien pensé.

Alors, comment ça marche ?

Et bien en gros, vous avez un serveur WireGuard qui tourne quelque part, avec ses configurations et ses clés et TailGuard, lui, vient se greffer dessus via Docker et expose automatiquement vos sous-réseaux WireGuard sur Tailscale. Du coup, tous vos appareils Tailscale peuvent accéder à vos ressources WireGuard, et inversement. C’est du routage bidirectionnel automatique, avec support IPv4 et IPv6.

Pour l’installation, c’est un jeu d’enfant. Vous téléchargez votre config WireGuard client, vous la sauvegardez en wg0.conf, vous créez un réseau IPv6 Docker et vous lancez le container avec les bons volumes.

docker network create --ipv6 ip6net
docker run -it \
 -v ./wg0.conf:/etc/wireguard/wg0.conf -v ./state:/tailguard/state \
 --cap-add NET_ADMIN --device /dev/net/tun \
 --sysctl net.ipv4.ip_forward=1 --sysctl net.ipv6.conf.all.forwarding=1 \
 --sysctl net.ipv4.conf.all.src_valid_mark=1 \
 --network ip6net -p 41641:41641/udp \
 --name tailguard juhovh/tailguard:latest

Développé par Madh93, cet outil en Go baptisé Prxy résout un problème que beaucoup d’entre nous subissent en silence à savoir comment accéder proprement à ses services auto-hébergés sans transformer sa connexion en passoire ou en goulot d’étranglement. L’idée, c’est du split-tunneling application par application, une approche chirurgicale qui évite les compromis habituels.

Vous en avez marre de galérer avec la configuration de VPN pour sécuriser votre navigation web et vous cherchez une solution simple et efficace pour protéger votre vie privée en ligne sans vous prendre la tête ?

Avez vous pensé à WireProxy ?

Ce petit logiciel open-source est un client qui se présente sous la forme d’un proxy SOCKS5 ou HTTP et qui permet de se connecter à un serveur WireGuard et d’exposer un proxy sur votre machine. Ça peut être super pratique si vous avez besoin d’accéder à certains sites via VPN mais que vous n’avez pas envie de vous embêter à configurer une nouvelle interface réseau. Une fois que c’est en place chez vous, y’a plus qu’à configurer votre navigateur pour qu’il passe par le proxy. Et pas besoin des droits root pour le configurer.

En plus de ça, y’a tout un tas de fonctionnalités bien cool :

• Routage statique TCP pour le client et le serveur
• Proxy SOCKS5/HTTP (pour l’instant seul CONNECT est supporté)
• Support de l’UDP dans SOCKS5
• Routage statique UDP

Alors pour l’installer :

1. Clonez le dépôt GitHub : git clone https://github.com/pufferffish/wireproxy
2. Allez dans le répertoire : cd wireproxy
3. Compilez le projet : make
4. Puis lancez WireProxy avec votre fichier de config (les détails sont sur Github) :
   ./wireproxy -c chemin/vers/config.conf

Le fichier de configuration utilise une syntaxe similaire à celle de WireGuard, donc si vous êtes déjà familier avec WireGuard, vous ne serez pas dépaysé.

Vous pouvez y définir l’interface et le ou les serveurs (les pairs), mais aussi configurer des tunnels TCP et UDP ainsi que le proxy SOCKS5 ou HTTP. L’outil supporte même l’authentification pour le proxy, il suffit de préciser un nom d’utilisateur et un mot de passe dans la section [Socks5] ou [http].

Et voilà, vous êtes prêt à surfer en toute sécurité !

Autre point fort de WireProxy : il supporte la connexion à plusieurs pairs ! Il suffit de spécifier les AllowedIPs pour chaque pair pour qu’il sache vers quel pairs rediriger le trafic. Et si vous voulez que les pairs puissent se connecter à votre instance WireProxy, c’est possible aussi en précisant le port d’écoute avec ListenPort.

Amusez vous bien !

Après vous avoir présenté WirePiUS ou encore Netmaker qui permettent de créer facilement des réseaux VPN basés sur Wireguard, je tiens aujourd’hui à vous présenter NetBird.

Ce logiciel libre qui s’installe sur un serveur en moins de 5 min, va vous permettre de créer un réseau privé sécurisé pour votre organisation ou simplement votre petit chez vous.

L’idée, vous l’aurez compris, c’est de pouvoir connecter plusieurs sites éloignés ou simplement partager des fichiers volumineux et confidentiels avec vos collègues en toute sécurité. Ainsi, la plateforme Netbird combine un VPN Wireguard sans configuration, un système de contrôle d’accès centralisé et utilise WebRTC ICE, STUN et TURN pour établir des connexions entre machines.

Bien sûr, la double authentification est de la partie comme vous pouvez le voir sur la vidéo ci-dessous :

Pour installer NetBird, il vous faudra Docker avec docker-compose et jq + curl installés.

Avant de commencer, assurez-vous d’avoir les éléments suivants :

• Une machine Linux avec au moins 1 CPU et 2 Go de RAM.
• La machine doit être accessible publiquement sur les ports TCP 80 et 443 et UDP : 3478, 49152-65535.
• Un nom de domaine public pointant vers la machine.
• Docker installé sur la machine avec le plugin docker-compose (guide d’installation de Docker).
• jq installé. jq est généralement disponible dans les dépôts officiels et peut être installé avec la commande
  sudo apt install jq 
  ou 
  sudo yum install jq
• curl installé. curl est généralement disponible dans les dépôts officiels et peut être installé avec la commande 
  sudo apt install curl 
  ou
  sudo yum install curl

Téléchargez et exécutez le script d’installation :

export NETBIRD_DOMAIN=votre-domaine-public.com; curl -fsSL https://github.com/netbirdio/netbird/releases/latest/download/getting-started-with-zitadel.sh | bash

Ce script téléchargera et exécutera l’installation de NetBird sur votre machine. Il vous demandera de saisir le nom de domaine public que vous souhaitez utiliser pour NetBird.

Puis pour démarrer le service NetBird:

docker-compose up -d

Cette commande démarrera tous les conteneurs Docker nécessaires à l’exécution de NetBird.

Une fois l’installation terminée, vous pouvez gérer les ressources NetBird via docker-compose. Par exemple, pour redémarrer le service NetBird, vous pouvez exécuter la commande suivante :

docker-compose restart netbird

Vous pourrez alors accéder à l’interface utilisateur Web de NetBird via votre nom de domaine public.

Génial non ? Ça n’a jamais été aussi simple d’avoir son réseau privé virtuel et bien sûr hautement sécurisé. Suffit d’une petite box Linux et roule ma poule.

Vous aurez plus d’infos sur Netbird ici.