La plupart des VPNs peuvent provoquer la fuite des données personnelles en dépit des affirmations contraires

La plupart des applications VPN peut fuir données lors d’une utilisation quotidienne en dépit des affirmations contraires. Les-meilleurs VPN a mis à profit une nouvelle série d’outils visant à tester la “perméabilité” de VPN et de leurs applications qui l’accompagne. Nos résultats démontrent la grande majorité des VPNs fuite le trafic DNS, IP et WebRTC, même s’ils prétendent utiliser les commutateurs de protection et d’abattage de fuite.

La norme actuelle pour les essais commerciaux services VPN des fuites est médiocre au mieux, en s’appuyant sur des outils simples basées sur le web qui ne parviennent pas à comprendre le large éventail de scénarios en vertu duquel un VPN peut s’échapper des données à l’extérieur du tunnel crypté. Les-meilleurs-VPN s’est entretenu avec ExpressVPN research lab, qui a développé les outils, pour accéder à l’ensemble des essais à ce jour. Les outils sont libres et open source. Dans cet article, nous avons mis plusieurs réseaux privés virtuels à travers le gant de tests pour évaluer leur protection globale de la fuite.

Principales constatations :

  • Apps VPN pour Mac OS a subi des fuites un peu plus que les VPN Windows apps, mais fuites des applications Windows ont été plus sévères en moyenne
  • Lutte applications VPN avec fuites WebRTC IPv6
  • Beaucoup de trafic IP lorsqu’une interruption se produit, tel qu’un changement dans la configuration du réseau et VPN fuite DNS

Entreprises VPN, tech évaluateurs et les visiteurs peuvent et faire tester ces deux caractéristiques pour eux-mêmes. Des outils simples comme celui-ci sur le web d’essai d’étanchéité, et c’est un des nombreux. Quand un kill switch intervient en raison d’une connexion a chuté, la plupart des apps aviser immédiatement l’utilisateur. La plupart d’entre nous tenir pour acquis que ces fonctionnalités fonctionnent juste fondée sur cette preuve limitée.

Ce qui est une fuite ?

Ce qui constitue une fuite n’est pas gravé dans le marbre dans l’ensemble de l’industrie, mais une définition raisonnable serait :

“Lorsque l’utilisateur est connecté au VPN, pas d’informations personnellement identifiables (PII) est exposé à moins que l’utilisateur choisisse activement pour l’exposer.”

La définition ci-dessus est un bon filigrane pour nous guider, mais est assez large et facilement cassables. Dans la pratique, nos dispositions actuelles incluent :

  • Ne pas envoyer le trafic non chiffré de l’appareil
  • Ne laissez pas un public adresse IP est visible à des tierces parties
  • Ne laissez pas requêtes DNS de l’utilisateur être vu par n’importe quel serveur DNS autre que celle du VPN

ETANCHEITE empêche un trafic non chiffré en voyageant à l’extérieur du tunnel VPN lorsque vous êtes connecté à un serveur. Une fuite peut entraîner de l’activité en ligne de l’utilisateur étant visible à une tierce partie non désirée. Un coupe-circuit stoppe le trafic internet dans le cas où la connexion VPN tombe, s’arrêtant à toutes les données passant sur le réseau non chiffré, tandis que la connexion est rétablie. Deux de ces caractéristiques sont essentielles pour utilisateurs VPN qui apprécient la vie privée et la sécurité.

L’autre terme important de définir, c’est ce que veut dire être « connecté ». Nous avons choisi une définition très stricte :

“Dès l’instant où l’utilisateur active le VPN, jusqu’au moment où l’utilisateur choisit consciemment pour éteindre le VPN.”

L’utilisateur doit toujours être protégé à moins qu’ils choisissent de ne pas être. Si, par exemple, la connexion VPN tombe inopinément, elles devraient rester protégés.

Pour assez interpréter les résultats des tests, nous devons être conscients des types de fuites, les scénarios dans lequel ils se produisent, et la gravité qu’ils sont.

Types d’infiltrations

La suite d’outils de tests de cinq types courants de fuites VPN.

  • Simple IP fuit : présentent des fuites via le navigateur des adresses IP publiques de l’utilisateur (IPv4 ou IPv6)
  • Fuites de trafic IP : trafic laisse l’appareil à l’extérieur du tunnel VPN
  • Fuites DNS :
    • Le trafic DNS quitte l’appareil à l’extérieur du tunnel VPN
    • Le trafic DNS laisse via le tunnel, mais va à un serveur DNS non géré par le fournisseur VPN
  • WebRTC fuit : des adresses IP publiques de l’utilisateur (IPv4 ou IPv6) fuient via des fonctionnalités du navigateur WebRTC

Certains types de fuites se chevauchent. Par exemple, si nous pouvons prouver que le trafic IP fuit à l’extérieur du tunnel, alors cela implique aussi une fuite DNS. Cependant, DNS fuites ne pourraient pas nécessairement les fuites de trafic, il est donc important de vérifier pour les deux.

WebRTC IPv6 les fuites, qui sont très communs, venez dans l’une des deux classes : aucun permis accordés et les autorisations accordées. Dans le premier cas, adresse IPv6 publique de l’utilisateur est visible à des pages web sans jamais accorder des autorisations pour utiliser WebRTC. Il s’agit de la plus grave fuite parce que les pages web peuvent insérer du code javascript pour surveiller votre adresse IPv6 et l’identification de votre appareil. Le deuxième cas exige activement les utilisateurs accordent des autorisations de site Web pour utiliser audio et vidéo pour WebRTC. Certains fournisseurs uniquement IPv6 de fuite dans ce scénario, mais demeure néanmoins une fuite. Les utilisateurs doivent être en mesure d’utiliser en toute sécurité les sites compatibles avec WebRTC lorsqu’il est connecté au VPN sans exposer leur vie privée.

Alors que ces fuites sont un problème grave, la majorité des gens dans le monde n’ont toujours pas de connectivité IPv6 et n’est donc pas affectée.

La suite d’outils n’est pas nécessaire de tester un VPN pour fuites WebRTC IPv6. Il suffit d’aller sur ce site, s’assurer que sans autorisations ont été accordées pour l’audio et vidéo et vérifier si une adresse IPv6 est répertoriée. Vous pouvez ensuite ajouter ces autorisations et tester pour la classe d’autorisations accordées de fuite. (Remarque : Browserleaks.com n’est pas affilié avec LMV ou ExpressVPN.)

Scénarios de fuite

La suite de tests traverse plusieurs simulations différentes dont une fuite pourrait se produire. Il s’agit de différentes configurations de réseau et de machine. Dans son état actuel, la suite de tests est actuellement seulement en mesure de fonctionner sur Mac et Windows, mais ExpressVPN dit il va étendre la couverture à toutes les principales plates-formes.

Encore une fois, il n’y a aucun ensemble officiel de normes permettant de tester les fuites VPN, donc nous avons pris la liberté de définir deux catégories distinctes :

Scénarios vanille : Évidemment, nous avons besoin de tester des fuites lors d’une banale séance VPN. L’utilisateur se connecte et tout fonctionne bien. Dans un tel scénario, nous ne prévoyons pas la plupart des VPN à fuir, mais les essais valent toujours le faire. Les types de fuites détectées par les outils de test basé sur le web en général se produisent dans les scénarios de vanille.

L’exception à cette règle est IPv6. Nombreux réseaux privés virtuels fuient encore le trafic IPv6, spécifiquement avec WebRTC. WebRTC permet de voix en temps réel et de la communication vidéo via un navigateur web. Il peut être désactivé en modifiant un paramètre du navigateur Firefox, en via une extension pour Chrome.

Des scénarios de rupture : Les fuites plus intéressantes viennent quand le VPN ou réseau est perturbé en quelque sorte. Que se passe-t-il si, par exemple, un câble est arraché, tandis que le VPN est connecté ? Ces types de perturbations causent le réseau de déstabilisation, qui peut influer sur le VPN et donc la protection de la fuite. Il est tout à fait raisonnable pour un utilisateur de s’attendre à être protégés en vertu de ces conditions.

En supposant que deux connexions réseau sont disponibles, par exemple une connexion Wi-Fi et Ethernet, la liste complète des perturbations que nous testons est le suivant :

  • Tirer sur le câble ethernet
  • Désactiver Wi-Fi
  • Une connexion Wi-Fi réseau tombe en panne
  • Routeur tombe en panne
  • Branchez un câble ethernet (après connexion)
  • Wi-Fi s’allume (après connexion)
  • Réorganiser la priorité des services de réseau
  • Perturber la connexion avec le serveur VPN, qui peut se produire dans le monde réel si :
    • Le serveur VPN tombe en panne, éventuellement pour l’entretien, une panne de centre de données ou la confiscation par les autorités
    • La connexion au serveur est bloquée, par exemple par la grande muraille de Chine
    • Problèmes de routage vers le serveur VPN
  • Le processus VPN se bloque, par ex. accident openvpn
  • Perte de connectivité totale suivie d’une restauration ultérieure de réseau
  • Perturber la configuration du réseau, par exemple modifier les serveurs DNS sous VPN

Gravité de la fuite

L’importance de comprendre la gravité des fuites lorsqu’elles surviennent, ne peut être sous-estimée. Nous abordons quelques points clés ci-dessous, dans l’ordre décroissant selon la gravité :

Fuite vanille persiste : Le plus grave. Lorsque vous vous connectez au réseau VPN, données fuit constamment à l’extérieur du tunnel VPN dans les coulisses. La plupart des fournisseurs VPN n’ont aucun problème ici. WebRTC IPv6 fuites sont généralement la seule question en litige, mais bien sûr qui oblige l’utilisateur à avoir une adresse IPv6. La plupart ne.

Persistant a déclenché de fuite : Encore assez sévère, mais cela dépend de la gâchette. Fuites qui se produisent en raison de certains changements sur le système, telles que la modification de la configuration du réseau. VPN apps devraient être en mesure de faire face à ces changements sans fuite. Une fois que le déclencheur se produit, la fuite persiste. L’application VPN et l’utilisateur ne sont pas conscients. Un exemple de ceci se produit lorsque le trafic DNS commence une fuite hors du tunnel VPN et ne s’arrête jamais.

Temporaire déclenché fuites : Fuites, déclenchées par un événement qui se produisent seulement pendant une courte période de temps. Dans certains cas, cette période peut être assez longue (au moins en ce qui concerne les paquets IP) et beaucoup de données peuvent s’échapper du tunnel. Dans d’autres cas, la fenêtre peut être très bref ; peut-être seulement une poignée de paquets s’en sortir.

Fuites temporaires pas peuvent sembler sévères, notamment lorsque la fenêtre est petite. Mais si le déclencheur est quelque chose qui puisse arriver raisonnablement à un utilisateur sur une base régulière, puis au fil du temps un FAI (ou autre partie 3e) peut glaner encore suffisamment d’informations pour créer un profil sur l’utilisateur.

Il est important de comprendre les déclencheurs réelles lors de l’évaluation de la gravité d’une fuite. Déclencheurs varient largement de débrancher un câble Ethernet pour s’écraser le processus VPN.

Débrancher un câble Ethernet, c’est un monde très réel cas d’utilisation. Non seulement est-il susceptible d’affecter un nombre considérable d’utilisateurs, il reflète aussi une classe de problèmes différents qui pourrait causer le même problème. Par exemple, si le fournisseur fuit quand il échange un câble, alors il est fort probable qu’elles vont laissent dans d’autres scénarios tels que la perte de réseau temporaire. Les scénarios de test actuelles ne sont pas exhaustifs, donc nous utilisons ces types de défaillances pour indiquer la perméabilité générale.

Bloque le processus VPN est, en revanche, une affaire de bord. On s’attendrait généralement une application VPN soit stable. Cependant, les bogues obtenir expédiés et accidents se produisent dans le monde réel. Avec des millions de personnes utilisant des VPN à l’échelle mondiale, le nombre d’occurrences où ce qui arrive est sûr d’être différent de zéro.

Les résultats des tests de fuite VPN

Voici les résultats de nos tests dans l’ordre alphabétique. Pour chaque VPN, vous pouvez voir quelles fuites ont été détectées, comment elles sont déclenchées et leur gravité. Nous allons continuellement élargir cette liste comme le temps passe, ajoutant plus de VPN, de configurations et de dispositifs.

Avertissement : Alors que nous avons passé temps exécuter la suite de tests et de vérifier les tests ci-dessus tous échouer comme indiqué, nous n’avons pas allé dans une analyse détaillée de l’intégrité des outils eux-mêmes. Étant donné que les outils sont dans un État alpha, il est possible qu’il peut y avoir des inexactitudes dans les résultats.

Pour gagner la confiance dans la suite de tests nous avons corroboré les résultats en exécutant des tests manuels lorsque c’est possible. Ces tests manuels reproduit les scénarios de test sans utiliser d’outils de ExpressVPN. Dans tous les cas manuellement testés, nous avons observé la fuite tel que rapporté par la suite de tests. Nous avons donc un fort niveau de confiance que la suite de tests est un bon indicateur de la performance des applications VPN quand il s’agit de fuites.

Notre objectif est de passer plus de temps à l’avenir obtenir une compréhension plus profonde des outils, et nous espérons que d’autres dans l’industrie fera la même chose, en profitant de la nature de l’outils open source.

Avast SecureLine

Windows

  • (Vanille persistant) WebRTC IPv6 fuites sans octroi d’autorisations
  • (Temporaire déclenché) Fuites de trafic IP lorsque service réseau primaire est perturbé, par exemple en tirant le câble ethernet ou la désactivation du service
  • (Temporaire déclenché) Trafic IP fuit quand le serveur VPN est inaccessible
  • (Temporaire déclenché) Trafic IP fuit quand VPN processus se bloque

Mac

  • (Permanent déclenchée) WebRTC IPv6 fuit lorsque les autorisations sont accordées
  • (Temporaire déclenché) Trafic IP fuit quand le serveur VPN est inaccessible
  • (Temporaire déclenché) Trafic IP fuit quand VPN processus se bloque
  • (Temporaire déclenché) Trafic IP fuit lorsque l’interface principale est perturbé, par exemple en tirant le câble ethernet ou la désactivation du service

CyberGhost

Windows

  • (Vanille persistant) WebRTC IPv6 fuites sans octroi d’autorisations
  • (Vanille persistant) DNS vers leur serveur DNS puis se met à l’extérieur du tunnel, tout le temps. Il est donc visible pour les FSI et les tierces parties

Mac

  • (Permanent déclenchée) WebRTC IPv6 fuites lorsque les autorisations sont accordées
  • (Permanent déclenchée) DNS de fuite à FAI lorsque nouveau service réseau s’affiche, par exemple colmatage le câble ethernet tout en étant connecté au VPN. Nécessite adresse IP DNS locale. Si l’IP du DNS est public requêtes iront à ce serveur et pas de Cyberghost serveur.

ExpressVPN

Windows

  • Aucune fuite détectée

Mac

  • Aucune fuite détectée

Pour être juste, ExpressVPN construit les outils de test et appliquées à son propre app VPN avant la publication de cet article, donc il a déjà patché fuites qu’il initialement détectée. Avant l’exécution des tests et Patcher son propre app, elle a subi des fuites DNS qui ont résulté de connexions réseau de commutation.

HideMyAss

Windows

  • (Vanille persistant) WebRTC IPv6 fuites sans octroi d’autorisations
  • (Temporaire déclenché) Trafic IP fuit quand VPN processus se bloque
  • (Temporaire déclenché) Fuites de trafic IP lorsque la carte réseau principale est perturbé, par exemple en tirant le câble ethernet ou la désactivation de la carte
  • (Temporaire déclenché) Trafic IP fuit quand le serveur VPN est inaccessible

Mac

  • (Permanent déclenchée) WebRTC IPv6 fuit lorsque les autorisations sont accordées.
  • (Temporaire déclenché) Les fuites de trafic IP lorsque le serveur VPN est inaccessible.
  • (Temporaire déclenché) Trafic IP fuit quand VPN processus se bloque.
  • (Temporaire déclenché) Fuites de trafic IP lorsque service réseau primaire est perturbé, par exemple en tirant le câble ethernet ou la désactivation du service.

Remarque : la période de récupération pour toutes les fuites temporaires du trafic IP déclenchées sur HMA pour Mac est relativement longue, environ 30 secondes.

Hotspot Shield

Windows

  • (Vanille persistant) WebRTC IPv6 fuites sans octroi d’autorisations

Mac

  • (Permanent déclenchée) WebRTC IPv6 fuit lorsque les autorisations sont accordées
  • (Temporaire déclenché) Trafic IP fuit quand le serveur VPN est inaccessible
  • (Temporaire déclenché) Trafic IP fuit quand VPN processus se bloque
  • (Temporaire déclenché) Fuites de trafic IP lorsque service réseau primaire est perturbé, par exemple en tirant le câble ethernet ou la désactivation du service
  • (Temporaire déclenché) Trafic IP fuit quand un nouveau réseau s’affiche, par exemple colmatage le câble ethernet alors que le VPN est connecté

IPVanish

Windows

  • (Vanille persistant) WebRTC IPv6 fuites sans octroi d’autorisations
  • (Temporaire déclenché) Trafic IP fuit quand VPN processus se bloque
  • (Temporaire déclenché) Fuites de trafic IP lorsque la carte réseau principale est perturbé, par exemple en tirant le câble ethernet ou la désactivation de la carte

Mac

  • (Permanent déclenchée) DNS de fuite à FAI lorsque nouveau service réseau s’affiche, par exemple colmatage le câble ethernet tout en étant connecté au VPN. Nécessite adresse IP DNS locale. Si DNS IP est public alors demandes aller à ce serveur et pas du IPVanish serveur.
  • (Temporaire déclenché) Trafic IP fuit quand le serveur VPN est inaccessible
  • (Temporaire déclenché) Trafic IP fuit quand VPN processus se bloque
  • (Temporaire déclenché) Fuites de trafic IP lorsque service réseau primaire est perturbé, par exemple en tirant le câble ethernet ou la désactivation du service

NordVPN

Windows

  • (Permanent déclenchée) WebRTC IPv6 fuites lorsque les autorisations sont accordées.
  • (Temporaire déclenché) Trafic IP fuit quand VPN processus se bloque

Mac

  • (Temporaire déclenché) Trafic IP fuit quand VPN processus se bloque. Le coupe-circuit n’obtenir déclenché, alors que le VPN se déconnecte juste

Il est à noter que NordVPN a deux applications différentes pour MacOS : un site Web du fournisseur et sur l’App Store d’Apple. NordVPN nous ont informés qu’ils recommanderaient la version de l’App Store, qui utilise le protocole IKEv2 tenant lieu de OpenVPN. Cette version de l’app a moins de fuites, à savoir aucun DNS ne fuit. La version d’OpenVPN depuis le site Web a deux fuites persistantes de DNS déclenchées.

Accès Internet privé

Windows

  • (Vanille persistant) WebRTC IPv6 fuites sans octroi d’autorisations
  • (Temporaire déclenché) Trafic IP fuit quand VPN processus se bloque

Mac

  • (Permanent déclenchée) DNS de fuite à FAI lorsque nouveau service réseau s’affiche, par exemple tamponnage dans un câble ethernet alors que le VPN est connecté. Nécessite adresse IP DNS locale. Si l’IP du DNS est public requêtes iront à ce serveur et pas de serveur de PIA.
  • (Temporaire déclenché) Une étrange fuite DNS pour désactiver l’interface sous-jacente sur l’appareil. C’est un cas test de bord que nous n’avons pas trouvé un moyen clair que cela se passerait dans le monde réel, mais elle déclenche une fuite. Requiere racine, cependant, donc pas très menaçant.

Surfeasy

Windows

  • (Permanent déclenchée) WebRTC IPv6 fuit lorsque les autorisations sont accordées
  • (Temporaire déclenché) Fuites de trafic IP lorsque la carte réseau principale est perturbé, par exemple en tirant le câble ethernet ou la désactivation de la carte
  • (Temporaire déclenché) Trafic IP fuit quand le serveur VPN est inaccessible
  • (Temporaire déclenché) Trafic IP fuit quand VPN processus se bloque

Mac

  • (Vanille persistant) Trafic IPv6 fuit en raison du manque de protection
  • (Vanille persistant) WebRTC IPv6 fuites sans octroi d’autorisations
  • (Temporaire déclenché) Trafic IP fuit quand VPN processus se bloque
  • (Temporaire déclenché) Trafic IP fuit quand le serveur VPN est inaccessible
  • (Temporaire déclenché) Fuites de trafic IP lorsque service réseau primaire est perturbé, par exemple en tirant le câble ethernet ou la désactivation du service
  • (Temporaire déclenché) Trafic IP fuit quand un nouveau réseau s’affiche, par exemple colmatage le câble ethernet alors que le VPN est connecté
  • (Temporaire déclenché) Trafic IP fuit quand il change de commande de service de réseau

Remarque : Surfeasy est détenue par Symantec et service VPN Wi-Fi de pouvoirs Norton, alors nous pourrions nous attendre à voir des résultats similaires.

Torguard

Windows

Nous avons rencontré des problèmes techniques avec la suite de tests de ExpressVPN lors de l’analyse Torguard sur Windows et met à jour des résultats sur ce VPN dès que ces problèmes sont résolus. Nous avons exclu un certain nombre de résultats pour cette raison et uniquement inclus les résultats où le test s’est bien déroulé.

Mac

  • (Permanent déclenchée) WebRTC IPv6 fuit lorsque les autorisations sont accordées
  • (Temporaire déclenché) Trafic IP fuit quand VPN processus se bloque

Mise à jour : TorGuard de nous informer qu’ils sont incapables de reproduire les résultats de Mac et ne voient pas de fuites lors de l’utilisation des outils de ExpressVPN. Nous permet de reproduire les résultats, cependant et sommes convaincus que les tests fonctionnent comme prévu. Résulats de la Windows Torguard n’ont jamais paru dans une version éditée de cet article.

TunnelBear

Windows

  • (Permanent déclenchée) WebRTC IPv6 fuit lorsque les autorisations sont accordées.
  • (Temporaire déclenché) Fuites de trafic IP lorsque la carte réseau principale est perturbé, par exemple en tirant le câble ethernet ou la désactivation de la carte

Mac

  • (Permanent déclenchée) WebRTC IPv6 fuit lorsque les autorisations sont accordées.
  • (Temporaire déclenché) Fuites de trafic IP lorsque service réseau primaire est perturbé, par exemple en tirant le câble ethernet ou la désactivation du service
  • (Temporaire déclenché) Trafic IP fuit quand un nouveau réseau s’affiche, par exemple colmatage le câble ethernet alors que le VPN est connecté

VyprVPN

Windows :

  • (Vanille persistant) WebRTC IPv6 fuites sans octroi d’autorisations
  • (Temporaire déclenché) Trafic IP fuit lorsque l’interface principale est perturbé, par exemple en tirant le câble ethernet ou la désactivation de la carte réseau
  • (Temporaire déclenché) Trafic IP fuit quand le serveur VPN est inaccessible
  • (Temporaire déclenché) Trafic IP fuit quand VPN processus se bloque

Remarque : lorsque la perturbation arrive, VyprVPN détecte et se déconnecte, laissant l’application dans un état de commutateur de tuer sans connexion VPN. Les fuites déclenchée pendant la transition.

Mac

  • (Temporaire déclenché) Fuite de DNS à l’ISP quand un nouveau service de réseau apparaît,
    par exemple brancher câble ethernet après la connexion au VPN. Nécessite une adresse IP DNS locale. Si IP DNS est public alors demandes seront versés à ce serveur et pas de serveur de VyprVPN (Remarque : cela provoque effectivement une fuite persiste déclenchée, ce qui est plus grave).
  • (Temporaire déclenché) Trafic IP fuit quand le serveur VPN est inaccessible
  • (Temporaire déclenché) Trafic IP fuit quand VPN processus se bloque

Un avenir plus privé

Les implications de ces fuites peuvent être graves pour les utilisateurs qui ont besoin d’intimité sans faille lors de l’utilisation d’un VPN. Une fuite pourrait permettre des pirates, FSI et autorités gouvernementales de suivre et d’enregistrer l’activité en ligne.

Dans cet esprit, quelques fuites sont bien pires que les autres, et certains peut-être pas du tout une menace (par exemple les utilisateurs sans connectivité IPv6 ne se soucient pas IPv6 fuites). Un VPN avec une fuite moins sévère ou deux est toujours mieux que sans VPN du tout.

Nous espérons que ce rapport déclenche la barre pour la protection des renseignements personnels dans l’ensemble de l’industrie. LMV prévoit d’étendre son analyse à plusieurs VPN plus ainsi que d’autres configurations et systèmes d’exploitation. Nous re-tester et mettre à jour les résultats actuels comme les VPN plus patch leurs vulnérabilités.

Leave a Reply

Your email address will not be published. Required fields are marked *