Qu’est-ce qu’un VPN à sauts multiples et en avez-vous besoin?

Un VPN à sauts multiples ajoute une couche supplémentaire de cryptage et un serveur supplémentaire à votre connexion VPN normale en “chaînant” ou “en cascade” deux serveurs VPN ou plus ensemble. Dans cet article, nous allons détailler le fonctionnement des VPN à sauts multiples et expliquer pourquoi une personne peut en avoir besoin.

En termes simples, un VPN à sauts multiples ajoute une couche supplémentaire de cryptage et un serveur supplémentaire à votre connexion VPN normale en «chaînant» ou en «cascadant» deux serveurs VPN ou plus ensemble. Le but est de renforcer la sécurité et la confidentialité fournies par une connexion VPN standard à serveur unique.

Les VPN à sauts multiples sont parfois appelés doubles VPN, bien que n’importe quel nombre de serveurs VPN puisse être inclus dans la chaîne.

Quel est le problème avec un VPN normal?
Une connexion VPN normale achemine le trafic Internet entrant et sortant via un seul serveur VPN.

  1. Vos données sont cryptées sur votre appareil,
  2. envoyé au serveur VPN,
  3. déchiffré sur le serveur VPN,
  4. et envoyé à sa destination finale.

Le même processus se produit en sens inverse pour le trafic entrant.

Une configuration normale comme celle-ci offre suffisamment de confidentialité et de sécurité à la plupart des utilisateurs. Cela dit, ce n’est pas sans ses faiblesses. Si ce serveur est en quelque sorte compromis, votre fournisseur de services Internet (FAI), vos agences gouvernementales, vos administrateurs réseau, vos sites Web, vos applications et vos pirates informatiques pourraient mettre en corrélation le trafic entrant dans le serveur VPN et le trafic sortant. Même si votre trafic est chiffré, il peut toujours être corrélé au trafic non chiffré par horodatage, quantité de données transférées et adresses IP du serveur VPN.

Le serveur VPN peut enregistrer votre adresse IP réelle et votre activité en ligne, même s’il prétend avoir une stratégie «pas de journal». En supposant que le fournisseur de réseau privé virtuel (VPN) soit digne de confiance, les fournisseurs ne possèdent généralement pas leurs propres centres de données, où les serveurs sont hébergés.

Un attaquant peut voir l’adresse IP du serveur VPN auquel vous êtes connecté. S’ils peuvent, d’une manière ou d’une autre, violer le centre de données où est hébergé ce serveur VPN, l’utilisateur est vulnérable à la corrélation de trafic. Le trafic chiffré entre le périphérique de l’utilisateur final et le serveur peut être mis en corrélation avec le trafic déchiffré entre le serveur et le Web, identifiant l’utilisateur.

Si un adversaire bien armé venait à compromettre votre connexion au serveur VPN (les serveurs des centres de données peuvent être piratés, abusés par le personnel ou surveillés par des agences gouvernementales), ils pourraient alors retracer votre activité en ligne.

Avantages du multi-saut VPN
Un petit nombre de fournisseurs de VPN offrent des VPN à sauts multiples dans le cadre de leurs abonnements. Notre principale recommandation est NordVPN, qui exécute une vingtaine de VPN à double saut dans plusieurs pays. Vous bénéficiez également d’une stratégie d’absence de journal, de serveurs rapides, d’un support en direct et d’un cryptage renforcé.

Meilleure sécurité, confidentialité et anonymat
VPN à double saut
Un VPN à sauts multiples tente d’atténuer ces menaces. Voici comment fonctionne un VPN à double saut typique:

1. Vos données sont cryptées sur votre appareil une fois,
2. puis chiffré une seconde fois sur votre appareil (deux couches de chiffrement).
3. Les données cryptées sont envoyées au premier serveur VPN.
4. La deuxième couche de cryptage est supprimée.
5. Les données cryptées sont envoyées au deuxième serveur VPN.
6. La première couche de chiffrement est supprimée et les données sont entièrement déchiffrées.
7. Les données déchiffrées sont envoyées à leur destination finale.
Notez que chaque couche de chiffrement est supprimée dans l’ordre inverse de l’application: dernier entré, premier sorti. Le premier VPN à chiffrer les données sur le périphérique sera le dernier serveur de la chaîne, et le dernier à chiffrer les données sera le premier de la chaîne.

Ce tunnel dans un tunnel résout quelques-uns des problèmes pouvant affecter les connexions VPN normales:

Bien que votre fournisseur de services Internet ou un attaquant puisse voir vos données aller sur un serveur VPN, ils ne peuvent pas voir le deuxième serveur VPN et ne peuvent donc pas surveiller le trafic sortant du VPN pour établir une corrélation avec les données cryptées qui y sont entrées.
De même, les sites Web et les applications que vous utilisez lorsque vous êtes connecté à un VPN à sauts multiples peuvent voir le deuxième serveur VPN sur lequel le trafic sort, mais pas le premier sur lequel il entre, rendant ainsi la corrélation presque impossible.
La plupart des VPN utilisent des adresses IP partagées, ce qui signifie que tous les utilisateurs connectés à un seul serveur se voient attribuer la même adresse IP. Cela rend beaucoup plus difficile de retracer l’activité en ligne jusqu’à un seul utilisateur. L’envoi de trafic via deux pools d’utilisateurs partageant des adresses IP rend la corrélation de trafic plus difficile de manière exponentielle.

Si un attaquant compromet le premier serveur de la chaîne, les données de l’utilisateur sont toujours encapsulées dans une deuxième couche de chiffrement. Si un attaquant compromet le deuxième serveur, il ne pourra toujours pas retracer la moindre donnée au-delà du premier serveur.

Contourner la censure
Les VPN sont fréquemment utilisés pour contourner la censure, que ce soit dans un bureau, dans un environnement scolaire ou dans un pays autocratique comme la Chine. Si l’entité qui effectue la censure calcule cela et bloque une série de serveurs VPN, un VPN à double saut pourrait s’avérer nécessaire pour débloquer le Web.

Disons que la Chine bloque ou étrangle tout le trafic Internet vers les États-Unis, y compris les serveurs VPN basés aux États-Unis. Si vous avez besoin d’accéder à du contenu uniquement disponible aux États-Unis, il ne suffira pas de changer de pays. Au lieu de cela, un VPN multi-saut pourrait vous permettre de vous connecter d’abord au Canada (ou à un autre pays), puis aux États-Unis. Le censeur ne pourra pas surveiller le serveur américain et permet donc à la connexion de passer.

Inconvénients du multi-saut VPN
Performance et rapidité
La vitesse de l’Internet et les performances des appareils seront pénalisées par l’utilisation d’un VPN à sauts multiples.

La latence est augmentée par la distance supplémentaire que vos données doivent parcourir.
La vitesse est limitée au serveur de la chaîne disposant du moins de bande passante disponible.
Décrypter deux couches de chiffrement ou plus au lieu d’une seule est plus contraignant pour le matériel de votre appareil.
Dans de rares cas, la connexion entre les deux serveurs peut être plus rapide qu’une connexion directe au deuxième serveur. Dans ce cas, un VPN à sauts multiples peut améliorer la latence en contournant les obstacles, mais ce scénario est rarement suffisamment fiable pour qu’un VPN à sauts multiples profite réellement aux utilisateurs via un seul VPN.

Ne vous protégera pas de votre fournisseur de VPN
Les VPN à sauts multiples atténuent certains des risques de corrélation de trafic associés aux connexions VPN à serveur unique, mais ils ne vous protègent pas des fournisseurs de VPN néfastes. Si les deux serveurs de la chaîne appartiennent au même fournisseur, il serait simple pour ce fournisseur de surveiller votre activité en ligne et de conserver des journaux de ce que vous faites en ligne. Étant donné que le fournisseur a le contrôle des deux serveurs, l’utilisation d’un double VPN ne protège en rien du fournisseur VPN.

Une solution consiste à utiliser des serveurs VPN provenant de fournisseurs distincts (voir ci-dessous), et une autre solution consiste à utiliser votre propre serveur VPN en combinaison avec un fournisseur. Ces méthodes nécessitent une beaucoup plus grande expertise technique à mettre en place par rapport aux options multi-sauts intégrées aux applications de certains fournisseurs, et sort du cadre de cet article. Autant dire qu’ils ont leurs propres défis et problèmes de confidentialité.

VPN à sauts multiples vs Tor
Si l’anonymat est votre objectif, Tor vous servira probablement mieux qu’un VPN à sauts multiples. Les serveurs Tor, appelés nœuds ou relais, sont décentralisés, ce qui signifie qu’ils ne sont pas exploités par une seule entité. Le trafic Tor passe toujours par au moins trois de ces nœuds, ce qui est supérieur aux deux types proposés par la plupart des services VPN à sauts multiples.

Chaque fois que vous accédez à un domaine différent, votre trafic Internet emprunte un itinéraire différent et aléatoire sur le réseau Tor. Chaque nœud ne connaît que l’emplacement des autres nœuds qui le précèdent et le suivent immédiatement. Cela signifie qu’aucun nœud n’a la connaissance de l’intégralité de l’itinéraire emprunté par votre trafic vers sa destination. Semblable à un VPN à sauts multiples, chaque nœud supprime une couche de cryptage, révélant l’adresse IP du nœud suivant dans la chaîne.

Tor ne vous permet pas de choisir l’emplacement de ces nœuds, contrairement à un VPN à sauts multiples. Tor est également un peu vulnérable à l’analyse du trafic, bien que ce soit extrêmement rare. De nombreuses applications et sites Web peuvent bloquer le trafic Internet des nœuds de sortie Tor. Et Tor est généralement plus lent qu’un VPN.

Tor + VPN
Il est possible de combiner Tor avec un VPN, mais les experts s’interrogent sur le point de savoir si cela apporte réellement un avantage à l’utilisateur. Le moyen le plus simple d’utiliser Tor avec un VPN consiste simplement à vous connecter à un VPN, puis à ouvrir le navigateur Tor. Le trafic sera d’abord envoyé via le VPN, puis via le réseau Tor.

Si vous estimez que vous devez optimiser votre confidentialité au détriment des performances, un VPN multi-sauts associé à Tor est certainement une option, mais probablement pas nécessaire pour la grande majorité des utilisateurs.

Puis-je utiliser deux VPN simultanément sur le même appareil?
Il est possible de connecter deux clients VPN à des serveurs distincts en même temps sur un seul appareil. Cependant, cela ne donnera généralement pas lieu à un VPN à sauts multiples, comme nous l’avons décrit ci-dessus. Au lieu de cela, plusieurs VPN sur un seul périphérique sont généralement configurés pour le tunneling fractionné. En d’autres termes, il crée deux tunnels parallèles au lieu d’un tunnel à l’intérieur d’un tunnel.

Le tunneling fractionné utilise un ensemble de règles qui déterminent les itinéraires empruntés par votre trafic Internet, en fonction de sa source ou de son type. Par exemple, vous voudrez peut-être que le trafic BitTorrent passe par un seul VPN et que les données de toutes vos autres applications transitent par un autre VPN. Tant que les deux ensembles de règles qui déterminent ce comportement ne se chevauchent pas, les deux VPN peuvent fonctionner indépendamment.

Le simple fait d’installer deux applications VPN sur un seul appareil et de les connecter sans établir d’itinéraires IP à l’avance peut causer des problèmes, tels que des fuites de mémoire et des erreurs DNS. Le résultat exact varie en fonction de l’implémentation du client VPN.

Nous avons testé quelques VPN sur Windows 10 pour voir ce qui se passerait si nous les connections en même temps. Lors de nos tests, soit le premier VPN empêchait le second de se connecter (ExpressVPN empêchait NordVPN de se connecter), soit le second VPN prenait complètement le relais (PrivateVPN prenait le relais alors qu’Ivacy était toujours connecté). Les VPN ne fonctionnaient pas en tandem, et l’exécution d’un traceroute donnait les mêmes résultats avec un VPN connecté avec deux.

En bref, connecter deux VPN en même temps sur le même appareil n’est pas la même chose que d’utiliser un VPN à sauts multiples et peut entraîner un comportement indésirable et des erreurs.

Chaînage de serveurs VPN de différents fournisseurs
Si vous souhaitez chaîner des serveurs VPN de différents fournisseurs, une meilleure option consiste à configurer un VPN sur votre ordinateur portable ou votre smartphone et le second sur votre routeur wifi ou une machine virtuelle. Ceci a un résultat similaire à l’utilisation d’un VPN à double saut d’un fournisseur tel que NordVPN. Le flux de données ressemble à ceci:

VPN A sur votre appareil chiffre les données et les envoie au routeur ou à la machine virtuelle.
VPN B sur le routeur ou la machine virtuelle chiffre les données une seconde fois et les envoie au serveur du VPN B.
Le serveur VPN B reçoit les données, supprime la deuxième couche de cryptage et l’envoie au serveur VPN A.
Le serveur VPN A reçoit les données, supprime la première couche de chiffrement et envoie les données entièrement déchiffrées à sa destination.
Le processus est inversé pour le trafic Internet entrant. Les sites Web et les applications peuvent uniquement retracer le trafic sur le serveur VPN A, tandis que votre fournisseur de services Internet ne peut voir que les informations sont envoyées au serveur VPN B.