Problème de l’initialisation de la communication chiffrée

OpenVPN : SHA1, AES-256-CBC, TLS-DHE-RSA-WITH-AES-256-CBC-SHA
   Authentification/vérification (HMAC) des paquets d’OpenVPN avec le hachage SHA1
   Chiffrement des données du tunnel avec le cipher AES (256 bits) et par chaînage de blocs (CBC)
   Session de contrôle TLS (sécurise l’échange des clefs privés, évite les attaques man-in-the-middle)
   Et enfin, utilisation de l’algo Diffie–Hellman pour l’échange des clefs secrètes éphémères (DHE)
http://blog.developpeur-neurasthenique.fr/vie-privee-psilo-un-vpn-meme-qu-il-est-vachement-bien.html
Faire attention à la version OpenSSL: http://korben.info/mettez-jour-openssl-urgent.html
# Échange de clés Diffie-Hellman : Ce protocole est vulnérable à « l'attaque de l'homme du milieu »,
https://fr.wikipedia.org/wiki/%C3%89change_de_cl%C3%A9s_Diffie-Hellman

# Le PPTP, mais c'est d'la merde !
- Vulnérabilité liant le PPTP et l'IPV6
- MS-CHAPv2 est rétro-compatible MS-CHAPv1, c'est-à-dire qu'il est techniquement possible de tromper client et serveur sur le protocole d'authentification à utiliser.
- Facilement identifiable via le port 1723 et se bloque donc aisément avec un firewall. contrairement à OpenVPN
- Le MS-CHAPv2 (authentification) et le MPPE (chiffrement), parents pauvres de la crypto, base du chiffrement du PPTP.
- chiffrage MPPE 128 bits se base sur le mot de passe de l'utilisateur ce qui est totalement impardonnable
http://www.plugngeek.net/le-pptp-mais-c-est-d-la-merde

# comparatif pptp / l2TP/IPsec / openVPN / Chameleon
http://fr.giganews.com/vyprvpn/compare-vpn-protocols.html

# Fuite DNS dans VPN
https://freedom-ip.com/forum/viewtopic.php?id=2939

#N’oubliez pas
Il faut être DISCRET, se CAMOUFLER, se MASQUER, POUR être ANONYME

"Commencer par noter l'adresse IP d'un serveur de noms de confiance. Nous suggérons ceux-ci"

   80.67.188.188 et 2001:913::8, fournis par Lorraine Data Network ;
Par French Data Network IPV4 80.67.169.12 et  IPv6 2001:910:800::12
 
Entrer ces adresses aux endroits appropriés du système.(explication sur le site)

> Autre services de DNS : https://servers.opennicproject.org/

# Autre aides pour changer de DNS
> Si vous êtes équipés d’un Mac sous Mac OS X, le fichier à modifier est /etc/resolv.conf. Sous Mac OS X vous pouvez aussi effectuer ce paramétrage via Préférences Système / Réseau :
http://www.zdnet.fr/actualites/pour-contourner-le-blocage-des-sites-web-il-suffit-de-changer-de-resolveur-dns-39810881.htm

> Aide pour Ubuntu
https://doc.ubuntu-fr.org/dns#configuration_d_un_dns_alternatif

L'utilisation de certificat se fait en mode non sécurisé (HTTP) et est la première étape utilisée entre un client et un serveur avant l'ouverture d'une connexion en mode sécurisé (HTTPS)
http://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification
https://fr.wikipedia.org/wiki/X.509

< https://web.archive.org/web/20171126075426/http://lesinternets.arte.tv/

> Et c'est précisément sur ces DSLAM, qui récupèrent le trafic transitant sur les lignes téléphoniques afin de router les données vers les gros tuyaux des FAI, au plus près des abonnés, que s'effectuent les écoutes Internet - See more at: http://bugbrother.blog.lemonde.fr/2013/07/11/la-dgse-a-le-droit-despionner-ton-wi-fi-ton-gsm-et-ton-gps-aussi/#sthash.0y4bvmEq.dpuf
> Invité par l’Association des Réservistes du Chiffre et de la Sécurité de l'Information (Arcsi), Bernard Barbier, le "directeur technique" de la Direction Générale de la Sécurité Extérieure (DGSE), a levé une partie du voile sur le fonctionnement des "grandes oreilles" de la "grande muette".
stockage de "tous les mots de passe" qu'elle a pu intercepter sur les "réseaux grand public", comme je l'avais écrit en 2010
http://bugbrother.blog.lemonde.fr/2010/10/02/frenchelon-la-dgse-est-en-1ere-division/
> info technique
https://fr.wikipedia.org/wiki/Digital_subscriber_line_access_multiplexer

> en utilisant plusieurs vulnérabilités du système d'échange de fichiers BitTorrent, il était possible d'obtenir des informations sur l'identité d'internautes qui téléchargent ou mettent en circulation des fichiers
> Les recherches de l'Inria montrent également que certaines techniques de dissimulation, et notamment l'utilisation du réseau Tor, un système de réseau décentralisé garantissant théoriquement un anonymat élevé, peuvent également être contournées.
> Adopi, le petit aiguillons pour enfin utiliser les outils de protections contre la surveillance de l'état et autres organisations duales ?!

Descriptif technique du projet.

Exemple de serveur
https://fr.wikipedia.org/wiki/SheevaPlug
https://fr.wikipedia.org/wiki/Plug_computer

FreedomBox est un projet communautaire visant à développer, concevoir et promouvoir1 l'utilisation de serveurs web personnels fonctionnant à base de logiciels libres pour fournir des services de réseaux sociaux distribués, courrier électronique et communications audio/video
> La Freedom Box ou la petite boîte qui voulait que l'Internet restât libre
https://fr.wikipedia.org/wiki/FreedomBox

En 2019, en partenariat avec la FreedomBox Foundation, la société Olimex a commencé à vendre une version prête à l'emploi nommée « Pioneer Edition FreedomBox Home Server Kit », basée sur l'un de ses nano-ordinateur OLinuXino9.

http://www.framablog.org/index.php/post/2011/02/21/freedom-box-internet-moglen
# A noter
- Serveur web via TOR
- Box en wifi Mesh

Article assez racoleur, mais quelques infos.

# voir aussi
Il est bien sûr possible de rerouter tout le trafic d'une machine pour le passer via Tor mais uniquement si on est sous GNU/Linux. Sous Windows ce n'est pas possible à moins d'utiliser une passerelle matérielle externe (et fonctionnant sous GNU/Linux) qui sera capable de faire transiter via Tor, tout le trafic sortant de vos ordinateurs.
Tortilla : outil qui va permettre de faire transiter par TOR sous Windows, de manière sécurisée, anonyme et transparente, tout le trafic TCP/IP et DNS d'une machine.
http://korben.info/tortilla.html