vpn-encryption-image

Chiffrement VPN

Private Internet Access utilise OpenVPN, une norme industrielle de VPN, pour fournir un tunnel VPN sécurisé. OpenVPN propose plusieurs options de chiffrement. Nos utilisateurs peuvent choisir le niveau de chiffrement qu'ils désirent pour leurs sessions VPN. Nous essayons de choisir par défaut les meilleurs paramètres et recommandons à la plupart des utilisateurs de les conserver. Ceci dit, nous aimons informer nos utilisateurs et leur donner la liberté de choisir eux-mêmes.

icon-suggested-encryption Paramètres de chiffrement suggérés

Protection recommandée par défaut

Chiffrement des données AES-128

Authentification des données : SHA1

Handshake : RSA-2048

Tout pour la vitesse, aucune sécurité

Chiffrement des données Aucune

Authentification des données : Aucune

Handshake : ECC-256k1

Protection maximale

Chiffrement des données AES-256

Authentification des données : SHA256

Handshake : RSA-4096

Danger

Chiffrement des données AES-128

Authentification des données : Aucune

Handshake : RSA-2048


icon-data-encryption Chiffrement des données

Il s'agit de l'algorithme de cryptographie symétrique avec lequel l'ensemble de vos données est chiffré et déchiffré. La cryptographie symétrique utilise une clé secrète éphémère partagée entre vous et le serveur. Cette clé secrète est échangée en utilisant le chiffrement Handshake.

AES-128

L'Advanced Encryption Standard (128-bit) en mode CBC.
Il s'agit du mode de chiffrement le plus rapide.

AES-256

Advanced Encryption Standard (256-bit) en mode CBC.

Aucune

Aucun chiffrement. Aucune de vos données ne sera chiffrée. Vos informations de connexion seront chiffrées. Votre IP restera cachée. Ceci peut être une option avantageuse si vous recherchez les meilleures performances possibles tout en ne cachant que votre adresse IP. Ceci est similaire à un proxy SOCKS, mais a l'avantage de ne pas laisser fuir votre nom d'utilisateur et votre mot de passe.


icon-data-authentication Authentification des données :

Il s'agit de l'algorithme d'authentification du message avec lequel l'ensemble de vos données est authentifié. Il est utilisé uniquement pour vous protéger des attaques actives. Si les attaques actives vous préoccupent, vous pouvez désactiver l'authentification des données.

SHA1

HMAC utilisant Secure Hash Algorithm (160-bit).
Il s'agit du mode d'authentification le plus rapide.

SHA256

HMAC utilisant Secure Hash Algorithm (256-bit).

Aucune

Aucune authentification. Aucune de vos données chiffrées ne seront authentifiées. Un attaquant actif pourrait potentiellement modifier ou déchiffrer vos données. Ceci ne donnera aucune opportunité à un attaquant passif.


icon-handshake-encryption Chiffrement Handshake

Ce chiffrement est utilisé pour établir une connexion sécurisée et vérifier que vous communiquez réellement avec un serveur VPN de Private Internet Access et pas avec le serveur d'un attaquant. Nous utilisons le protocole TLS v1.2 pour établir cette connexion. Tous nos certificats utilisent la fonction SHA512 pour leur signature.

RSA-2048

2048bit Échange de clés Diffie-Hellman (DH) et certificat RSA 2048-bit pour vérifier que l'échange de clés a bien eu lieu sur un serveur Private Internet Access.

RSA-3072

Comme RSA-20148, mais 3072-bit, à la fois pour l'échange de clés et pour le certificat.

RSA-4096

Comme RSA-2048, mais 4096-bit, à la fois pour l'échange de clés et pour le certificat.

ECC-256k1 icon-warning

Échange de clés éphémères Diffie-Hellman basé sur les courbes elliptiques et certificat ECDSA pour vérifier que l'échange de clés a bien eu lieu sur un serveur Private Internet Access. La courbe secp256k1 (256-bit) est utilisée pour les deux. C'est la courbe utilisée par Bitcoin pour signer ses transactions.

ECC-256r1 icon-warning

Comme ECC-256k1, mais la courbe prime256v1 (256-bit, également appelée secp256r1) est utilisée pour l'échange de clés et pour le certificat.

ECC-521 icon-warning

Comme ECC-256k1, mais la courbe secp521r1 (521-bit) est utilisée pour l'échange de clés et pour le certificat.


icon-warning Avertissements

Nous affichons un avertissement dans trois cas :

Des révélations récentes de la NSA ont suscité des inquiétudes quant à la possibilité que certaines ou peut-être même l'ensemble, des courbes elliptiques approuvées par les organismes de normalisation américains puissent avoir des portes dérobées permettant à la NSA de les casser plus facilement. Il n'existe aucune preuve de ceci pour les courbes utilisées pour les signatures et l'échange de clés et certains experts pensent que cela est peu probable. Nous permettons par conséquent aux utilisateurs de choisir cette option, mais affichons un avertissement à chaque fois qu'ils sélectionnent un paramètre de courbe elliptique. Nous avons également inclus la courbe moins courante secp256k1, utilisée par Bitcoin. Celle-ci a été générée par Certicom (une entreprise canadienne) et non pas par le NIST (comme l'ont été les autres courbes) et semble laisser moins de place pour potentiellement cacher une porte dérobée.
Tout porte à croire qu'une porte dérobée a été ajoutée à un générateur aléatoire de nombres qui utilise ECC, mais il n'a pas été largement utilisée.


icon-glossary Glossaire

Attaques actives

On parle d'attaque active lorsqu'un attaquant se place « entre » vous et le serveur VPN, dans une position lui permettant de modifier les données de votre session VPN ou d'y injecter des données. OpenVPN a été conçu pour être sécurisé contre les attaquants actifs tant que vous utilisez à la fois le chiffrement des données et l'authentification des données.

Attaques passives

On parle d'attaque passive lorsqu'un attaquant se contente d'enregistrer l'ensemble des données qui transite par le réseau, mais ne les modifie pas et n'en injecte pas de nouvelles. Par exemple, une entité qui capture l'ensemble des données transitant par le réseau et les stocke, mais n'interfère pas avec elles et ne le modifie pas, est une attaque passive. Tant que vous utilisez le chiffrement des données, votre session OpenVPN est sécurisée contre les attaquants passifs.

Clés éphémères

Les clés éphémères sont des clés de chiffrement qui sont générées aléatoirement et ne sont utilisées que pendant une période donnée, après laquelle elles sont effacées de façon sécurisée. Un échange de clés éphémères est le processus pendant lequel ces clés sont créées et échangées. L'algorithme de Diffie-Hellman est utilisé pour effectuer cet échange. Les clés éphémères reposent sur l'idée qu'une fois que vous avez terminé de les utiliser et qu'elles ont été supprimées, personne ne pourra jamais déchiffrer les données qu'elles ont servi à chiffrer, même en accédant à l'ensemble des données chiffrées, ainsi qu'au client et au serveur.