Private Internet Access est un service de VPN bien connu car extrêmement simple à installer et à utiliser. Et très peu cher. C’est donc ce service que j’utilise au quotidien, notamment sur mon smartphone et pc portable dès que je me connecte à un Wifi inconnu.

Or, le 26 novembre, la société Perfect Privacy a révélé que bon nombres de fournisseurs de VPN souffrait d’une faille (à propos des redirections de ports, rien à voir avec le DNS). Bien sûr, ceux-ci se sont empressés de la colmater et, même s’il n’y avait rien à faire du côté utilisateur, Private Internet Access (PIA pour les intimes) a sorti une nouvelle version de son client VPN, la v.52, curieusement immédiatement suivie d’une v.53.

Notifié par le logiciel, j’ai téléchargé cette version (pour Windows 10 x64) et me suis empressé de faire quelques tests sur mes sites préférés :

https://ipleak.net/
https://www.dnsleaktest.com
https://www.perfect-privacy.com/dns-leaktest/
Et bingo ! Qu’est-ce qui surgit de mon écran tel un horrible guignol ? Une magnifique fuite de DNS (DNS Leak en Anglais).

C’est quoi DNS ?

Pour rappel, un serveur DNS (Domain Name Service) est une machine qui héberge les grands annuaires de l’internet. Lorsque que vous tapez http://www.wikipedia.org dans votre navigateur, à priori votre ordinateur ne sait absolument pas de quoi vous parlez et ne sait pas où se trouve http://www.wikipedia.org sur le réseau car c’est du parler humain. Or, votre ordinateur est une machine, et une machine ça ne se repère sur Internet qu’avec des adresses numériques du style 208.80.153.224.

Lorsque vous tapez http://www.wikipedia.org dans votre navigateur, celui-ci envoie donc une demande aux serveurs DNS pour savoir à quelle adresse IP correspond wikipedia.org. Le serveur DNS lui répond qu’il se trouve sur la machine dont l’adresse est 208.80.153.224 et le navigateur peut trouver son chemin à travers le réseau jusqu’à la bonne machine pour lui demander d’afficher la page d’accueil de Wikipédia.

A ce stade vous avez donc compris qu’il y a deux connections différentes : la demande auprès du serveur DNS puis la connexion au site. Lorsque vous utilisez un VPN, l’idée étant d’être un minimum « anonyme » (je mets des guillemets car ce n’est pas forcément le but premier et que ça ne suffit pas en soi), il serait de bon ton que l’ordinateur ne transmette pas à votre serveur DNS (et en clair) tous les noms des sites auxquels vous vous connectez .

Eh pourtant, c’est bien ce qui arrive lors de ces fameux DNS leaks : votre connexion est placée dans un « tunnel » chiffré (impossible de savoir où vous allez et ce que vous faites), mais les requêtes auprès des serveurs DNS sont faites en dehors de ce tunnel. Pour la discrétion, vous repasserez 😉

Logiquement, vous allez sûrement vous demander comment repérer une fuite de DNS. C’est tout simple : si vous vous connectez sans VPN sur les sites de tests mentionnés plus haut, vous allez voir apparaître votre fournisseur habituel de DNS (Orange, Free, SFR, Google, etc.). C’est normal.

Maintenant, activez votre VPN et retournez-y. Si tout se passe bien, le logiciel force les requêtes DNS à passer par le tunnel chiffré du VPN et vous ne voyez que le point de sortie de votre connexion. Tout va bien, la connexion est sécurisée. Mais si vous voyez votre fournisseur de DNS (le plus souvent votre fournisseur d’accès) apparaître, aïe aïe aïe…

La solution

La version v.53 de PIA souffre d’un DNS leak même si vous cochez l’option « DNS Leak Protection ». Une mise à jour (discrète puisqu’il n’y a pas de notification) à eu lieu hier. Il est donc impératif de la faire rapidement sous peine de perdre l’anonymat cherché. Mais attention, cette nouvelle version baptisée v.54 à jour souffre elle-même d’un DNS leak partiel : il faut impérativement activer l’option DNS Leak Protection.

J’ai eu à ce sujet une discussion étonnante avec le support technique qui a reconnu que le soucis venait d’eux après pas mal d’efforts de ma part pour leur démontrer (heureusement, j’utilise plusieurs systèmes différents, donc la démo est aisée). Peut-être que le bug sera corrigé avec la v.55 (MàJ : c’est fait, voir à la fin de l’article), mais d’ici là, il convient de conserver l’option de Protection cochée, même si cela peut entrainer des instabilités de connexion temporaires chez certaines personnes.

En conclusion, vous comprendrez qu’il est important pour votre vie privée de régulièrement vérifier le fonctionnement de votre VPN auprès de ces services.

Bonus : d’une manière générale, veillez à désactiver dans vos navigateur WebRTC qui fait fuiter votre adresse IP réelle quoi qu’il arrive car il la diffuse à travers le VPN. Le vilain bougre !

• Mozilla Firefox : taper « about:config” dans la barre d’adresse. Chercher “media.peerconnection.enabled”, double cliquer et le passer sur false.
• Google Chrome : installer l’extension officielle WebRTC Network Limiter.

Mise à jour du 21 décembre : Toujours sans aucune notification à ses clients, PIA vient de mettre en ligne une version v.55 qui corrige les fuites de DNS. Comment reconnaître ou savoir qu’une nouvelle version vient de sortir ? Il faut rien de moins que télécharger le fichier installer_win.exe, l’installer puis vérifier le numéro de version dans les options avancées.

Fichier au nom plus que générique, pas de notification de sortie… A croire que PIA cherche à cacher ses bourdes. En attendant, combien de clients tournent encore avec une v.53 sans savoir que leur vie n’est pas si bien cachée que ça ?