Lorsque les VPNs ont été introduits comme réseaux privés virtuels sécurisés, la plupart des utilisateurs les adoptaient avant tout pour leurs propriétés de sécurité. Avec le temps, cependant, la censure d'Internet a atteint des niveaux sans précédent à travers le monde. Cela a conduit à l'utilisation des VPNs, et notamment des VPNs obfusqués, comme outils pour contourner ces restrictions. Aujourd'hui, une large proportion des utilisateurs de VPN vient de pays soumis à de fortes restrictions d'accès à Internet, comme Cuba, la Russie, la Chine et l'Iran.
Ce n'est pas tout : même dans les pays occidentaux, des utilisateurs recourent aux VPNs pour contourner les géoblocages et accéder à des sites que leurs gouvernements jugent inappropriés. Selon une étude de 2012 menée par la Global Internet Society, 71 % des internautes dans le monde estimaient que leur libre accès à Internet était visé par la censure en ligne.
Dès lors que les VPNs ont commencé à être utilisés de cette façon, ils sont eux-mêmes devenus des cibles prioritaires de blocage. L'un des cas les plus récents s'est produit en Iran où, en pleine agitation civile, le gouvernement a non seulement bloqué l'accès à une grande partie d'Internet, mais a également ciblé délibérément les services VPN pour empêcher tout contournement. Ces événements ont poussé la communauté informatique internationale à développer de nouvelles méthodes pour garantir un accès libre à Internet. L'une d'elles est connue sous le nom de VPN obfusqué : il s'agit d'une amélioration de la technologie VPN elle-même.
Dans cet article, je vais passer en revue les principales méthodes de blocage des VPNs, comment contourner ces blocages, ainsi que la définition et les meilleures options de VPNs obfusqués disponibles. Allons-y !
Comment la censure d'Internet affecte-t-elle les VPNs ?
Il existe plusieurs façons pour une entité de bloquer un VPN. Ce phénomène peut être divisé en deux catégories distinctes : la première consiste à bloquer le VPN lui-même, la seconde à empêcher le VPN d'accéder à une destination en ligne particulière. Cette deuxième méthode est généralement utilisée par des sites web pour interdire l'accès à leurs services aux utilisateurs de VPN, qu'ils considèrent comme des menaces. Netflix en est un bon exemple. Pour empêcher le contournement de ses restrictions géographiques, Netflix a bloqué l'accès via VPN en mettant sur liste noire les adresses IP et les plages d'adresses associées. Si cette approche est efficace en surface, certains VPNs avancés parviennent tout de même à la contourner.
À lire aussi : Comment installer WireGuard sur Netflix VPS ?
Les Governements, quant à eux, déploient des moyens bien plus élaborés pour bloquer les VPNs. Là où Netflix se contente de bloquer des adresses IP, les Governements s'attaquent aux ports utilisés par les différents protocoles VPN, comme IPsec, IKEV2, PPTP et OpenVPN. Cela passe généralement par la mise en place d'un pare-feu à l'échelle de l'infrastructure nationale, au niveau matériel des FAI, afin de neutraliser complètement le VPN. Et ce n'est pas tout : cette méthode est complétée par le blocage d'adresses IP mentionné précédemment, ainsi que par des techniques plus poussées comme l'inspection approfondie des paquets, connue sous le nom de DPI.
Comment contourner les blocages Internet
Il existe de nombreuses façons de contourner activement le blocage d'Internet. Si les VPNs sont la solution la plus connue et la plus fiable, d'autres options crédibles existent et peuvent être utilisées. Cet article n'a pas vocation à les couvrir en détail, mais je les mentionnerai brièvement ici pour vous en donner une vue d'ensemble. Si vous souhaitez en savoir plus sur ces méthodes et leurs caractéristiques, vous pouvez consulter mon autre article sur comment contourner les restrictions Internet.
Au-delà des VPNs et de leurs variantes obfusquées, que nous aborderons en détail dans les prochaines parties de cet article, vous pouvez utiliser le navigateur Tor et son réseau de ponts pour contourner les restrictions Internet. Le tunneling SSH via un serveur VPS est également considéré comme une méthode fiable. L'utilisation de proxies est une autre technique très répandue pour contourner la censure en ligne. Cette méthode est cependant assez facile à neutraliser, bien que le reverse proxy soit une approche plus récente que nous aborderons aussi dans cet article. En dehors de ces méthodes, la modification de DNS est une technique simple qui demande peu d'effort, mais qui peut être contrée facilement. Lorsque le blocage et la censure des VPNs sont imposés au niveau fondamental de l'infrastructure, aucune de ces solutions ne fonctionne vraiment, et il ne reste plus qu'à se tourner vers les VPNs obfusqués.
Qu'est-ce que l'obfuscation VPN ?
L'obfuscation de VPN consiste à utiliser un serveur VPN obfusqué pour contourner les pare-feux qui bloquent l'accès aux différentes options VPN au niveau de l'infrastructure. Mais comment fonctionne un serveur obfusqué ? Un VPN obfusqué est conçu avec un chiffrement avancé qui rend les paquets de données utilisés par votre connexion Internet indiscernables d'un trafic ordinaire, sans VPN. Autrement dit, la nature des paquets transitant par le VPN est profondément altérée, notamment par des techniques comme le brouillage, afin de masquer la présence même d'un VPN sur le réseau.
Un VPN obfusqué offre de meilleures capacités pour contourner la censure en ligne et la surveillance gouvernementale. Il empêche également votre FAI de surveiller et d'analyser vos données. Ces VPNs obfusqués suppriment aussi les restrictions imposées par les réseaux internes stricts, comme ceux que l'on trouve en entreprise, dans les universités ou les bibliothèques, vous permettant d'utiliser le réseau normalement. Malgré leur efficacité, il faut savoir qu'un VPN obfusqué ne résout pas tous les problèmes liés aux pare-feux mentionnés précédemment. Même avec un serveur obfusqué, des ajustements et quelques essais restent souvent nécessaires pour qu'il fonctionne correctement.
Principales méthodes d'utilisation des VPNs obfusqués
Comme je l'ai mentionné, il existe différentes variantes de serveurs VPN obfusqués. Le processus d'obfuscation lui-même varie d'un protocole à l'autre. Si cette diversité peut sembler déroutante au premier abord, il est utile de savoir que, d'un côté, les options de VPN obfusqués s'efforcent de dissimuler leur algorithme de tunneling, et de l'autre, les gouvernements appliquant la censure cherchent tout autant à les détecter et à les bloquer. Cette variété d'options est donc une chance : si votre premier choix ne parvient pas à franchir les restrictions imposées, vous pourrez vous tourner vers une alternative. Voici un tour d'horizon des options de VPN obfusqués les plus connues et les plus utilisées en 2023.
1. Tor Bridge : collaborer pour un Internet libre
Dans mon précédent article sur le contournement des restrictions Internet, j'ai mentionné le navigateur Tor ainsi que des variantes combinant VPN et proxies. Tor est un projet open source, ce qui signifie que ses serveurs, ainsi que leurs adresses IP et leurs ports, sont publics. N'importe quel gouvernement ou FAI souhaitant bloquer votre accès à Tor peut facilement bloquer ces ports et plages d'adresses IP publics. Cependant, Tor a une longueur d'avance grâce à sa technologie de ponts, qui repose sur un modèle pair-à-pair pour permettre aux utilisateurs de masquer leur utilisation de Tor.
Ces ponts ne sont pas répertoriés publiquement et fonctionnent sur une base privée pair-à-pair, ce qui rend la localisation de leurs plages d'adresses IP et leur blocage pratiquement impossible. Le protocole actuel qui masque votre utilisation de Tor est connu sous le nom de Obfs4, et il est très économe en bande passante, préservant ainsi le trafic et la vitesse. Il utilise également une poignée de main de paquets entièrement aléatoire, ce qui rend la détection extrêmement difficile.
2. Serveurs obfusqués ShadowSocks
Shadowsocks est un serveur proxy hautement configuré dont les protocoles d'obfuscation sont intégrés directement dans le code de base. Shadowsocks repose sur le célèbre protocole SOCKS5 introduit en 2012 par un programmeur chinois resté anonyme. À l'époque, ce protocole a réussi à franchir le célèbre Grand Pare-feu chinois. C'est la preuve des capacités de SOCKS5 en tant que protocole proxy, car le Grand Pare-feu de Chine est largement considéré comme l'un des dispositifs de censure les plus sophistiqués au monde.
Les serveurs d'obfuscation Shadowsocks fonctionnent en acheminant vos données via un troisième serveur caché. Bien qu'ils constituent souvent un outil efficace pour contourner les blocages de VPN, ils n'offrent pas les meilleures performances en termes de vitesse ou de protection des données. Il est donc conseillé d'explorer d'autres options si la vitesse est une priorité pour vous, ou d'utiliser SOCKS5 conjointement avec le chiffrement AEAD, qui chiffrera vos données.
3. Obfuscation OpenVPN : Scrambled/SSH
OpenVPN, à la fois pour ses protocoles avancés et son client fiable, est une option VPN majeure et l'un des protocoles les plus populaires. Même si le blocage d'OpenVPN était autrefois difficile, il peut désormais être bloqué par les gouvernements au même titre que d'autres protocoles reconnus. Pour y faire face, deux méthodes principales permettent d'obfusquer OpenVPN. La première consiste à tunneliser la connexion vers le serveur VPN de destination via les protocoles de tunneling SSL ou TLS. C'est l'une des méthodes qui préserve la vitesse du VPN malgré l'obfuscation.
La deuxième méthode d'obfuscation d'OpenVPN consiste à « brouiller » le serveur. Également connue sous le nom de obfuscation XOR, cette méthode utilise un chiffrement XOR bit à bit pour masquer l'algorithme d'origine et afficher à la place un algorithme factice. Si elle fonctionne en surface, elle ne parvient pas à franchir les pare-feux les plus avancés. Certains l'utilisent néanmoins OpenVPN sur VPS, car c'est une bonne option pour les pare-feux peu restrictifs. D'autres protocoles ont également adopté cette approche de brouillage. protocole Stealth VPN est une implémentation spécifique qui fait passer le trafic VPN pour du trafic normal.
4. Hébergement de VPN obfusqué sur VPS
Si vous aimez héberger votre propre VPN, mais que votre serveur non-obfusqué a soudainement cessé de fonctionner, pas de panique ! Les options VPN obfusquées peuvent également être auto-hébergées, comme n'importe quel VPN classique. La méthode principale est identique à celle d'un hébergement normal. Les prérequis sont simples : un serveur de destination (obfusqué) et un protocole de connexion. Le processus consiste à créer un serveur obfusqué, soit en utilisant Obfsproxy, OpenVPN qui est obfusqué soit par brouillage, soit par SSH/TLS, ou Shadowsocks en utilisant le protocole SOCKS5. Une fois ce protocole et le serveur obfusqué configurés, il vous suffit de les déployer sur le serveur hôte, et vous pouvez ensuite accéder à votre propre VPN obfusqué.
Fiabilité éprouvée
Go pour un Cloudzy Debian VPS et obtenez un serveur performant avec un système d'exploitation ultra-stable, optimisé pour la production.
Obtenez votre VPS DebianEn ce qui concerne le choix du serveur, un VPS est sans doute la meilleure option ici, car il offre un meilleur rendement qu'un serveur traditionnel et est bien plus efficace qu'un autre ordinateur personnel. Si vous souhaitez héberger vous-même un VPN obfusqué, que ce soit via le brouillage OpenVPN ou via Shadowsocks, envisagez d'utiliser un Cloudzy Package VPS. Dans cette optique, une solution économique et facile à mettre en place Linux VPS avec une configuration minimale suffit pour héberger votre propre serveur obfusqué. Cloudzy propose plus de 12 emplacements dans le monde, avec une infrastructure sécurisée et fiable, pour que vous ayez toujours accès à un serveur à faible latence, où que vous soyez.
L'hébergement Linux simplifié
Vous cherchez une meilleure façon d'héberger vos sites et applications web ? Vous développez quelque chose de nouveau ? Vous n'aimez tout simplement pas Windows ? C'est pour ça que nous proposons Linux VPS.
Obtenez votre Linux VPSOptions de VPN obfusqué payantes
Tous les protocoles et options VPN obfusqués présentés jusqu'ici sont open source et gratuits : vous pouvez les configurer librement. Les trois options de cette section sont différentes : ce sont des solutions payantes et préconfigurées. Ces options VPN obfusquées payantes sont idéales si vous n'avez pas le temps ou les moyens de monter votre propre serveur obfusqué. Il vous suffit de souscrire un petit abonnement auprès d'un prestataire reconnu pour obtenir votre VPN obfusqué facilement.
NordVPN
La première de ces solutions est la célèbre NordVPN. NordVPN propose des offres VPN obfusquées dans le cadre de ses services, avec des serveurs bien configurés et de qualité parmi les meilleurs du secteur. Ces serveurs utilisent une variété de protocoles performants : vous trouverez sans mal au moins une option permettant de contourner le blocage VPN sans difficulté.
ExpressVPN
ExpressVPN est une autre excellente option payante pour une utilisation de VPN obfusqué. Elle offre presque tout ce qui fait de NordVPN une excellente option, mais à un prix plus abordable, pour un public soucieux de son budget. Une fonctionnalité particulièrement intéressante du serveur VPN obfusqué d'ExpressVPN est la possibilité d'utiliser un serveur obfusqué pour établir facilement une Connexion P2P pour le torrenting et autres usages en direct entre utilisateurs.
Surfshark
Surfshark est une option VPN obfusqué VPN relativement récente, moins connue que des géants du secteur comme NordVPN ou ExpressVPN. Ce qu'elle perd en notoriété et en ancienneté, elle le compense par des tarifs très bas, aussi bien pour les forfaits VPN classiques que pour les serveurs obfusqués. L'un des atouts les plus notables de SurfsharkVPN : une fois abonné, vous bénéficiez d'un nombre illimité de connexions simultanées, là où ExpressVPN et NordVPN vous limitent à 5.
Proxy inverse : la troisième voie
Les proxys inverses ne sont pas techniquement des VPNs, et bien que ShadowSocks et Tor ne le soient pas non plus, je les ai inclus dans la catégorie précédente car ils font partie du débat sur l'obfuscation. Les proxys inverses, en revanche, méritent leur propre section. Un proxy classique agit comme un intermédiaire : il transmet vos requêtes et les réponses associées (on parle de proxy direct). Un proxy inverse, lui, se place devant votre serveur web et en devient la façade, sans jouer le rôle d'intermédiaire.
En raison de ce mode de fonctionnement particulier, les proxies inverses parviennent à contourner les systèmes de détection de proxies classiques et peuvent facilement vous aider à franchir les blocages VPN ainsi que les blocages de proxies. Dans mon article sur l'installation de Wireguard VPN sur VPS, j'ai détaillé ce qu'est un reverse proxy et comment en configurer un avec Nginx. Vous pouvez suivre ce guide pour mettre en place votre propre reverse proxy, vous protéger contre les attaques en ligne, mettre en cache votre contenu pour de meilleures performances et une meilleure stabilité, et bénéficier de l'équilibrage de charge. Comme vous pouvez le constater, un reverse proxy ne sert pas uniquement à contourner les restrictions d'accès à internet : il offre aussi de nombreux avantages supplémentaires.
Conclusion
En conclusion, il existe de nombreuses options VPN obfusquées fiables pour contourner le blocage VPN. Des solutions comme Surfshark, NordVPN et ExpressVPN vous connecteront plus rapidement à un serveur obfusqué, mais elles ont un coût. Une autre approche consiste à utiliser les trois premières méthodes de cette liste sur un serveur pour héberger vous-même un VPN obfusqué. Pour cela, un VPS est particulièrement adapté : vous configurez votre serveur rapidement, choisissez votre propre configuration et votre emplacement, le tout à prix réduit.
Cloudzy propose des forfaits VPS flexibles, disponibles dans plus de 12 régions au choix, avec une latence très faible et une protection anti-DDoS incluse par défaut. Une option très abordable, comme Linux VPS, pour établir votre propre serveur OpenVPN obfusqué, ainsi que serveurs Shadowsocks. Vous pouvez également l'utiliser pour créer un proxy inverse avec Wireguard.
Questions fréquemment posées
Un VPN obfusqué est-il plus lent qu'un VPN classique ?
Pas nécessairement. Les effets de l'obfuscation ne sont pas documentés avec précision et varient d'un serveur à l'autre. Il n'existe donc pas de réponse universelle. Cela dit, l'obfuscation peut entraîner un ralentissement du VPN dans de nombreux cas.
Un VPN obfusqué est-il moins sûr qu'un VPN classique ?
Cette question n'a pas non plus de réponse fiable. Si certains VPN obfusqués sacrifient leur protocole de chiffrement pour ne pas être détectés par les pare-feu, beaucoup d'autres ne le font pas et restent donc sécurisés pour l'utilisateur.
Quel est le VPN obfusqué le plus fiable ?
Dans l'ensemble, si vous n'envisagez pas d'acheter des offres VPN obfusqué auprès de fournisseurs établis comme NordVPN, ExpressVPN ou Surfshrak, votre meilleure option est d'utiliser un tunnel TLS ou SSL sur OpenVPN pour réaliser l'obfuscation.
Quel VPN propose des serveurs obfusqués ?
En dehors des options payantes comme ExpressVPN, Surf Shark et NordVPN, les solutions à configurer soi-même sont OpenVPN, Obfsproxy et Shadowsocks.
Dois-je utiliser un VPN obfusqué ?
Cela dépend fortement de votre situation. Si votre gouvernement a bloqué l'accès à l'internet libre ainsi qu'aux VPN, vous avez peu de choix. En revanche, si les VPN ne sont qu'un moyen de renforcer la sécurité, optez pour des VPN classiques, qui offrent souvent de meilleures performances.
Qu'est-ce qu'Obfs4 ?
Obfs4 est le nom du protocole Tor qui vous permet d'utiliser le service Tor bridge sans que l'opération soit détectée par les pare-feu des FAI ni par d'autres outils intrusifs. Avec Obfs4, vous pouvez utiliser Obfsproxy et les bridges Tor sans être repéré, ce qui produit en pratique le même effet qu'un VPN obfusqué.
