(modifié le 8 mars 2013 à 23:18)

La licence globale n'ayant pas été adoptée par nos chers députés, on voit fleurir de plus en plus systèmes se rapprochant du concept.

ananoos

Aujourd'hui j'ai pu testé gratuitement Ananoos : un système de tunnel VPN (débouchant aux Pays Bas) qui m'a bluffé par son efficacité.

A terme le service sera facturé 5 euros par mois.

Le service n'est encore qu'en version bêta (ouverte au publique), mais il est prometteur et français (cocorico). Deux arguments suffisants pour suivre ça de très près quand on sait que la loi HADOPI 2 vient de passer comme une lettre à la poste il y a quelques jours, sans que personne n'en parle (ou presque...). Les pays du nord sont connus pour leur faible préservation de logs.

Le concept

Derrière Ananoos se cache une équipe de développement française souhaitant préserver la liberté des internautes. Le service se place dans la lignée du système iPredator dont on entend beaucoup parler ces derniers temps (mais en bêta fermée malheureusement) avec une différence importante : ipredator utilise le protocole PPTP (inclut dans Windows) alors que Ananoos utilise une version customisée d'OpenVPN.

Il est également question de l'intégrité des données circulant via les hotspots wifi qui fleurissent un peu partout. Quelques explications s'imposent toutefois pour ne pas perdre les lecteurs les plus frileux de la technique 😉

On pense notamment aux points d'accès Neuf Wifi ou plus récemment Free WiFi, tous deux dépourvus de sécurité lors de votre navigation. Seule l'authentification est réalisée via un portail dit "sécurisé" car vos identifiants circulent via un tunnel SSL (comme sur les sites marchands, le fameux cadenas).

Une fois identifié sur ce type de portail captif toutes vos données de navigation circulent librement par l'air... accessibles à tous ceux qui les écouteront. De cette façon il est très facile pour un "pirate" d'intercepter tous vos identifiants et mots de passe de vos boites email, compte paypal, comptes bancaires, ou que sais-je encore... même en HTTPS.

J'espère rédiger prochainement un billet à propos des différentes techniques d'usurpation d'identité existantes.

Une souche open-source

Côté technique, on ne pouvait demander mieux puisque c'est le logiciel libre OpenVPN qui est en charge d'établir le tunnel. C'est là ou ça devient intéressant car OpenVPN utilise des standards de cryptage très bien supportés par de nombreux systèmes d'exploitation.

L'installation est entièrement automatisée et ne nécessite aucune post-configuration, tout est prêt et fonctionnel !

A titre d'information, voici le fichier de configuration fourni :

client
dev tap
proto udp
remote vpn.ananoos.net 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca-ananoos.crt
cert ananoos.crt
key ananoos.key
comp-lzo
verb 3

Pour établir la liaison VPN il suffit de double-cliquer sur l'ananas en barre des tâches qui passe de la couleur rouge à orange :

ananoos-barre-des-taches

Puis la liaison s'établit. Très rapidement nous obtenons une adresse IP publique appartenant au réseau 194.177.62.0/24 :

ananoos-etat-tunnel

La première chose qui m'a surpris c'est de disposer d'une IP publique, j'imaginais plutôt recevoir une IP privée au sein d'une architecture réseau avec une sortie Wan. Pour vérifier l'IP obtenue faites un tour sur MyIp.tk.

Ananoos dispose bien d'une plage IP publique 194.177.62.1 à 254 selon la base RIPE :

inetnum:        194.177.62.0 - 194.177.62.255
netname:        ANANOOS-ACCESS-NET-1
descr:          Ananoos access network 1
country:        NL
admin-c:        AH156-RIPE
tech-c:         AH156-RIPE
status:         ASSIGNED PA
mnt-by:         AH156-MNT
source:         RIPE # Filtered

person:         Ananoos Hostmaster
address:        Marten Meesweg 11
address:        Rotterdam
phone:          +31204055061
nic-hdl:        AH156-RIPE
source:         RIPE # Filtered

Je me demande par contre si le service sera limité au nombre d'adresses IP attribuables, soit 254 personnes ?

Un débit et une latence au rendez-vous

Une fois le tunnel établit, toutes les applications de votre machine utiliseront le VPN, sans exception. Il n'est pas possible de passer via le VPN pour les torrents et par votre FAI pour Skype par exemple.

C'est pour cette raison qu'un débit minimal est nécessaire, à moins d'utiliser Ananoos sur un second PC réservé à cet usage (ou en virtualisation sur votre machine hôte).

Test de débit Speed.io sans Ananoos :

speed-sans-vpn

Test de débit Speed.io avec Ananoos :

ananoos-speed

On constate aucune baisse côté bande passante, je reste au maximum de ma connexion que ce soit pour la bande montante ou descendante. Seul le ping prend 7 ms de plus, ce qui est normal puisque le tuyau sort aux pays bas. Le nombre de connexion par seconde baisse lui de moitié.

Ping free.fr sans Ananoos :

Réponse de 212.27.48.10 : octets=32 temps=26 ms TTL=122
Réponse de 212.27.48.10 : octets=32 temps=17 ms TTL=122
Réponse de 212.27.48.10 : octets=32 temps=18 ms TTL=122
Réponse de 212.27.48.10 : octets=32 temps=19 ms TTL=122

Statistiques Ping pour 212.27.48.10:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 17ms, Maximum = 26ms, Moyenne = 20ms

Ping free.fr avec Ananoos :

Réponse de 212.27.48.10 : octets=32 temps=21 ms TTL=119
Réponse de 212.27.48.10 : octets=32 temps=19 ms TTL=119
Réponse de 212.27.48.10 : octets=32 temps=20 ms TTL=119
Réponse de 212.27.48.10 : octets=32 temps=20 ms TTL=119

Statistiques Ping pour 212.27.48.10:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 19ms, Maximum = 21ms, Moyenne = 20ms

Là encore aucune différence.

Traceroute de free.fr sans Ananoos :

Détermination de l'itinéraire vers free.fr [212.27.48.10]
avec un maximum de 30 sauts :

  1    13 ms    13 ms     8 ms  10.19.192.1
  2     6 ms     8 ms     5 ms  gre1rj-ae0.100.numericable.net [80.236.6.198]
  3     9 ms     8 ms     8 ms  lyo1rj-ge-5-1-0.0.numericable.net [80.236.6.206]
  4    16 ms    17 ms    19 ms  cbv1rj-ae5.0.numericable.net [80.236.6.92]
  5    18 ms    25 ms    15 ms  cbv2rj-ae0.0.numericable.net [80.236.7.117]
  6    16 ms    16 ms    19 ms  ip-166.net-80-236-0.static.numericable.fr [80.236.0.166]
  7    20 ms    22 ms    22 ms  bzn-crs16-1-be1007.intf.routers.proxad.net [212.27.51.9]
  8    18 ms    23 ms    16 ms  bzn-6k-sys-po20.intf.routers.proxad.net [212.27.51.70]
  9    20 ms    18 ms    14 ms  www.free.fr [212.27.48.10]

Itinéraire déterminé.

Traceroute de free.fr avec Ananoos :

Détermination de l'itinéraire vers free.fr [212.27.48.10]
avec un maximum de 30 sauts :

  1    20 ms    27 ms    21 ms  ananoos.com [194.177.62.1]
  2    26 ms    23 ms    23 ms  v823.swr.sde.waycom.net [195.214.247.22]
  3    20 ms    23 ms    28 ms  194.177.33.134
  4    23 ms    23 ms    24 ms  v900.edge1.par.waycom.net [195.214.241.18]
  5    26 ms    28 ms    55 ms  ProXad-th2.FreeIX.net [213.228.3.250]
  6    25 ms    20 ms    24 ms  th2-6k-3-po5.intf.routers.proxad.net [212.27.58.97]
  7    31 ms    34 ms    22 ms  th2-crs16-1-be1009.intf.routers.proxad.net [212.27.58.30]
  8     *       28 ms    24 ms  bzn-6k-sys-po21.intf.routers.proxad.net [212.27.50.6]
  9    21 ms    24 ms    23 ms  www.free.fr [212.27.48.10]

Itinéraire déterminé.

On remarque que le serveur Ananoos est placé non loin d'un noeud de transit (peering) puisqu'il atteint le routeur FreeIX après avoir traversé seulement 4 routeurs.

Le nombre de sauts (TTL) est identique avec ou sans VPN : 9. Là encore un très bon point, cela signifie que nous n'avons pas plus de routeurs à traverser pour atteindre un serveur en france, alors que "nous sommes" aux pays bas...

Je n'ai pas testé de transfert, torrent mais Ananoos annonce un système de cache au sein de son architecture. Si vous téléchargez un fichier torrent précédemment téléchargé par un internaute via Ananoos, c'est un serveur Ananoos qui vous enverra directement le fichier depuis son cache.

J'ajoute qu'il n'y a pas de communication possible entre les différents clients (c'est un paramétrage voulu du côté du serveur VPN).

Confidentialité

A la question des traces (logs), Ananoos se défend :

"Nous ne logguons pas car la loi Hollandaise ne nous y oblige pas, logguer toutes les informations seraient un surcout pour notre infrastructure"

Je vous invite à lire l'interview des créateurs réalisée par Keeg qui lui aussi a testé le service.

Par ailleurs, le tunnel étant totalement crypté, votre FAI ne peut voir ce qui se passe... et HADOPI non plus. La seule façon d'agir de la part de votre FAI serait de bloquer tous les systèmes de VPN, mais on tomberait là dans une censure dépassant toute commune mesure.

Bien que Ananoos avoue ne conserver aucune trace, je vous conseille de prendre quelques précautions concernant les données qui vont transiter via le VPN, bien que l'interception soit rendue impossible par le cryptage. Si vous aimez le risque zéro, réservez le tunnel pour vos téléchargements sur une machine (réelle ou virtualisée) dédiée à cet usage. Si l'architecture venait à être compromise (peu probable tout de même...) par un tiers vos données pourraient être interceptées .

Conclusion

Ananoos s'impose d'une certaine façon comme une licence globale, bien que tout ce que vous téléchargerez avec restera illégal si les fichiers sont pourvus de droits d'auteurs, il permet uniquement d'apaiser votre âme 🙂

Les risques de vous faire attraper en téléchargeant sont eux par contre minimes, voir inexistants puisque la législation du pays ou vous surfez à travers le tunnel est quasi inexistante...

N'hésitez pas à essayer Ananoos pendant qu'il reste quelques places, c'est gratuit 😉

Ananoos - blog - forum

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter