Les meilleurs paramètres VPN pour Android

Si vous utilisez un VPN sur votre téléphone Android, vous le faites probablement parce que vous voulez que vos données de navigation soient aussi privées et sécurisées que possible. En tant que tel, vous voulez un VPN avec les meilleurs paramètres disponibles. Il peut être difficile de savoir et de comprendre quels paramètres sont vraiment importants, nous avons donc dressé une liste des meilleurs paramètres VPN pour Android et expliqué ce qu'ils font.

Cryptage et protocole VPN

Les deux paramètres les plus importants impliqués dans la sécurité de votre connexion VPN sont le protocole VPN et l'algorithme de cryptage.

Le meilleur protocole VPN que vous pouvez utiliser est OpenVPN, c'est le protocole VPN standard car il prend en charge le meilleur cryptage disponible et est un protocole bien développé. Catapult Hydra et WireGuard sont deux autres protocoles VPN qui offrent des niveaux de sécurité équivalents mais qui n'ont pas encore été analysés de manière aussi approfondie. Dans la mesure du possible, vous devez éviter les protocoles VPN PPTP et L2TP car ils sont tous deux anciens et ont une sécurité faible.

Le meilleur chiffrement disponible à l'heure actuelle est le chiffrement AES-GCM 256 bits, bien que le chiffrement AES-CBC 256 bits offre une sécurité équivalente à une vitesse plus lente. AES est l'abréviation de Advanced Encryption Standard et est le chiffrement réel utilisé pour crypter les données. GCM et CBC sont des modes de fonctionnement pour le chiffrement, CBC ne peut être parallélisé ou multithread que lorsque déchiffrement des données, GCM, cependant, peut être parallélisé lors du chiffrement et du déchiffrement, d'où les performances avantage.

256 bits fait référence à la taille de la clé de cryptage et au nombre de valeurs possibles qu'elle peut avoir. 256 bits peut également être écrit sous la forme 2^256 ou 2 multiplié par lui-même 256 fois. Si le nombre total de clés de cryptage possibles était écrit en entier, il commencerait par un 1 et aurait 77 zéros après, pour mettre ce nombre en perspective, les scientifiques pensent que cela équivaut à peu près au nombre d'atomes dans l'univers observable. Même si vous aviez un accès dédié aux superordinateurs pendant des siècles, vous ne seriez toujours pas susceptible de casser AES.

Le protocole WireGuard utilise une suite de chiffrement différente, ChaCha20 pour effectuer son cryptage. ChaCha20 est équivalent en force à AES 256 bits tout en étant encore plus rapide à traiter, cependant, il est également plus récent et moins étudié.

Une dernière option de cryptage est PFS ou Perfect Forward Secrecy. PFS est un paramètre qui modifie régulièrement la clé de cryptage utilisée. Cela signifie que si votre clé de cryptage était compromise, elle ne pourrait décrypter qu'une petite quantité de données. Il n'y a aucune raison de ne pas utiliser PFS s'il est disponible.

Antidémarreur

Un kill switch VPN est utilisé pour couper la connexion Internet de votre appareil s'il détecte qu'il s'est déconnecté d'Internet. Cela vous protège contre la fuite de toutes vos données de navigation de votre VPN si vous ne remarquez pas qu'il s'est déconnecté.

Un kill switch VPN peut être utile pour tout le monde, mais il est particulièrement utile pour les appareils mobiles qui peuvent régulièrement changer de réseau, ce qui augmente le risque de problèmes de connexion VPN.

Prévention des fuites

Un kill switch VPN empêche une fuite générale de données, cependant, il existe quelques protocoles qui ont un historique de fuite d'informations qui pourraient être utilisées pour vous identifier ou suivre votre activité. Les principaux coupables sont IPv6, DNS et WebRTC.

IPv6 est une mise à jour du schéma d'adresse IPv4 utilisé pour adresser de manière unique tous les appareils sur Internet. IPv4 est maintenant pratiquement à court d'adresses IP disponibles, presque toutes les 4,3 milliards d'adresses IPv4 ont été attribuées. En tant que tel, il est nécessaire de passer au nouveau schéma d'adressage qui a un espace d'adressage beaucoup plus grand. L'adoption d'IPv6 a cependant été lente et de nombreux services et même les FAI ne le prennent pas en charge.

Malheureusement, si un fournisseur VPN ne prend pas en charge IPv6, il peut finir par l'ignorer. À ce stade, votre l'appareil peut envoyer et recevoir du trafic IPv6 en dehors du VPN même lorsque vous êtes censé être connecté et protégé. La procédure correcte consiste pour le fournisseur VPN soit à bloquer tout le trafic IPv6 de quitter votre appareil, soit à prendre en charge IPv6 et à l'acheminer également sur le VPN. Vous pouvez tester si votre adresse IPv6 fuit avec des sites comme ipv6leak.com.

DNS ou Domain Name System est le protocole utilisé pour traduire les URL lisibles par l'homme vers l'adresse IP du serveur. Malheureusement, les VPN ont l'habitude de permettre aux requêtes DNS de s'échapper de la connexion VPN. DNS est un protocole en texte clair, ce qui signifie qu'il n'est pas crypté. Cela signifie que même si vous modifiez votre serveur DNS préféré, loin de celui fourni par votre FAI, votre FAI peut toujours lire et suivre les sites Web vers lesquels vous naviguez via votre trafic DNS.

Tous les protocoles qui envoient des données à Internet, y compris DNS, doivent être acheminés via le VPN. Cela permet le cryptage du tunnel VPN pour protéger vos données DNS contre l'espionnage. Vous pouvez tester si vos requêtes DNS fuient avec des sites Web comme dnsleaktest.com.

WebRTC ou Web Real-Time Communication est une API basée sur un navigateur utilisée pour les connexions peer-to-peer. Malheureusement, il peut divulguer votre véritable adresse IP à l'autre partie, même si vous utilisez un VPN. Bloquer WebRTC est donc une bonne idée. Certains VPN offriront la possibilité de le bloquer, d'autres non. Vous pouvez bloquer WebRTC avec d'autres programmes si nécessaire, par exemple, l'extension de navigateur de blocage des publicités « uBlock Origin » comprend un paramètre pour bloquer WebRTC. Vous pouvez tester si WebRTC divulgue votre adresse IP sur des sites Web tels que browserleaks.com/webrtc.