mart-e

La vie, Linux, la tartiflette...

Retour sur CryptoStorm

Il y a quelques mois, je parlais de mon achat d'un accès VPN en Bitcoin. J'avais choisi d'acheter un accès chez Cryptostorm, me laissant tenter par ses prix attractifs (+/- 4\$/mois) et la bande d'hacktivistes derrière les commandes. Faisons le point sur le service (en commençant par ce qui fâche).

sur-ecoute
Chef, il écoute une musique de nyancat depuis 4h, c'est suspect non ?

Qualité

Je n'ai pas de point de repères avec d'autres VPN me permettant de dire si certains problèmes sont liés à ma machine ou à leur services. La plupart du temps, je ressens assez peu de différence de débits. Ne faisant pas confiance aux SpeedTests biaisés (priorisés par les opérateurs), un téléchargement BitTorrent d'une iso Ubuntu se fait en un temps similaire voir meilleur (passé de 10 à 9min pour une iso de 1,15GB, le VPN compresse les données après tout). Après, dans ma campagne Belge, on n'a pas vraiment la fibre optique...

Je dis "la plupart du temps" car cela m'arrive de remarquer des différences par moments. Étonnamment, cela dépens des sites. Des sites comme Facebook (avides en connexions multiples ?) deviennent inutilisables tandis que des sites plus "statiques" comme Reddit fonctionnent parfaitement (pas une grande perte donc). Changer de nœuds aide en cas de problème.

Avertissement: il n'est pas impossible que cette partie soit due à une mauvaise config/manipulation de ma part! Un aspect plus gênant est par contre la disponibilité des serveurs. Certains vont aléatoirement me refuser une connexion en fonction de l'humeur (pas souvent je vous rassure). Parfois, ils vont me demander un mot de passe (alors qu'il est facultatif sur CryptoStorm, seul le hash du token comme login est utile). J'ai particulièrement le cas sur Android où c'est cryptofree qui me donne encore les meilleurs résultats. La solution simple est d'avoir 2, 3 nœuds de sortie configurés et d'essayer un autre si le premier ne fonctionne pas.

Communication

Gros problème aussi de l'équipe de CrytoStorm, difficile de les avoir si on a besoin d'aide ou pose une question. Soyons clair, je n'ai jamais eu de réponse à mes emails au support ou envoies BitMessage (mise à jour 13/09: ai finalement reçu une réponse BitMessage aujourd'hui !). La communauté est active sur le forum mais c'est encore Twitter qui a été le moyen le plus efficace de communiquer avec eux. Mon impression est qu'ils sont occupés sur d'autres projets (voir plus bas) et ne répondent plus trop aux emails (normal, c'est pas drôle).

personnes-a-l'interieur-canalisation
Internet ce n'est qu'une question de tuyaux

Pour éviter les soucis de communication, je conseillerais (en tout cas, je tenterai pour mon prochain achat) de passer par un revendeur externe de tokens tel que vpnDark.net ou mirciado.com (il en existe d'autres) pour limiter les contacts avec eux (et en bonus, cela augmente également votre anonymat) mais ce n'est pas quelque chose que j'ai testé personnellement.

Sécurité

La raison pour laquelle je prend un VPN est principalement pour une meilleure sécurité de mon surf (MITM, DNS menteurs,...) et de ma vie privée (Snowden quand tu nous tiens). De ce coté, je ne peux que conseiller CryptoStorm. Encore une fois, je n'ai pas beaucoup de points de comparaison mais ils se détachent sur plusieurs points.

Leur système de token de connexion est par exemple bien pensé. Pour éviter de lier un accès à un achat (qui dit transaction monétaire, dit très souvent coordonnées bancaire, même en Bitcoin), on achète un token. L'authentification OpenVPN se fait avec le hash SHA512 de ce token (insérer ici des explications sur de la crypto que je ne comprend pas). Ainsi, Cryptostorm ne peut plus lier un achat avec un token (en tout cas si a été fait via un revendeur externe). Ils promettent supprimer l'historique de la transaction après confirmation mais c'est se baser sur leur bonne foie. Quand les VPN classiques vous disent "on ne garde pas de logs, faites nous confiance", CryptoStrom met en place des procédures pour ne connaitre que le moins d'information possible.

vitre-pare-balle
Faire confiance en la bonne foie d'un revendeur VPN

Concernant la sécurité du surf, ils font pas mal de recherche pour par exemple intégrer leur propre résolution DNS (qui résout nativement les .onion !), désactiver IPv6 (qui n'est pas supporté) via leur widget, s'intéresser au problème des certificats SSL et autres. Ils vont donc plus loin qu'un simple transit de donnée pour viser une meilleur sécurité de leurs utilisateurs.

Projets

Il est assez difficile de comprendre l'organisation de CS mais visiblement eux aussi. Ils (mais qui est "ils" dans le fond ?) encouragent le staff à travailler sur ce qui leur tient à cœur et ils ne se gênent pas.

Ils ont par exemple monté un miroir du dump des données de Hacking Team (hacking.technology) ou un proxy de KickAssTorrent leur permettant de troller des compagnies d'ayant droits.
Ils offrent également CryptoFree, un accès gratuit à CryptoStorm avec une bande passante limitée, bon à prendre pour ceux au budget limité (détails).
Leur compte GitHub est également remplit de code, configuration et publication de recherches en sécurité (analyse de malwares ou clients VPN propriétaires foireux).

Last but not least, ils viennent de publier sur CryptoHaven (un de leur blog) un article expliquant travailler sur un concept de multi-hop VPN (pour diminuer l’efficacité du monitoring d'un serveur individuel). Un peu de détails sur GitHub, pas encore très clair mais affaire à suivre.

mule dans une boite
CS mettant au point son dernier projet de... probablement quelque chose de bien

Il faut aimer fouiller un peu sur leur forum (déjà rien que pour trouver les fichiers openvpn, je conseille la config "smoothed") et trouver les annonces aux milieux des memes sur Twitter. Autant c'est très bien de voir que le site bouge, autant cela donne un aspect brouillon dans lequel il n'est pas facile de se repérer. Mais ils en sont conscient apparemment, donc bon.

Conclusion

Est-ce que c'est un VPN que je conseillerais ? Tout dépend un peu de ce que vous cherchez. Si le manque de communication ou d'uptime vous dérange, je vous conseillerais de passer, il existe probablement beaucoup d'autres VPN plus sérieux (dans l'approche commerciale). Si justement le manque de sérieux, ce petit coté anarchique vous attire, foncez.

Personnellement j'ai une impression de gens inversement compétents techniquement qu'ils ne le sont commercialement (et ils sont d'accord). Le manque d'organisation m’énervait mais une fois qu'on se fait à l'idée qu'on devra se débrouiller sans réponse au mail, on s'amuse à suivre leurs discussions décalées sur Twitter. Et de mon point de vue de petit geek, ça me permet de leur faire bien plus confiance qu'à un revendeur impersonnel (en gardant bien en tête qu'on n'est jamais certain). Je vais donc rester chez eux. Si vous avez des Bitcoins (ou un compte Paypal) qui trainent dans un coin, allez-y !