Linux Penguin TuxDonc, vous avez franchi la première étape. Vous avez réussi à migrer vers Linux et, à présent, vous connaissez bien ses avantages et ses bizarreries particuliers.

Vous avez profité des fonctionnalités de sécurité supplémentaires de votre distribution et tout va très bien, mais vous continuez à craindre pour votre confidentialité.

Dans ce cas, vous serez content d’apprendre que, tout comme avec Windows et MacOS, vous pouvez installer un VPN pour améliorer votre sécurité.

VPN signifie Virtual Private Network (« Réseau Virtuel Privé » en français) et on emploie un VPN pour trafiquer l’adresse IP de quelqu’un en dissimulant son emplacement à tous ceux qui essaient de le localiser.

Certes, Linux ne déborde pas de portes dérobées comme les systèmes d’exploitation propriétaires mais cela ne signifie pas qu’il soit impossible à pirater et la plupart des pirates informatiques commencent par obtenir une IP. Avec une adresse IP, un pirate informatique peut faire toutes sortes de choses comme :

  • Trouver sur quel réseau vous êtes
  • Regarder quels appareils sont connectés à ce réseau
  • Trouver quel système d’exploitation vous utilisez en fonction de l’appareil que vous avez
  • Préparer une attaque sur ce système
  • Installer des logiciels malveillants
  • Peut-être voler vos données ou rançonner votre système, entre autres possibilités

Le fait que le pirate puisse faire tout cela rien qu’en obtenant une adresse IP est très effrayant et c’est pour cette raison qu’il faut absolument que vous protégiez votre anonymat avec un VPN de première qualité.

Cela dit, avant d’examiner les meilleurs VPN pour Linux, voyons comment sécuriser votre système Linux lui-même, car il vaut toujours mieux construire sur des bases solides que colmater les brèches.

Navigation rapide :

1Qu’est-ce qu’un bon VPN pour Linux ?

Maintenant que votre système Linux est assez sécurisé, il est temps de chercher un VPN. Choisir un VPN n’est pas si facile, car certains coûtent plus qu’ils ne valent.

Par conséquent, dressons la liste des quelques éléments de base indispensables à tout bon VPN.

  • Les serveurs : Comme les VPN fonctionnent en modifiant l’emplacement de l’utilisateur, vous devrez vous assurer d’avoir beaucoup de serveurs basés à beaucoup d’emplacements. Non seulement cela vous permettra d’accéder à des contenus situés dans beaucoup de pays différents, mais cela signifiera aussi que, normalement, vous trouverez toujours une connexion décente dans le pays de votre choix.
  • La sécurité : Aussi évident que cela puisse paraître, il faut que vous soyez sûr que le VPN que vous choisissez soit sécurisé. Vous pourrez le faire en consultant les critiques du service ou les spécifications de sécurité elles-mêmes. Si vous ne disposez pas d’une sécurité adéquate, vous risquez des fuites de données de votre IP et des personnes peu recommandables pourraient récupérer vos données.
  • L’interface : En général, un bon VPN coûte cher. Donc, l’interface devrait être facile à utiliser et comporter beaucoup d’options de configuration. Après tout, on paye pour avoir du confort et il serait absurde que vous dépensiez trop d’argent pour un VPN s’il était trop compliqué pour que vous puissiez en profiter à fond.

2Les trois meilleurs VPN pour Linux

Maintenant que nous avons déterminé quelles sont les caractéristiques essentielles d’un bon VPN, voyons quels sont les meilleurs VPN pour Linux.

1 ExpressVPN : Compatible avec plusieurs distributions

ExpressVPN
Fonctionnalités principales :

  • Compatibilité avec Linux
  • Routage en oignon
  • Rapide

Ce VPN est actuellement le plus populaire du monde grâce à sa gamme étendue de fonctionnalités et à son routage en oignon intégré. Il est également compatible avec les versions 32 bits et 64 bits de plusieurs distributions de Linux comme Ubuntu, Debian, Fedora et CentOS, ce qui en fait un choix excellent pour tous ceux qui utilisent ces systèmes.

Pour ce qui est des performances, ExpressVPN fournit des vitesses élevées et régulières sur toutes les distances, courtes comme longues. Il offre aussi plus de 2000 serveurs qui couvrent 148 emplacements dans 94 pays.

Cependant, il faut savoir que la version Linux ne comprend pas d’interface graphique, ce qui signifie qu’il faut effectuer toute la configuration dans le Terminal. Heureusement, le processus d’installation est quand même très simple et probablement plus rapide grâce à l’interface textuelle.

Essayez-le maintenant, sans risque

2 NordVPN : Un cryptage amélioré

NordVPN
Fonctionnalités principales :

  • Une appli Linux dédiée
  • Une grande sélection de serveurs
  • Une sécurité accrue

Si vous cherchez un VPN aux options de configuration avancées, NordVPN est un très bon choix. Ce niveau complexe de configurabilité risquera de déplaire à beaucoup d’utilisateurs occasionnels, mais il nous indique bien que NordVPN est en mesure de proposer quelques-unes des options de sécurité les plus efficaces du marché.

Il offre aussi plus de 5000 serveurs basés à plus de 60 emplacements, ce qui signifie qu’il vous permettra presque toujours de trouver une connexion rapide.

Finalement, ce service est aussi assez bon marché et tout à fait rentable parce que son VPN vous donne accès à un niveau de contrôle élevé.

Achetez-le maintenant

3 AirVPN

AirVPN client
Fonctionnalités principales :

  • Une interface graphique complète
  • Accepte les paiements en Bitcoins
  • Dispose d’un coupe-circuit

AirVPN fonctionne avec un service basé sur OpenVPN et a été beaucoup complimenté pour sa grande transparence et sa franchise irréprochable sur son réseau. Comme ExpressVPN, il fonctionne avec les systèmes Linux 32 bits et 64 bits, ce qui le rend très compatible.

Cependant, à la différence d’ExpressVPN, AirVPN fournit aussi une interface graphique qui ne vous empêche nullement d’utiliser les lignes de commande si vous le souhaitez. Cette interface graphique est en elle-même assez basique, mais elle donne accès à toutes les fonctionnalités dont vous aurez besoin pour faire fonctionner le VPN.

Cependant, un point faible de ce VPN est qu’il ne donne accès qu’à un nombre assez réduit de serveurs et d’emplacements. Ce défaut disparaîtra probablement si la popularité de ce VPN continue à grandir mais, dans l’état actuel des choses, vous risquerez de trouver ce service un peu limité.

Achetez-le maintenant

3Quelques VPN à éviter

Bien qu’il existe beaucoup de bons VPN pour Linux, il y en a aussi quelques-uns à éviter comme :

  • Betternet : Comme il fait partie d’une plate-forme publicitaire qui accède aux cookies, il risque de vous envoyer des publicités personnalisées.
  • Hide.me  : Ses vitesses sont lentes et il n’est pas compatible avec OpenVPN, qui est le protocole le plus recommandé pour la sécurité en ligne.
  • Hola : Ce logiciel-là est une extension de navigateur proxy peer-to-peer qui fonctionne comme un VPN mais n’a pas de serveurs centralisés. En fait, les utilisateurs font passer leurs données par les appareils des autres utilisateurs de Hola. Donc, cela pourrait vous rendre responsable des activités des autres utilisateurs.

4Sécuriser Linux

1 Installez seulement ce dont vous avez besoin

La première chose dont vous devez vous assurer, c’est de n’installer que ce dont vous avez besoin. Si vous réduisez votre distribution au maximum, vous obtiendrez de meilleures performances et vous serez aussi moins susceptible d’installer des logiciels malveillants qui se font passer pour autre chose. En gros, si quelque chose est optionnel, renoncez-y.

2 Sécuriser l’accès console

Une des choses les plus importantes à faire est de protéger l’accès console des serveurs Linux en empêchant le démarrage de votre ordinateur par des appareils externes comme des DVD, des CD et des clés USB après l’installation du BIOS. Vous devriez aussi attribuer un mot de passe à votre BIOS et à votre système d’amorçage GRUB pour protéger ces paramètres.

3 Cryptez votre disque dur

Quand vous installez votre distribution de Linux, on vous demande si vous voulez crypter votre disque dur. Il vaut mieux le faire car cela permettra de sécuriser vos données. Certes, vous devrez fournir un mot de passe pour décrypter le disque dur lors de la connexion, mais c’est un inconvénient mineur tant que cela vous permet de sécuriser vos données.

4 Activez votre pare-feu

C’est une chose que tous les utilisateurs de Linux devraient faire quand ils installent une distribution de Linux pour la première fois. C’est plus une question d’éthique de sécurité car, même quand le pare-feu est désactivé, les ports sont verrouillés dans les deux sens mais, bien sûr, on ne sait jamais et, pour cette raison, il vaut mieux activer le pare-feu au cas où.

Pour le faire, vous devrez ouvrir votre Terminal et saisir :

sudo apt-get install guf

GUFW signifie « Graphical Uncomplicated FireWall » (« pare-feu graphique simple » en français). La commande ci-dessus l’installera. Quand l’installation sera complète, ouvrez le programme en saisissant « gufw » dans votre Terminal et en appuyant sur Entrer.

Après l’ouverture, vous devriez voir apparaître une interface simple qui comporte quelques options. Allez au bouton « Status » (« État »), qui sera sur OFF, et mettez-le sur ON. Ensuite, quittez le programme.

Le pare-feu est maintenant activé.

5 Désactivez la connexion au SSH par le Root

Une autre chose à faire est d’empêcher la connexion par le SSH. Pour le faire, vous devrez d’abord accéder au fichier responsable de la configuration du SSH. Le fichier est à l’emplacement suivant :

/etc/ssh/sshd_config

Quand vous aurez trouvé ce fichier, ouvrez-le en utilisant un éditeur de texte et retirez le « # » de la ligne de code suivante :

#PermitRootLogin no

6 Allumez SELinux

La version à sécurité augmentée de Linux (SELinux) est un mécanisme sécurisé de contrôle d’accès fourni dans le noyau. Ce mécanisme a trois niveaux d’opération de base :

  • Obligation : C’est le mode par défaut, qui active et impose le protocole SELinux sur la machine.
  • Permission : Ce mode est un peu moins sécurisé, car il n’impose pas la politique de sécurité mais se contente d’avertir et d’archiver les actions.
  • Désactivé : Dans ce mode, SELinux est éteint.

SELinux peut se gérer à partir du fichier « /etc/selinux/config », où vous pouvez l’activer ou le désactiver.

5Utiliser un anti-virus

Je sais, je sais, les anti-virus sont complètement inutiles pour les systèmes Linux, hein ? C’est faux. Bien que la plupart des logiciels malveillants visent les machines tournant sous Windows, il existe quand même beaucoup de logiciels malveillants conçus pour attaquer également les systèmes Linux. Il est peu probable que l’un d’eux infecte votre machine, mais un article sur la sécurité sous Linux ne serait pas complet si l’on n’abordait pas ce sujet.

Heureusement, il existe beaucoup de programmes anti-virus, que l’on trouve facilement sur Google. Beaucoup d’entre eux sont gratuits et ce n’est pas plus mal.

6Les distributions de Linux les plus sécurisées

Maintenant que nous vous avons fourni quelques façons de sécuriser votre système Linux, examinons une liste des distributions de Linux les plus sécurisées actuellement disponibles.

Les 5 meilleures distributions les plus sécurisées :

  1. Qubes OS
    Si vous cherchez la distribution la plus sécurisée pour votre ordinateur de bureau, c’est Qubes. C’est un système d’exploitation basé sur Fedora qui met l’accent sur la sécurité de votre ordinateur de bureau. Une des choses qui le rendent si sécurisé, c’est sa capacité d’isoler et de virtualiser séparément plusieurs machines virtuelles.
  2. Tails
    Cette distribution est conçue pour les ordinateurs personnels et avant toute chose pour vous protéger pendant que vous naviguez sur Internet.
  3. Parrot Security OS
    Ce système d’exploitation apporte une nouvelle dimension à la sécurité et à la confidentialité. À l’origine, il a été conçu pour les médecins légistes mais les gens ordinaires peuvent aussi se servir de quelques-unes de ses fonctionnalités de sécurité intégrées comme le routage en oignon qui permet de renforcer l’anonymat en ligne.
  4. Kali Linux
    En matière de sécurité, Kali Linux est probablement la distribution la plus célèbre. Elle a été conçue pour les testeurs d’intrusion et les experts légistes et elle est fournie avec une gamme étendue d’outils de sécurité comme Parrot Security OS.
  5. Whonix
    Si votre préoccupation principale est de protéger votre IP, Whonix est une très bonne distribution. Elle met l’accent sur la confidentialité et l’anonymat et les fournit par isolation. Le système d’exploitation est développé par deux grands programmes. L’un est une station de travail et l’autre un portail. Le portail agit en intermédiaire et utilise le réseau Tor pour que toutes les connexions restent anonymes.

7Les questions les plus courantes sur l’utilisation des VPN

À ce stade, vous avez probablement beaucoup de questions à poser sur l’utilisation des VPN. Donc, avant de continuer, répondons aux questions les plus courantes sur les VPN.

Est-ce qu’un VPN stocke les historiques de navigation ?

Pour répondre vite, non, du moment que c’est un bon VPN. Comme le modèle commercial des VPN a pour objectif principal de conserver la confidentialité, il faudrait que les prestataires soient plutôt hypocrites pour stocker les historiques de navigation de votre activité. Cela dit, il y a quelques VPN qui le font. Donc, avant de vous inscrire, assurez-vous de bien vérifier ce point-là. En général, quand un logiciel stocke vos historiques de navigation, c’est pour générer des publicités personnalisées mais, même si cela peut vous sembler inoffensif, vous devriez quand même le refuser.

Peut-on utiliser deux VPN à la fois ?

Pour bénéficier d’encore plus de sécurité, on peut utiliser deux VPN à la fois. C’est un peu comme si vous portiez une autre paire de chaussettes pour avoir plus chaud aux pieds. La première paire suffit mais, en ajoutant une autre couche, vous réduisez les risques d’avoir froid.

Cependant, si vous utilisez plusieurs VPN, le problème, c’est que la vitesse sera considérablement réduite. Donc, nous conseillons de n’utiliser qu’un seul bon VPN.

Quel protocole de VPN devrais-je utiliser ?

Il existe beaucoup de protocoles, comme L2TP/IPsec, PPTP, SSTP et iKEv2. Toutefois, nous recommandons d’utiliser OpenVPN, car c’est le plus rapide et le plus sécurisé.

Quelle est la différence entre une IP partagée et une IP dédiée ?

Les prestataires de services de VPN utilisent couramment des adresses IP partagées parce qu’ils ne peuvent pas fournir d’adresse IP unique à chaque utilisateur. De plus, cela renforce aussi l’anonymat car cela signifie qu’un grand nombre de personnes utilisera la même adresse IP.

On peut en général avoir accès à une adresse IP dédiée si on accepte de payer un peu plus cher. Cela peut s’avérer utile si vous ne voulez pas être obligé de fournir des informations supplémentaires à chaque fois que vous utilisez des services bancaires en ligne ou que vous visitez un autre site qui simplifie le processus de connexion en mémorisant votre IP.

Quelle est la différence entre Smart DNS, proxy et VPN ?

Le Smart DNS fonctionne en masquant une adresse IP, ce qui vous permet d’accéder à un site web ou à un service sans subir de géo-restrictions. Il fonctionne à l’aide du proxy DNS pour forcer les entrées DNS sélectionnées afin que les requêtes de DNS soient envoyées au proxy, pas au vrai serveur.

Un proxy fonctionne comme un VPN mais, en général, il est plutôt basé sur un navigateur ou une application web. À la différence des VPN, il ne crypte pas tout votre trafic sortant, car il n’agit que sur une seule source.

Par contre, le VPN, lui, crypte tout votre trafic sortant tout en masquant aussi votre adresse IP. Pour cette raison, c’est en général la solution que l’on choisit pour obtenir un maximum de sécurité pour son ordinateur.

8Comment installer OpenVPN et s’y connecter

Si vous préférez installer OpenVPN et paramétrer votre propre accès au serveur, vous pouvez aussi le faire. Pour installer OpenVPN, saisissez une des commandes suivantes en fonction de votre distribution.

Fedora/CentOS/RedHat

yum install openvpn

Ubuntu/Debian

apt-get install openvpn

Quand vous aurez récupéré et installé le programme, lancez-le à l’aide de l’argument « –version » pour vérifier que vous utilisez la version 2.1.

openvpn –version

Maintenant que vous savez que vous avez installé le bon paquet, il est temps d’effectuer une connexion. Pour effectuer manuellement une connexion à l’aide d’un profil d’auto-connexion, lancez la commande suivante.

openvpn –config client.ovpn

Autrement, si vous voulez effectuer une connexion avec un profil verrouillé, vous devrez utiliser la commande qui suit :

openvpn –config client.ovpn –auth-user-pass

Voilà : maintenant, vous devriez avoir un serveur OpenVPN qui tourne parfaitement bien sur votre ordinateur Linux. Évidemment, ce que vous en ferez ensuite ne regarde que vous.

9Comment créer un coupe-circuit pour VPN sous Linux

Pour éviter d’être exposé si votre VPN se déconnecte, il faut que vous créiez un coupe-circuit de VPN. Le coupe-circuit interrompra tout trafic sortant en cas de déconnexion.

Les utilisateurs de Linux peuvent utiliser iptables ou ufw pour créer un coupe-circuit de VPN, mais nous utiliserons iptables dans ce guide.

Étape 1: Obtenir le nom de l’interface du réseau et le sous-réseau du réseau

Pour commencer à configurer votre coupe-circuit, il faut que vous connaissiez :

  • Le nom de l’interface du réseau de l’appareil.
  • Le sous-réseau du réseau local du client.

Pour obtenir ces informations, utilisez la commande route sur votre appareil. Vous devriez obtenir quelque chose comme :

Route Linux command install vpn Dans la colonne Iface, vous verrez le nom de votre interface (dans ce cas-là, c’est wlps6s0)

La dernière ligne de la colonne Genmask devrait vous montrer le sous-réseau de votre réseau local (255.255.255.0). Nous utiliserons ces informations pour remplacer wlp6s0 et 198.168.0.1/24 par autre chose dans le code lors de l’étape 3.

Étape 2: Configurer client.ovpn

Il faut modifier le fichier de configuration client.ovpn comme suit :

  1. Mettez dev tun à 0 pour spécifier l’adaptateur du réseau virtuel
dev tun0
  1. Maintenant, assurez-vous que votre serveur de VPN soit listé par son adresse IP plutôt que par nom de serveur. Vous pourrez le faire avec la commande remote suivante :
remote 198.51.100.0 1194

Étape 3: Installer le coupe-circuit / le pare-feu

Créez un script shell avec le jeu de règles iptables suivant :

#!/bin/bash
iptables –flush
iptables –delete-chain
iptables -t nat –flush
iptables -t nat –delete-chain
iptables -P OUTPUT DROP
iptables -A INPUT -j ACCEPT -i lo
iptables -A OUTPUT -j ACCEPT -o lo
iptables -A INPUT –src 192.168.0.0/24 -j ACCEPT -i wlp6s0
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT -o wlp6s0
iptables -A OUTPUT -j ACCEPT -d 198.51.100.0 -o wlp6s0 -p udp -m udp –dport 1194
iptables -A INPUT -j ACCEPT -s 198.51.100.0 -i wlp6s0 -p udp -m udp –sport 1194
iptables -A INPUT -j ACCEPT -i tun0
iptables -A OUTPUT -j ACCEPT -o tun0

NB : Il faut que vous remplaciez le nom et les IP de l’interface par ceux que vous avez récupérés dans l’étape 1.

Maintenant, sauvegardez le script sous le nom d’iptables-vpn.sh et paramétrez les permissions à l’aide de chmod puis exécutez le script :

chmod +x iptables-vpn.sh
./iptables-vpn.sh

Ce nouveau jeu de règles a maintenant remplacé toutes les règles existantes d’iptables. Pour agir en tant que coupe-circuit, il interrompt maintenant tout votre trafic sortant, mis à part les blocs d’adresses que nous avons autorisés.

Cependant, ce jeu de règles n’est que temporaire. Pour le rendre permanent, vous devrez peut-être installer le paquet « iptables-persistent » sur votre distribution.

Autrement, vous pouvez le programmer pour qu’il s’exécute au redémarrage en ajoutant cette ligne :

@reboot root /path/iptables-ks.sh

Votre coupe-circuit devrait maintenant être actif !