obfuscation-vpn

La technologie d’obfuscation VPN déguise le trafic VPN en un trafic Internet normal, ce qui permet aux utilisateurs de contourner les interdictions VPN, d’éviter la détection par l’inspection approfondie des paquets et de se connecter au VPN dans des environnements en ligne restrictifs comme en Chine par exemple. L’obfuscation se présente sous de nombreuses formes, notamment des serveurs VPN obfusqués spécialisés, des protocoles furtifs et des proxys.

Elle peut aider à contourner les pare-feu, à éviter les blocages par les gouvernements ou les FAI, et à échapper à la détection par l’inspection approfondie des paquets (DPI).

Les restrictions d’Internet sont souvent mises en place par les gouvernements lors d’événements politiques importants, ou pour censurer Internet de tout contenu politique, religieux ou sexuel. Certaines écoles et certains lieux de travail mettent également en place des pare-feu pour assurer la sécurité des étudiants ou protéger leurs réseaux contre les attaques malveillantes.

Ce guide vous aidera à savoir déterminer quand utiliser l’obfuscation VPN, comment l’activer, et quel VPN compatible choisir. Nous expliquerons également les différents types d’obfuscations et leur fonctionnement exact.

Coup d’œil rapide des meilleurs VPN obfusqués

ExpressVPN Logo ExpressVPN : Le meilleur VPN du marché qui propose de base pour n’importe quel serveurs une sécurité maximale qui permet d’outre passer les restrictions géographiques comme la Chine, la Russie… 8,14€/mois pour 1 an d’abonnement pour un total de 97,81€.

Logo SurfShark SurfShark : Le VPN que nous utilisons au quotidien chez VPNPatch, son offre est pour nous la meilleure niveau qualité/prix après ExpressVPN et qui propose aussi l’obfuscation VPN à activer dans les paramètres. 2,29€/mois pour 24 mois d’abonnement ce qui revient à 54,96€ en tout.

PureVPN Logo PureVPN : L’abonnement pour 27 mois vous revient à 1,99€/mois soit 53,95€ pour ~ 2 ans d’abonnement, une très bonne offre pour un très bon VPN qui lui aussi vous protège grâce à son obfuscation sur tous leurs serveurs activés de base.

Qu’est-ce que l’obfuscation VPN et comment fonctionne-t-elle ?

L’obfuscation VPN fait référence à un ensemble de fonctionnalités avancées qui déguisent votre trafic VPN en trafic web normal HTTPS, UDP ou TCP. Cela vous permet de passer outre un bloqueur de VPN et de vous connecter à un VPN, même dans les pays où l’Internet est fortement restreint.

L’obfuscation peut nécessiter une configuration et des ressources compliquées, ce qui signifie qu’elle n’est proposée que par certains services VPN haut de gamme comme ExpressVPN.

Il est important de noter que tous les outils d’obfuscation ne fonctionnent pas de la même manière. Les techniques d’obfuscation les plus courantes sont les proxies Shadowsocks, OpenVPN over TLS, SSTP et OpenVPN Scramble. Lorsque vous vous connectez à un serveur VPN normal, votre FAI ne peut pas voir ce que vous faites en ligne car un tunnel sécurisé et chiffré est créé. Cependant, il peut voir que vous utilisez un VPN en observant l’aspect de vos données. Votre trafic peut présenter des schémas de cryptage reconnaissables ou utiliser des ports de service VPN connus qui le trahissent.

Lorsque l’obfuscation est mise en œuvre, la signature VPN et les autres signes d’une connexion VPN disparaissent. L’inspection approfondie des paquets ne peut plus dire que vous utilisez un VPN et vous avez accès à l’internet non filtré. En conséquence, votre FAI ne sera pas en mesure de détecter que vous utilisez un VPN et vous laissera passer.

Voici une capture d’écran de notre trafic VPN sans être obfusqué :

VPN non-obfusque
Sans obfuscation, l'outil d'inspection détecte une connexion OpenVPN.
vpnarea wireshark tcptlsdnshttp annotated
Avec l'obfuscation activée, Wireshark était incapable de détecter une connexion OpenVPN.

Le logiciel d’inspection des paquets a pu détecter les protocoles WireGuard et OpenVPN, n’importe qui aurait pu voir que nous utilisions un VPN. Avec l’obfuscation activée, Wireshark était incapable de détecter le protocole VPN utilisé. Au lieu de cela, il a seulement détecté une connexion TCP.

C’est quoi un serveur obfusqué ?

Les serveurs obfusqués camouflent votre connexion VPN. Ils rendent plus difficile la détection de votre connexion VPN par votre FAI ou votre gouvernement national.

Votre FAI peut utiliser l’IAP pour inspecter les paquets de données sur son réseau. Si c’est le cas, ils seraient en mesure de voir ce que vous faites en ligne, notamment si vous faites du torrenting ou du streaming si vous n’êtes pas protégés correctement. Il existe même des pays où les FAI peuvent vendre vos données à des annonceurs tiers ou signaler votre activité aux autorités et autres organismes gouvernementaux comme aux USA par exemple.
Un VPN avec des serveurs obfusqués permet de rendre votre trafic plus propre et cacher votre utilisation VPN.

Les serveurs obfusqués sont-ils plus lents ?

Ils appliquent des couches supplémentaires de chiffrement et de code, ce qui peut ralentir votre connexion Internet.

Dans nos tests de vitesse, nous avons constaté que la vitesse de chaque VPN est affectée différemment par la technologie d’obfuscation.

En général, les VPN qui sont les meilleurs pour contourner les pare-feu (Astrill VPN, ExpressVPN, et SurfShark) ont des vitesses tout aussi élevées que si l’option n’était pas activée.

vpn-obfuscation-speedtest

Comme vous pouvez le voir dans le tableau ci-dessus, la connexion à un serveur obfusqué a réduit les vitesses de tous les VPN que nous avons testés certains ont très peu été impactés et d’autres tout le contraire.

Surfshark, PureVPN et ExpressVPN ont connu une perte minime lors de la connexion à des serveurs à courte et longue distance avec l’obfuscation activée.

Nous avons trouvé que Surfshark avait les vitesses de téléchargement les plus impressionnantes mais pas aussi efficace qu’ExpressVPN qui lui fonctionne parfaitement surtout avec le grand Firewall de Chine que SurfShark ne réussit à passer que 13% du temps…

Chaque VPN possède sa propre technologie d’obscurcissement qui fonctionne de différentes manières, c’est pour cela que nous avons des résultats bien différents.

Les différentes techniques d’obfuscation des VPN

Les VPN utilisent différentes techniques d’obfuscation et de furtivité pour dissimuler leur trafic, y compris différents protocoles de connexion VPN et proxies :

Shadowsocks SoftEther OpenVPN over SSL/TLS SSTP Obfsproxy OpenVPN/XOR Scramble V2Ray/VMess

Shadowsocks

Shadowsocks est un protocole proxy d’obfuscation gratuit et open source. Le protocole a été créé en 2012 par un programmeur chinois nommé clowwindy, et est largement utilisé par les personnes en Chine pour contourner les censures gouvernementales sans être détecté.

Largement basé sur le protocole Socket Secure 5 ou « SOCKS5 », Shadowsocks est un proxy qui redirige votre connexion Internet via un troisième serveur, donnant l’impression que vous vous trouvez dans un autre endroit. Il masque également votre trafic VPN en le faisant passer pour du trafic HTTPS contrairement aux proxy classiques qui eux ne chiffrent en aucun cas votre trafic.

Malheureusement, Shadowsocks n’est pas une fonctionnalité courante des services VPN car le processus de configuration est compliqué pour le fournisseur de VPN et les utilisateurs.

privateinternetaccess-shadowsocks
Nous avons testé le proxy Shadowsocks de Private Internet Access et avons constaté qu'il fonctionnait bien pour contourner les blocages de VPN.

Les points positifs

  • Open source
  • Vitesses plus que correctes
  • Utilise moins de RAM

Les points négatifs

  • Pas de port forwarding

SoftEther

SoftEther VPN est un logiciel VPN multiprotocole open source créé par Daiyuu Nobori au Japon. Une fois mis en œuvre, il permet de créer des connexions rapides et à faible latence, capables de contourner des pare-feu sophistiqués.

Le protocole VPN de SoftEther utilise Ethernet over HTTPS (HTTP sur SSL) pour établir un tunnel VPN. Cela fonctionne bien pour contourner les pare-feu car HTTPS est la norme industrielle pour les communications sécurisées sur Internet, ce qui le rend difficile à détecter pour les FAI et les gouvernements.

Le protocole fonctionne en divisant toutes les connexions TCP en deux groupes. Le premier groupe est destiné à la liaison montante et le second groupe est réservé à la liaison descendante. Cette ségrégation permet de tromper tout pare-feu et DPI en leur faisant croire que la connexion est une connexion HTTPS typique. Un pare-feu sophistiqué est capable de détecter une connexion TCP anormalement longue. Pour lutter contre cela, les connexions VPN SoftEther fixent également une limite de temps pour toutes les connexions TCP, ce qui les oblige à se terminer avant d’être détectées.

hide.me-softether
Hide.me propose le protocole SoftEther dans son client Windows.

Les points positifs

  • Open source
  • Vitesses plus que correctes
  • Idéal pour contourner la censure

Les points négatifs

  • Extrêmement rare dans les services VPN
  • Nécessite une configuration manuelle pour être sûr
  • Vulnérable aux attaques « man-in-the-middle »

OpenVPN over SSL/TLS

OpenVPN over SSL (Secure Sockets Layer) ou TLS (Transport Layer Security) est une combinaison du protocole OpenVPN et d’une couche de cryptage SSL ou TLS. Il est conçu pour cacher à votre FAI le fait que vous utilisez un VPN.

Pour mettre en œuvre l’obfuscation OpenVPN sur SSL/TLS, le service VPN devra utiliser Stunnel, un autre type de logiciel open source. Cependant, de nombreux VPN sont rebutés par la complexité du processus de configuration.

OpenVPN sur SSL/TLS fournit un cryptage robuste, mais il n’est pas adapté à l’utilisateur individuel. Il est très rare de trouver un VPN dont le SSH ou le SSL est activé et aucun des VPN les mieux notés ne l’a configuré.

Les points positifs

  • Open source
  • Vitesses plus que correctes
  • TLS 1.3 mis à jour en 2018
  • Communément utilisé par certains VPN

Les points négatifs

  • SSL est plus courant mais dépassé
  • Difficile à configurer manuellement

SSTP

Le protocole Secure Socket Tunnel (ou SSTP) est un protocole VPN très sûr et largement utilisé, développé et détenu par Microsoft. Le SSTP a été créé en 2007 pour remplacer le protocole PPTP, très obsolète et vulnérable.

SSTP était auparavant vulnérable aux attaques de type Man-in-the-Middle (ou Poodle), au cours desquelles un attaquant redirige votre trafic Web ou injecte du contenu malveillant dans un paquet de données existant. Aujourd’hui, le protocole SSTP est sécurisé car il est mis en œuvre à l’aide de TLS 1.2 et 1.3, alors que les attaques Poodle reposaient sur SSL3.

SSTP est disponible sur de nombreux VPN de confiance, notamment IPVanish et Hide.me. Cependant, les VPN qui fonctionnent le mieux contre la censure ont abandonné le protocole et sont passés à des systèmes plus sophistiqués.

Malgré les aspects positifs de SSTP, des liens douteux ont été découverts entre Microsoft et la NSA, établis par Edward Snowden en 2013. Par exemple, il a été révélé que Microsoft a aidé la NSA à contourner son système de cryptage pour intercepter les discussions en ligne sur Outlook.com.

Les points positifs

  • Efficace pour contourner les pare-feu
  • Chiffrement AES-256
  • Très rapide

Les points négatifs

  • Code source non consultable
  • Liens douteux avec la NSA

Obfsproxy

Obfsproxy, abréviation de Obfuscation Proxy, a été adopté à l’origine par la communauté Tor pour obscurcir le trafic Tor et cacher leur activité Internet à leur FAI.

Obfsproxy fonctionne en utilisant obfs2, obfs3, scramblesuit, obfs4, ou meek pour mettre en œuvre un tunnel obfsproxy par lequel votre trafic VPN est acheminé. Il ajoute également une couche supplémentaire de cryptage. Il est léger et utilise moins de bande passante, mais cela le rend aussi moins sûr.

Scramblesuit, obfs4 et meek sont actuellement les seuls protocoles avec obfsproxy que nous recommandons d’utiliser pour contourner la censure, car les autres sont obsolètes et facilement détectés par le DPI.

Obfsproxy peut déguiser votre trafic Tor ou OpenVPN en n’importe quel type de trafic que vous souhaitez. Cependant, il n’est pas toujours garanti de contourner les pare-feu et le DPI car il a quelques modèles reconnaissables. Il est utilisé pour contourner les pare-feu en ligne et a été créé pour les personnes vivant en Chine, en Iran ou en Russie, où la censure en ligne est très stricte.

ivpn-obfsproxysocks
IVPN offre Obfsproxy avec une connexion OpenVPN.

Les points positifs

  • Modèles complètement aléatoires de la poignée de main
  • Utilise moins de bande passante

Les points négatifs

  • Le trafic Obfsproxy se distingue plus facilement que les autres protocoles
  • Difficile à mettre en place

OpenVPN/XOR Scramble

OpenVPN Scramble, ou XOR obfuscation, est un patch tiers pour OpenVPN qui ajoute une couche supplémentaire d’obfuscation.

Il remplace chaque caractère d’une chaîne de données et dissimule le fait qu’il s’agit du trafic OpenVPN. OpenVPN Scramble fera en sorte que votre trafic VPN ressemble à du trafic UDP. Ce type d’obfuscation VPN présente deux inconvénients majeurs. Premièrement, il peut être facilement déchiffré en répliquant le même chiffrement XOR avec la clé à la chaîne de données. Cela en fait l’une des méthodes d’obscurcissement les moins sûres de cette liste.

Deuxièmement, il s’agit d’un outil peu fiable pour contourner les pare-feu et les censeurs en ligne. Comme nous l’avons mentionné dans nos tests IPVanish et StrongVPN, leurs fonctions de brouillage ont échoué dans nos tests pour contourner le pare-feu chinois.

Dans l’ensemble, OpenVPN Scramble fournit un faible niveau de sécurité. Il pourrait convenir à une personne vivant dans un pays sans restrictions en ligne, mais il n’est certainement pas conçu pour contourner les pare-feu ou éviter la détection par les gouvernements.

strongvpn-scramble
StrongVPN offre le XOR Scramble sur UDP ou TCP avec plusieurs ports.

Les points positifs

  • Open source

Les points négatifs

  • Clés de cryptage faibles
  • Impossible de contourner les pare-feu en ligne sophistiqués
  • Les pirates utilisent le XOR pour cacher les logiciels malveillants

V2Ray/VMess

V2Ray est une plateforme open-source et une sous-section du projet V, où tout développeur peut utiliser un protocole appelé VMess pour développer de nouveaux logiciels proxy.

Shadowsocks et V2Ray ont tous deux été créés dans le but précis d’aider les personnes en Chine à contourner le Grand Pare-feu. Cependant, Shadowsocks est conçu pour rendre le processus aussi simple que possible, alors que V2Ray a un processus de configuration beaucoup plus compliqué.

VPN.ac est le seul VPN que nous avons examiné qui a mis en œuvre le tunnelage V2Ray. La fonctionnalité est disponible dans son application native Windows, mais pas dans les versions macOS ou mobile.

Lors de nos tests, l’activation de V2Ray sur VPN.ac a fait chuter notre connexion VPN et nous a parfois empêchés de nous connecter au serveur VPN, pas très prometteur comme protocole.

Les points positifs

  • Customisation possible

Les points négatifs

  • Extrêmement rare chez les VPN
  • Mise en œuvre compliquée pour les fournisseurs de VPN
  • Aucun audit de sécurité

Quand utiliser la technologie VPN obfusquée ?

Les serveurs et protocoles obscurcis ne sont pas nécessaires pour tout le monde. Ils peuvent être peu pratiques à activer chaque fois que vous accédez à Internet, et ils peuvent également être compliqués à configurer et baisser vos performances.

Cependant, il existe certains cas spécifiques où la technologie d’obfuscation VPN est nécessaire ou très utile. Plus important encore, vous devriez utiliser des serveurs obfusqués si vous êtes un torrenter régulier, un journaliste, ou une personne vivant dans un pays avec des restrictions internet.

Voici un résumé des cas où vous devriez utiliser l’obfuscation VPN :

  1. Pour améliorer la confidentialité et la sécurité.
  2. Pour contourner la censure en ligne.
  3. Pour le torrenting et le partage de fichiers P2P.

1. Plus de confidentialité et de sécurité

Les journalistes et les militants politiques ont souvent besoin d’un accès illimité à l’internet. Ils peuvent ainsi effectuer librement des recherches, partager des informations et communiquer en toute sécurité avec leurs contacts.

Si vous traitez régulièrement des informations sensibles et que vous êtes basés dans un pays doté de pare-feu en ligne, il est essentiel de disposer d’un VPN fiable avec obfuscation.

Sinon, les régulateurs utilisant l’inspection approfondie des paquets pourraient identifier votre activité sur le web ou votre utilisation du VPN et vous signaler comme une cible de surveillance.

2. Contourner la censure en ligne

La censure sur Internet est le contrôle ou la suppression des informations et des médias publiés sur Internet, souvent autorisé par les régulateurs gouvernementaux. Les FAI peuvent également pratiquer l’autocensure pour des raisons commerciales ou morales.

La censure en ligne peut prendre la forme d’un blocage de site, d’un filtrage du contenu ou d’une fermeture complète de l’internet. Elle se produit plus souvent en prévision d’événements politiques tels que des élections, des manifestations et des émeutes.

Par exemple, la Russie a interdit Instagram, Twitter, Google News, BBC News et de nombreux autres sites web en 2022. Par conséquent, la demande de VPN qui fonctionnent en Russie a augmenté de plus de 2 500 % entre les mois de février et de mars.

Les VPN sont excellents pour crypter vos données, débloquer des sites web et cacher votre activité à votre FAI, mais ils sont aussi faciles à détecter. Si vous vivez dans un pays qui interdit ou punit l’utilisation des services VPN, l’obfuscation VPN est nécessaire pour contourner ces blocages de sites Web et ces pare-feu sans être détecté.

Conseil : Si vous essayez de contourner les restrictions en ligne, essayez d’utiliser un VPN comme ExpressVPN, utilisez le protocole OpenVPN en TCP et utilisez le port 443 avant d’activer les fonctions d’obfuscation.

3. Pour les activités de torrenting et de P2P

Certains VPN pour le torrenting offrent à la fois des serveurs P2P et obfusqués séparément. Le choix entre un serveur P2P ou obfusqué pour le torrenting dépendra de votre localisation.

Si vous êtes basés dans un pays où le torrenting est légal ou autorisé pour un usage personnel, nous vous recommandons quand même d’utiliser un VPN avec une politique sans logs et des serveurs optimisés pour le P2P surtout si ce que vous téléchargez ne le possède pas.

En revanche, si vous êtes basés dans un pays où les pare-feu et les restrictions en ligne sont stricts, nous vous recommandons d’utiliser un VPN avec obfuscation intégrée, ou un VPN avec un protocole d’obfuscation et des serveurs optimisés pour le P2P.

Les meilleurs VPN obfusqués en 2022

De nombreux services VPN proposent une technologie d’obscurcissement, mais seuls quelques-uns disposent d’outils haut de gamme qui permettent de cacher efficacement le fait que vous utilisez un VPN, de contourner les pare-feu et de faciliter le torrenting dans les pays soumis à des restrictions.
Voici une liste des meilleurs parmi une centaine que nous avons testés :

SurfShark : Le petit nouveau souhaite devenir grand

surfshark

Surfshark propose deux outils d’obfuscation : le mode NoBorders et le mode Camouflage. Nous vous recommandons d’activer le mode NoBorders dans les paramètres et de passer au protocole OpenVPN, qui active automatiquement le mode Camouflage.

Avec son abonnement de deux ans à moins de 55€ soit 2,29€/mois, on pourrait se poser la question : Surfshark fait-il des concessions dans son service pour être moins cher ?

Dans nos tests, Surfshark s’est distingué comme le VPN le plus rapide avec les outils d’obfuscation activés mais aussi avec le plus haut taux d’échec contre le grand Firewall de Chine, pour le reste avec nos tests approfondis avec Wireshark, tout semblait bon en théorie… Le service possède moins de serveurs que chez la concurrence mais il possède quand même énormément d’arguments, comme le mandat canari qui permet d’être transparent avec ses clients sur les obligations légales que SurfShark aurait pu avoir, au moment d’écrire ses lignes, ce fournisseur n’a reçu aucune demande de la part du gouvernement. Si cela devait arriver, logiquement, ils pourraient leur fournir qu’une simple suite de caractères hashé comme l’application Signal a pu le faire avec le FBI, car SurfShark ne stocke pas non plus vos journaux d’activité (no logs).
Son dernier argument est celui de l’audit fait par l’entreprise indépendante Cure53 qui valide les dires de l’entreprise concernant les journaux d’activité. D’après nous, c’est l’un des meilleurs de sa catégorie qui permet vraiment de rester anonyme.

Pour le reste, c’est un fournisseur de VPN de qualité avec notamment un contournement des géoblocages fonctionnant parfaitement et l’accès aux catalogues étrangers de pratiquement toutes les plateformes de SVOD (Netflix US).

ExpressVPN : Le prix de la qualité

expressvpn new

ExpressVPN est toujours performant pour le streaming, le contournement de la censure et le torrenting. Il dispose également d’une politique de journalisation très stricte.

ExpressVPN est l’un des meilleurs fournisseurs de VPN, la technologie d’obscurcissement est intégrée dans plus de 3 000 serveurs ExpressVPN. Cela signifie qu’elle s’active automatiquement lorsque vous vous connectez à un serveur. Vous n’avez pas besoin d’activer manuellement des protocoles ou des serveurs spécifiques pour contourner les restrictions en ligne.

Le fournisseur est généreux et offre aussi une garantie de remboursement, afin de le tester sur plus d’appareils si vous souhaitez aller plus loin dans vos tests (et pendant plus longtemps) sans aucun risque. Si le service ne vous convient pas, vous pouvez demander un remboursement jusqu’à 30 jours après votre souscription. Concernant le VPN en lui-même, son application est claire et très complète, disponible sur tous les appareils actuels.
Le service est audité tout comme les autres gros fournisseurs. La politique de confidentialité est très claire, elle conserve certaines données non-sensibles (qui ne permettent pas d’identifier un client précisément) plus le fait que le service soit basé aux Îles Vierges britanniques l’amène à être un VPN de confiance.
La qualité de son service impressionne lui aussi : quel que soit le serveur où l’on se connecte, la connexion est stable et rapide. Le contournement des géoblocages est impressionnant (particulièrement des plateformes de SVOD) . Pour accéder au catalogue étranger de l’une d’entre elles, il suffit de se connecter au serveur du pays pour que cela fonctionne sans avoir à bidouiller ailleurs.

Seul point noir : son prix, assez élevé par rapport à la concurrence. Disons que c’est le prix de la qualité et de la confidentialité.

PureVPN : La confidentialité et la sécurité de vos données avant tout

purevpnNous avons beaucoup apprécié leur politique de confidentialité qui explique qu’ils ne gardent en aucun cas nos journaux de connexion / d’activité, qu’ils sont continuellement sous audit par différentes entreprises et qu’ils cherchent à nous prouver cela.

PureVPN est un fournisseur de VPN présent sur le marché depuis 2007. Il propose une offre quasi au même prix que son concurrent direct, 1,99€/mois pour 27 mois, donc 53,95 le tout, moins cher mais pour quelques mois de moins. Son application est très complète avec de nombreux serveurs (plus de 6 500 dans quasi tous les pays du monde), des fonctionnalités avancées (transfert de port, IP dédiés, kill switch) et des prix super intéressants. Le fait qu’il supporte de nombreux appareils en plus des PC et smartphones, comme des routeurs, des Android TV ou même des Firesticks d’Amazon est un très bon point. Un fournisseur de VPN très complet, qui nous conquit avec son no log continuellement vérifié par KPMG (audits surprise).

On remarque dès le début que le service est axé sur la confidentialité de ses utilisateurs, leur permettre de s’en servir sur tous les appareils qu’ils désirent, et ce, sans avoir à s’inquiéter pour leur anonymat. Vous pouvez tout faire, du gaming, du streaming, du téléchargement, leurs serveurs sont totalement optimisés pour une utilisation générale. Selon nous, c’est l’un des meilleurs sur le marché, il permet de tout en faire en toute sécurité et c’est exactement ce que l’on cherche chez un VPN.

Retour haut de page