VPN : test de Shellfire

""Avertissement : ce billet est l'objet d'un partenariat avec Shellfire, j'ai accepté de rédiger ce test en échange de 6 mois de service au niveau PremiumPlus (et d'un lien vers leur service).

Shellfire est une société qui propose un service de VPN. L'idée derrière ce genre de service est de pouvoir "débloquer" sa connexion Internet, c'est-à-dire de pouvoir contourner certaines limitations, comme :

  • accéder à des sites web ou des services autrement indisponibles à cause d'une limitation gouvernementale ou commerciale de son accès Internet ;
  • accéder à des sites web ou des services autrement indisponibles à cause d'une limitation de leur fait (exemple : service accessible uniquement dans certains pays) ;
  • augmenter le niveau d'anonymat de son accès Internet, en ne divulguant pas la véritable adresse IP de sa connexion Internet ;
  • augmenter son niveau de sécurité lorsqu'on se connecte à un réseau Wi-Fi public (gare, café, espace de coworking, ...), en particulier s'il s'agit d'un réseau ouvert (oui, un portail captif compte comme réseau ouvert).

L'offre de service VPN Shellfire se décompose en trois gammes de prix :

  • l'offre gratuite, qui annonce 2 pays de sortie (Allemage et USA), et limite le débit à 1 Mbit/sec ;
  • l'offre Premium, qui annonce 20 pays de sortie, et limite le débit à 12 Mbit/sec ;
  • l'offre PremiumPlus, qui annonce 34 pays de sortie, et ne limite pas le débit.

Je n'utilise que très peu ce genre de service : mon utilisation habituelle d'un VPN consiste surtout à accéder à mon LAN depuis l'extérieur, voire aussi pour me connecter depuis un lieu public. J'ai la chance d'avoir le choix en matière de FAI, et lorsqu'un fournisseur s'est avéré insuffisant sur un point, j'ai pu aller chez un autre.

Le site web

Commençons par le site web de Shellfire, puisque pas mal de manipulations se passent via celui-ci. Je n'ai pas pu tester l'inscription, ni le paiement, puisque tout ceci a été réalisé pour moi dans le cadre du partenariat. J'ai par contre testé la réinitialisation du mot de passe, et cela m'a fait plaisir de ne pas voir celui-ci apparaître en clair dans un mail ! J'ai aussi pu apprécier que le site soit traduit en français (en plus de l'anglais et de l'allemand), et que de la documentation soit accessible au format PDF selon différents OS et différentes technologies de VPN. D'ailleurs l'assistance se trouve très simplement, un lien est disponible en haut des pages du site. Ce lien renvoie vers une foire au questions, contenant entres autres les documents PDF, mais aussi des informations sur la rétention des données, mais aussi sur comment résilier, ce qui semble se faire assez simplement (on se doute que je n'ai pas encore testé). Dernier point rassurant, tout le site est en HTTPS, et obtient une note de A+ au test SSL Labs.

J'ai cependant noté quelques points d'améliorations, à commencer comme le paragraphe précédent par la traduction. Bien que celle-ci soit globalement compréhensible, il y a parfois des formulations qui me semblent être des traductions littérales de l'anglais. Il y a même quelques passages non traduits, comme un titre dans l'un des PDF de documentation, resté en allemand, les impressions d'écrans de ces documentations ou l'icône de téléchargement du client Shellfire VPN, aussi en allemand. Un peu plus gênant je trouve, j'ai voulu au début utiliser le site sans Javascript, et cela a tourné court : le menu permettant d'accéder aux paramètres VPN n'est accessible que via Javascript. J'ai aussi remarqué qu'un mot de passe est affiché en clair dans l'interface web : comme il ne correspond pas au mot de passe de mon compte et qu'aucun mot de passe n'est requis pour OpenVPN, je suppose qu'il s'agit du mot de passe pour PPTP. Toujours dans les points gênants, j'ai eu la mauvaise surprise de voir des widgets Facebook, Twitter et Google Analytics. Si ceux-ci sont clairement annoncés dans la déclaration de confidentialité, je trouve cela assez dommage pour une entreprise qui se vante de vouloir protéger mes données privées de faire savoir à Facebook, Google et Twitter que je visite un site de VPN, sa fréquence et potentiellement plein d'informations.

Le réseau VPN

Passons maintenant au cœur de notre sujet, le VPN en lui-même.

Protocoles et configurations réseau

Il est possible de se connecter au VPN via trois protocoles principaux : PPTP, IPSec et OpenVPN. Je n'ai pas essayé les deux premiers, et me suis concentré sur le troisième. La première chose que j'ai remarquée est le nombre de points de sorties possibles (nommés serveurs sur le site de Shellfire) : 50 au moment où j'écris ces lignes. J'ai aussi remarqué la variété des pays de sortie, couvrant non seulement l'Amérique du nord et l'Europe (incluant l'Europe de l'est), mais aussi l'Asie, l'Amérique du sud et l'Afrique avec un serveur à Johannesburg ! Il est aussi possible de choisir entre TCP et UDP, ce qui selon les cas peut s'avérer utile.

J'ai, là aussi noté quelques points d'amélioration. Tout d'abord, le changement des points de sortie est assez contraignant : il faut se connecter sur le site, puis télécharger la configuration concernant le serveur qui nous intéresse. Cela rend une configuration précédente inopérante, et si comme moi avez plusieurs machines ou appareils, il faut alors déployer cette nouvelle configuration sur ceux-ci. De la même manière, le choix entre TCP et UDP se fait dans l'interface web, et il faut de nouveau télécharger la configuration pour l'appliquer. J'ai aussi remarqué que les serveurs ne sont accessibles que via un seul port. J'aurais trouvé beaucoup plus pratique que plusieurs ports soient disponibles, car cela veut dire que si un serveur VPN n'est pas accessible pour cause de réseau trop restrictif, je devrai choisir un serveur situé dans un autre pays.

Un autre point qui a retenu mon attention est le paramétrage DNS : en effet, OpenVPN applique (ou tente d'appliquer, on en reparlera plus tard) une configuration DNS pour que les requêtes DNS passent dans le VPN. Chez Shellfire, il a été décidé d'utiliser les DNS publics de Google. Je trouve dommage de s'en remettre aux GAFAM pour de nombreuses choses comme le DNS, mais je suis aussi conscient qu'il n'est pas forcément évident de maintenir une infrastructure de résolution DNS en plus du VPN (et des autres services de Shellfire).

Enfin, je n'ai pas vraiment testé un éventuel filtrage de port, mais je n'ai pas eu de soucis en PremiumPlus pour le web, le SSH, ainsi qu'un peu de mail.

Débits

On l'a vu plus tôt, l'offre tarifaire est entre autres segmentée sur les débits. Mais qu'en est-il réellement ? J'ai fait des tests de débit en utilisant plusieurs sites sites spécialisés :

  • speedtest.net ;
  • fast.com ;
  • speedof.me ;
  • megapath.com ;
  • bandwidthplace.com .

Je me suis basé sur 5 niveaux de connexion : un serveur gratuit (USA/Chicago), un Premium (France/Roubaix), deux PremiumPlus (Singapour et Suisse/Zurich), et bien entendu sans VPN. Sans surprise, sans tunnel VPN, j'ai le meilleur débit : j'ai la chance d'être en fibre optique.

Globalement, sur le serveur gratuit, le bridage est présent et je me retrouve bien avec un débit descendant aux alentours d'1 Mbit/s. Là où c'est amusant, c'est que le débit montant (non spécifié par Shellfire) ne semblait pas bridé, selon les tests j'ai eu entre 4 et 13 Mbit/s.

Le bridage est aussi bien présent sur le serveur Premium, avec selon les tests un débit descendant situé entre 11 et 13 Mbit/s. Comme pour le serveur de l'offre gratuite, le débit montant est bien plus important, entre 19 et 25 Mbit/s.

Alors, comment se comportent les serveurs PremiumPlus, soit disant "sans limite de débit" ? Et bien cela dépend des cas, c'est pour cela que j'en ai testé deux. Le serveur suisse, situé à Zurich, m'a fourni un débit descendant entre 18 et 26 Mbit/s selon les tests, mais j'ai eu entre 15 et 22 Mbit/s sur le débit montant. Je me serais attendu à plus au vu des serveurs moins chers. L'autre cas est un serveur situé à Singapour, qui m'a offert une toute autre expérience : entre 1,6 et 5,25 Mbit/s de débit descendant et entre 3 et 7 Mbit/s pour le débit montant, ce qui le situerait entre un serveur gratuit et un serveur Premium.

Côté latence, les pings ne sont pas corrélés avec l'offre tarifaire, mais plutôt avec ma distance du serveur. Ainsi je ne perds que peu de latence en restant en France (quelques millisecondes), mais je suis monté à plus de 250 ms en utilisant le serveur situé à Singapour, ce qui est somme toute assez logique.

Que conclure de tout cela ? D'abord, qu'il est tout simplement impensable de vouloir jouer au travers d'un VPN, mais je suppose qu'on ne m'a pas attendu pour ce constat. Ensuite, que globalement sur les offres gratuites et Premium, les débits descendant sont respectés, et bonne surprise, que les débits montant sont assez confortables pour envoyer des fichiers un peu volumineux. Pour l'offre PremiumPlus, l'absence de limite contractuelle laisserait à penser que de gigantesques tuyaux sont à disposition, mais en fait le débit dépend plutôt de ce qui est disponible sur place : un VPS ou un serveur dédié pour monter un VPN coûte peu cher en Europe, particulièrement en France et en Allemagne par exemple, mais peut coûter bien plus cher ailleurs.

Chiffrement

Selon les serveurs, le chiffrement n'est pas le même, il y a trois possibilités :

  • AES-128-CBC pour les serveurs de l'offre gratuite ;
  • AES-192-CBC pour les serveurs de l'offre Premium ;
  • et enfin AES-256 pour les serveurs de l'offre PremiumPlus.

D'un côté, je comprends tout à fait cette différence sur les gammes de prix, d'autant que d'après Wikipédia (et ici en anglais), même AES-128 est sûr. Toutefois, les attaques sur celui-ci deviennent de plus en plus nombreuses, même si elles sont de type "canal auxiliaire", c'est-à-dire qu'elles exploitent surtout des implémentations que l'algorithme en lui-même. Il est donc important de rester informé sur le sujet, en particulier si on se limite aux serveurs gratuits.

Géolocalisation

Je n'ai pas fait beaucoup de tests à ce niveau, si ce n'est m'assurer à l'aide d'un service whois que l'adresse IP de sortie (qui est celle du serveur) est bien géolocalisée dans le pays indiqué. Je me suis d'ailleurs fait une petite frayeur, puisque sur une base whois ancienne, l'IP de sortie de Singapour était géolocalisée en Nouvelle-Zélande !

Pour ce qui est des blocages géographiques par contre, mon test s'est limité à Netflix France, malheureusement bloqué sur l'IP de sortie française.

L'assistance

Durant mon test du VPN Shellfire, j'ai eu un problème, ce qui fut l'occasion parfaite pour tester le support technique. Celui-ci n'est disponible que par mail, mais répond dans un français excellent, et m'a toujours répondu en moins de 24h. Quand à l'utilité des réponses du support, si celles-ci n'étaient pas parfaites, elles m'ont mises sur la voie pour comprendre ce qui n'allait pas.

En conclusion

Le service qu'offre Shellfire dispose d'une base solide, avec une connexion réseau de qualité. Mais cela ne fait pas tout, et je trouve dommage que cette société succombe aux sirènes de la facilité en utilisant sans chercher plus loin des serveurs DNS, widgets de réseaux sociaux et outils de statistiques qui vont à l'encontre de son objectif d'anonymat. Je crois aussi que le service gagnerait à être plus pratique (changement de serveur, protocole et port).

Je ne déconseille donc pas Shellfire, mais ne le recommande que sous les conditions suivantes :

  • penser à bloquer les connexions vers les réseaux sociaux et Google dans le navigateur ;
  • modifier les serveurs DNS paramétrés par le VPN, en les remplaçant par les DNS publics FDN par exemple.

Si jamais vous avez apprécié ce test et que vous souhaitez essayer leur service (et pourquoi pas comparer les impressions), des liens de parrainage/affiliation existent, voici le mien : ici.

Vous avez aimé cet article ? Alors partagez-le sur les réseaux sociaux !

Crédit photo : Tom Roberts - Purple Rain.