1 points par GN⁺ 2023-09-08 | 1 commentaires | Partager sur WhatsApp
  • Tailscale s’est associé à Mullvad pour permettre d’utiliser les serveurs VPN mondiaux de Mullvad comme nœuds de sortie Tailscale, afin que les utilisateurs d’un tailnet puissent naviguer sur le Web de manière plus privée sans infrastructure supplémentaire
  • Mullvad est un VPN conçu pour ne pas effectuer de journaux d’activité ni de surveillance, et utilise un numéro de compte unique pour l’abonnement afin que les données personnelles ne soient pas directement liées au compte
  • Tailscale ne gère que la couche de coordination entre les appareils et la périphérie du réseau Mullvad, tandis que le trafic Internet réel transite directement par le nœud Mullvad choisi
  • Cette combinaison est utile pour des usages comme la protection sur le Wi-Fi public ou l’accès selon la région, mais ne constitue pas un modèle garantissant une véritable anonymat
  • La fonctionnalité est proposée en bêta publique et peut être ajoutée comme option payante aux offres Tailscale existantes ainsi qu’à l’offre Free, au prix de 5 $ par mois pour 5 appareils

Rôle de Tailscale et de Mullvad

  • Les deux peuvent être qualifiés de VPN, mais ils ne résolvent pas le même problème
  • Tailscale est un service qui crée un tailnet, un Internet privé personnel, pour aider les utilisateurs à se connecter en toute sécurité, presque partout, aux services et aux personnes dont ils ont besoin
  • Un VPN orienté confidentialité comme Mullvad fournit un accès à Internet plus privé en masquant les informations d’identification de l’appareil face aux annonceurs, FAI, acteurs malveillants sur les Wi-Fi publics et sites marketing
  • Auparavant, pour utiliser Tailscale tout en obtenant des avantages comparables à ceux d’un VPN orienté confidentialité, l’utilisateur devait mettre en place lui-même son infrastructure

Comment utiliser Mullvad comme nœud de sortie Tailscale

  • Mullvad donne accès à des centaines de serveurs dans plus de 40 pays à travers le monde
  • Lorsqu’un appareil se connecte à un serveur Mullvad, il génère une paire de clés WireGuard
    • La clé publique sert à identifier le pair dans l’infrastructure Mullvad
    • La clé privée sert à chiffrer le trafic
  • Avec un nœud de sortie Mullvad dans Tailscale, l’architecture est similaire
    • Le nœud enregistre dans l’infrastructure Mullvad la paire de clés WireGuard déjà générée par Tailscale
    • Le trafic entrant depuis Internet se termine à la périphérie du réseau Mullvad
    • Le trafic reste chiffré de bout en bout jusqu’à l’appareil
  • En pratique, cela revient à intégrer la flotte de serveurs de Mullvad dans le tailnet

Tailscale comme couche de coordination

  • Tailscale agit comme couche de coordination entre l’appareil de l’utilisateur et la périphérie du réseau Mullvad
  • Le plan de contrôle met continuellement à jour la carte du réseau Mullvad disponible et indique à l’appareil à quel serveur se connecter dans chaque région ou ville
  • Une fois les informations de connexion du nœud Mullvad de la région ou de la ville choisie reçues, l’appareil envoie directement son trafic vers Internet via ce nœud
  • Comme pour les autres flux du tailnet, les données sont chiffrées de bout en bout, et Tailscale ne possède pas les clés privées, donc ne peut pas voir le contenu du trafic

Configuration et facturation

  • Pour activer un nœud de sortie Mullvad, l’administrateur du tailnet doit sélectionner Configure sur la page general settings de la console d’administration
  • L’administrateur choisit ensuite les appareils du tailnet qui utiliseront Mullvad, puis achète les licences via le parcours de paiement
    • Le prix est de 5 $ par mois pour 5 appareils
  • Les appareils disposant d’un accès au VPN Mullvad peuvent sélectionner un nœud de sortie Mullvad
  • Chaque appareil peut activer ou désactiver individuellement le nœud de sortie
  • Le mode d’emploi détaillé est disponible dans la documentation Tailscale

Limites en matière de confidentialité et d’anonymat

  • Les connexions Tailscale sont chacune des tunnels WireGuard, chiffrés et authentifiés de bout en bout
  • L’authentification apporte une forte garantie que le trafic circule bien entre les points de terminaison revendiqués
  • Aucune information personnelle de l’utilisateur n’est transmise à Mullvad
  • Tailscale connaît l’utilisateur via le fournisseur d’identité connecté, mais cette information n’est pas nécessaire pour la connexion aux serveurs Mullvad
  • Le client Tailscale local reçoit l’indication de destination de la clé publique WireGuard, puis le trafic Internet transite ensuite via l’infrastructure VPN de Mullvad
  • Cette architecture aide à dissimuler les détails privés de l’appareil, du réseau et de la connexion aux observateurs extérieurs

La véritable anonymat est une autre question

  • Tailscale estime que cette combinaison convient à de nombreux cas d’usage, mais qu’elle ne fournit pas une véritable anonymat
  • Le problème que Tailscale cherche à résoudre n’est pas la true anonymity, mais une approche adaptée aux utilisateurs dont le modèle de menace tolère un anonymat conditionnel
  • Il existe aussi des cas d’usage légitimes où l’on a besoin à la fois de confidentialité et de véritable anonymat
  • Fournir ce type de garantie dans un cadre commercial comporte des risques
    • Mullvad et IVPN ont évoqué les possibilités d’abus en lien avec la suppression de la prise en charge du port forwarding
    • Des utilisateurs malveillants peuvent transformer le service en vecteur d’abus
    • Ces abus peuvent dégrader l’expérience de l’ensemble des utilisateurs, y compris ceux qui dépendent du service pour leur sécurité
  • Les utilisateurs confrontés à des modèles de menace plus difficiles doivent passer par une évaluation des outils adaptés à l’aide de ressources comme le guide Surveillance Self-Defense de l’EFF

Bêta publique et prise en charge des offres

  • Le nœud de sortie Mullvad est disponible immédiatement en bêta publique
  • Il peut être étendu à une famille ou à une équipe, avec une facturation récurrente automatique de 5 $ par mois pour 5 appareils disposant de l’accès
  • Mullvad est actuellement proposé comme option payante sur toutes les offres Tailscale
  • Cette option est aussi disponible sur l’offre Free
  • Pour commencer, il suffit de sélectionner Configure dans l’onglet general settings de la console d’administration

1 commentaires

 
GN⁺ 2023-09-08
Avis sur Hacker News
  • À l’origine, un VPN désignait quelque chose d’assez différent des VPN grand public commerciaux comme Mullvad, et se rapprochait davantage du réseau overlay chiffré que propose Tailscale.
    Aujourd’hui, la roue de la réinvention semble avoir fait un tour complet et les deux se rejoignent de nouveau ; ici, je n’emploie pas « réinvention » de façon négative. Je pense que c’est une bonne direction.
    Le contexte historique dans lequel des personnes comme John Gilmore[1] pensaient qu’une technologie VPN universelle et interopérable, fondée sur le standard IETF IPSec, pouvait protéger le trafic Internet de bout en bout se retrouve aussi dans le document d’intention de FreeS/WAN, dans les années 90 : http://web.archive.org/web/20210125023625/https://www.freesw...
    Ensuite, il y a eu une période sombre pour les VPN, surtout utilisés comme technologie d’accès à de vieux « réseaux internes » d’entreprise.
    [1] https://en.wikipedia.org/wiki/John_Gilmore_(activist)

    • À l’époque, pour contourner les blocages régionaux, on utilisait aussi beaucoup de solutions « à moitié faites », comme les proxys web listés sur proxy.org.
      J’en ai exploité un quand j’étais enfant, et c’était proche du cauchemar côté sécurité : rien n’empêche l’opérateur d’un proxy web d’espionner tous les identifiants des utilisateurs qui passent par là. Modifier PHPRoxy dans ce sens est aussi très simple.
      Personnellement, ado au début des années 2000, je gérais un service de parking de domaines : j’utilisais les domaines comme proxys web, je repérais les blocs AdSense dans le contenu, je les remplaçais par mon propre code AdSense et je partageais les revenus 50/50 avec le code du propriétaire du domaine. Google a fini par s’en apercevoir et l’a interdit, mais tant que ça a duré, c’était plutôt rentable ; comme je n’ajoutais pas de nouveaux blocs publicitaires et réutilisais les blocs existants, ça me semblait assez équitable.
    • Le premier VPN que j’ai connu servait à connecter des filiales au réseau de l’entreprise.
      Plus tard, avec l’arrivée des VPN grand public, on est passé à une architecture point-à-multipoint qui rattache un seul ordinateur à un réseau, mais je ne sais pas très bien comment cette confusion est née. À cette époque, c’était en pratique assez proche d’un tunnel SSH reconditionné.
    • Ce n’est pas le sens « original », mais les VPN site à site sont encore largement utilisés aujourd’hui.
      Techniquement, le VPN de Mullvad est aussi un VPN site à site ; simplement, le site distant est Internet.
      J’ai souvent utilisé des VPN similaires pour connecter tout un segment de mon LAN domestique à Internet.
      La principale différence tient à la configuration côté client, car l’autre extrémité est presque toujours un réseau plutôt qu’un hôte.
    • La tendance à vouloir retirer le terme VPN aux fournisseurs grand public pour faire du gatekeeping est étrange.
      En tant que terme générique, VPN signifie aujourd’hui exactement la même chose qu’il y a 20 ans.
      « Virtuel » signifie qu’il ne correspond pas à une interface réseau physique, et « privé » signifie qu’il inclut du chiffrement, contrairement à de simples tunnels comme ipip ou 6in4. Et le fait qu’il apparaisse comme une interface réseau sur un nœud a toujours été vrai aussi, indépendamment du fait que ce nœud soit ou non une boîte noire propriétaire d’un fournisseur.
      Il y a plusieurs décennies, les usages et le statut étaient plus limités, les « routeurs » dédiés étaient plus importants, et les gens faisaient naïvement confiance à l’infrastructure. Les différences qui ont changé avec le temps sont là. Une recherche rapide montre qu’OpenVPN date de 2001 et tinc de 1998.
  • J’aime la technologie de Tailscale et sa contribution à l’écosystème de la sécurité, mais contrairement à beaucoup de réactions ici, je vois les choses autrement.
    Ça me semble être une mauvaise idée, et peut-être même le signe d’un échec sur le marché enterprise, où cette technologie pourrait apporter le plus de valeur. Tailscale a levé 100 millions de dollars l’an dernier, très probablement sur l’hypothèse d’une montée en gamme vers ce marché.
    Ce partenariat aura peut-être de la valeur pour les particuliers, mais il ressemble surtout à une distraction par rapport à la grande opportunité ; dans le pire des cas, il pourrait même nuire à sa réalisation.
    L’argument selon lequel la satisfaction des particuliers créerait un flywheel menant au succès B2B ne me convainc pas vraiment.

    • Les statistiques montrent de plus en plus que rendre les geeks heureux mène à des ventes en entreprise. Nous le savons bien, nous sommes nous-mêmes des geeks : https://tailscale.com/blog/free-plan/ entre autres.
      Si nous pouvons construire quelque chose que nous voulons nous-mêmes, que nos amis et collègues geeks apprécieront aussi, et que cela mène également à des ventes en entreprise, il n’y a aucune raison de ne pas le faire.
    • Tailscale a beaucoup d’employés, et ajouter un petit patch à la programmation du client WireGuard puis y greffer le provisionnement de comptes Mullvad semble représenter un effort assez limité.
      C’est une fonctionnalité plutôt sympa, qui permet aussi d’obtenir des revenus récurrents auprès de clients geeks qui utilisaient jusque-là le service gratuitement.
    • La plupart des changements réels semblent se faire côté Tailscale, avec une architecture où l’utilisateur configure lui-même Mullvad pour l’utiliser comme une sorte de proxy ; ça ne paraît donc pas être une grosse distraction pour Mullvad.
      Collaborer avec des organisations orientées dans la même direction, comme Tailscale ou Tor, semble être un bon moyen d’élargir sa base d’utilisateurs sans toucher aux modèles économiques douteux d’autres concurrents VPN.
    • L’été dernier, j’ai quitté mon poste de troisième ingénieur dans une startup. Là-bas, j’ai essayé désespérément de convaincre les ingénieurs numéro 1 et 2 d’utiliser Tailscale plutôt que d’exploiter notre propre VPN avec WireGuard et EC2, mais j’ai échoué.
      Le produit paraissait trop magique, tout le monde s’en méfiait. Je l’utilisais chez moi et j’ai fait tout mon possible pour les convaincre.
      Ça ressemble davantage à un investissement de long terme pour briser la base « mesh » du produit. C’est à la fois ce qui le rend magique et ce qui pose problème. De l’extérieur, je n’arrivais pas à expliquer le modèle de sécurité du mesh, et d’après certains commentaires, cela semble aussi poser des problèmes de batterie sur mobile.
    • Pour les débits, ça ressemble forcément à un cauchemar.
      Si l’on crée deux tunnels distincts et que l’on navigue sur Internet à travers eux, tout usage autre que des pages HTML statiques — streaming ou presque n’importe quoi d’autre — risque d’être pénible.
  • Mullvad fait beaucoup de choses récemment, et j’aime vraiment leur approche.
    On a l’impression qu’ils construisent un écosystème open source décentralisé grâce à des partenariats avec des entreprises qui poursuivent une direction similaire. C’est assez proche de ce dont rêvaient les « hackers » du côté sécurité.
    Je me demande si les prochains seront Matrix ou Signal. Signal est très peu probable, mais on peut toujours rêver que l’idée d’« évoluer vers un écosystème où l’expression a une signification réelle » devienne réalité.
    J’aimerais voir un monde où les produits fondés sur l’open source et les protocoles ouverts fonctionnent harmonieusement ensemble. En fait, je pensais qu’on ne verrait pas ça avant d’être assez proches d’une société post-rareté.

  • tailscaled s’exécute en tant que root. Je me demande s’il existe un moyen de l’isoler sans perdre de fonctionnalités.
    Comme il relie plusieurs appareils de mon réseau, une vulnérabilité de Tailscale aurait un impact important. Récemment encore, il y a eu près de 10 CVE. Dans une approche client-serveur standard, on peut exécuter le client en WireGuard en espace utilisateur, ce qui rend ce genre de problème moins préoccupant.
    Je n’ouvre pas directement de ports avec Tailscale, mais plus précisément je confie cela à Tailscale en sous-traitance, donc je ne dors toujours pas complètement tranquille.

    • Le mode espace utilisateur peut être une option. Il s’exécute sans TUN et sans toucher au câblage réseau du système, mais au prix des performances : https://tailscale.com/kb/1112/userspace-networking/
      Exécuter Tailscale sans privilèges est difficile. tailscaled doit pouvoir configurer le réseau et, si Tailscale SSH est activé, il doit aussi pouvoir créer les sessions utilisateur configurées.
      C’est possible pour quelqu’un qui n’a pas besoin de SSH et qui accepte ce défi ainsi que la charge de maintenance : https://tailscale.com/kb/1279/security-node-hardening/
    • Il existe un mode réseau en espace utilisateur qui le sort du noyau : https://tailscale.com/kb/1112/userspace-networking/
    • Je peux me tromper, mais il me semble qu’il suffit de l’exécuter une seule fois en root lors de la configuration. Le démon peut très bien tourner avec un utilisateur non-root.
      Ma preuve, c’est que je l’utilise comme ça sur Arch.
  • À première vue, c’est vraiment excellent, et en tant qu’utilisateur à la fois de Tailscale et de Mullvad, c’est formidable.
    Ma principale inquiétude reste toutefois la possibilité de fuites de confidentialité. Des agences gouvernementales ne pourraient-elles pas désormais faire pression sur Tailscale pour associer des identifiants ou des connexions Mullvad à des comptes Tailscale afin de les suivre ?

  • Tailscale a récemment bloqué l’accès à son service aux ressortissants cubains, ce qui m’a personnellement fait manquer une occasion qui aurait été très utile. Ils ont sans doute leurs raisons, mais je trouve tout de même que le service qu’ils construisent progressivement est plutôt bon.

    • Je ne travaille pas chez Tailscale et je ne connais pas les raisons précises, mais les contrôles à l’exportation et les sanctions américaines liés à Cuba sont assez complexes, et ils ont davantage été conçus sous l’effet de pressions politiques historiques et actuelles que comme une politique rationnelle.
      Il y a quelque temps, quand j’étais impliqué dans la direction d’une association caritative américaine à but non lucratif, nous avions essayé, sous Obama, de financer la participation de quelqu’un à une conférence tech à Cuba. Ou peut-être s’agissait-il de financer le déplacement d’un Cubain vers une conférence tech ailleurs.
      Nous avons effectivement réussi à le faire, mais il a fallu consulter un avocat, comparer les détails de la situation aux règles applicables, et faire promettre aux personnes concernées de rester dans le cadre de ces règles.
      À vue de nez, Tailscale, ou l’un des fournisseurs dont il dépend, semble bloquer les Cubains pour se conformer à des obligations juridiques américaines spécifiques à Cuba, ou au moins pour réduire le risque d’infraction.
      Au moins, GitHub a trouvé un moyen, malgré les sanctions, de proposer légalement la plupart de ses offres aux Cubains ou aux utilisateurs situés à Cuba, à l’exception d’un ensemble plus restreint de personnes et d’entités interdites. Si l’on peut obtenir le code open source du client Tailscale et du serveur Headscale, on peut profiter dans une certaine mesure des avantages du logiciel Tailscale.
    • Les PME ont tendance à jouer la sécurité, et elles n’ont pas beaucoup de ressources pour gérer ce que dit le département d’État américain.
      Google s’y conforme aussi en partie : https://support.google.com/google-ads/answer/6163740?hl=en
    • Si Tailscale utilise les services de grands fournisseurs de cloud hyperscale, il y a de fortes chances qu’ils n’aient pas eu le choix.
    • Je trouve vraiment stupides les contrôles à l’exportation ou embargos qui consistent à couper l’accès VPN spécifiquement aux ressortissants étrangers.
    • On peut faire tourner son propre serveur de contrôle headscale et utiliser le client avec : https://github.com/juanfont/headscale
      Cela demande beaucoup plus de configuration, mais c’est une option. J’auto-héberge headscale depuis un moment et c’est assez stable.
  • Si l’on est déjà client Mullvad, je me demande s’il existe un moyen d’intégrer ça à son compte existant.
    Pour l’instant, quand je veux utiliser Mullvad via mon tailnet, je configure ma machine Linux à la maison comme nœud de sortie, et cette machine envoie automatiquement tout le trafic via Mullvad. Comme je paie déjà Mullvad sur cette machine Linux à la maison, cela ne me coûte rien de plus.

  • Je voudrais aider à comprendre pourquoi l’usage des VPN semble avoir explosé ces dernières années
    Je connais les cas d’usage classiques, comme les appareils d’entreprise, mais comme cela existe depuis des décennies, ça ne me semble pas être la cause principale. Quel est le contexte qui explique cette croissance massive depuis plus de trois ans ?

    • Aujourd’hui, les placements sponsorisés dans les contenus de créateurs indépendants diffusent pas mal de peur, d’incertitude et de doute
      Résultat, pour le grand public, le mot « VPN » signifie moins « quelque chose qui me permet d’accéder de n’importe où à un réseau que je contrôle » que « quelque chose qui route mon trafic via une localisation géographique donnée »
      Des demi-vérités comme « sécurise la connexion » ou « empêche le pistage » sont avancées sans explication complémentaire, alors qu’en réalité l’empreinte de l’appareil et du navigateur pèse davantage que la localisation géographique pour identifier un utilisateur. Avec HTTPS, le trafic est déjà chiffré, et DNS-over-HTTPS ou les fournisseurs TLS masquent aussi l’endroit où l’on voulait aller ; une bonne partie des bénéfices revendiqués ressemble donc presque à de la poudre de perlimpinpin
      Cela dit, si vous voulez regarder des contenus soumis à des restrictions géographiques, ou empiler plusieurs couches d’ambiguïté pour anonymiser votre identité, faites-vous plaisir. À mon avis, l’explosion de l’usage grand public vient d’un mélange de paranoïa à dose raisonnable et de marketing d’influence
    • Le marché des VPN connaît une croissance importante d’une année sur l’autre depuis au moins 2009. Simplement, ces dernières années, cette croissance s’est accumulée et la taille absolue est devenue importante
      Je vois les segments de clients ainsi : les personnes soucieuses de leur vie privée en ligne, celles qui veulent contourner la censure, celles qui veulent un canal réseau sûr entre leur machine et « Internet » face à l’écoute de leur FAI local, et celles qui veulent contourner des restrictions géographiques
      En raison de la nature d’Internet et du fonctionnement d’IP, son protocole le plus important, changer d’adresse IP est une étape nécessaire, mais pas toujours suffisante, pour protéger la vie privée en ligne. Ce fait explique la pertinence durable des VPN, de Tor et des technologies similaires
      Pour être transparent, je suis cofondateur de Mullvad VPN
    • Les VPN du type Mullvad relèvent en grande partie du marketing visant des personnes qui ne s’y connaissent pas vraiment, mais ils servent aussi à des gens vivant dans des États policiers ou à ceux qui reçoivent des courriers pénibles à cause du torrent
      Les VPN du type Tailscale sont surtout utilisés par des personnes qui auto-hébergent des apps et veulent y accéder depuis plusieurs appareils sans les exposer à Internet, ou qui veulent accéder à leur NAS depuis Starbucks
    • Au moins en ce qui concerne Tailscale, c’était grâce à Tailscale SSH et MagicDNS
      Il n’y avait pas du tout besoin de toucher à sshd, et les machines connectées au tailnet obtenaient automatiquement des certificats HTTPS. En plus, c’est gratuit
      [1] https://tailscale.com/tailscale-ssh/
      [2] https://tailscale.com/kb/1081/magicdns/
    • Je ne fais rien de louche en ligne, mais j’utilise un VPN pour les mêmes raisons que j’utilise HTTPS au lieu de HTTP, ssh au lieu de telnet, BTC/XMR plutôt qu’une carte bancaire quand c’est possible, et le chiffrement intégral de disque LUKS plutôt que rien du tout
      J’accorde de l’importance à la vie privée, et je veux combattre l’idée fausse selon laquelle les outils qui renforcent la confidentialité ne seraient utilisés que par des gens louches à des fins louches
      On peut utiliser un VPN pour la même raison qu’on ferme la porte d’une cabine de toilettes publiques
      Je ne suis pas forcément d’accord avec l’hypothèse selon laquelle l’usage des VPN aurait réellement augmenté récemment. Je ne sais pas si c’est vrai
  • Fait intéressant, j’avais autrefois écrit un script à exécuter à la connexion pour faire coexister Mullvad et Tailscale. Si cela intéresse quelqu’un, j’en ai aussi un pour NVPN
    DOMAINS=(login controlplane log derp1-all derp2-all derp3-all derp4-all derp5-all derp6-all derp7-all derp8-all derp9-all derp10-all derp11-all derp12-all derp13-all derp14-all derp15-all derp16-all derp17-all derp18-all derp19-all derp20-all derp21-all derp22-all derp23-all derp24-all)

    FWMARK=$(wg show $1 fwmark)

    for d in ${DOMAINS[@]}; do
    IPS=$(dig +answer -4 $d.tailscale.com +short)

    for IP in ${IPS[@]}; do
    iptables -I INPUT --in-interface tailscale0 -j MARK --set-mark $FWMARK
    iptables -I OUTPUT --out-interface tailscale0 -j MARK --set-mark $FWMARK

    iptables -I INPUT -d $IP/32 -j MARK --set-mark $FWMARK
    iptables -I INPUT -s $IP/32 -j MARK --set-mark $FWMARK
    iptables -I OUTPUT -d $IP/32 -j MARK --set-mark $FWMARK
    done;

    done;

    iptables -I OUTPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
    iptables -I OUTPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
    iptables -I INPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
    iptables -I INPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK

    • La première ligne peut être simplifiée ainsi
      DOMAINS=(login controlplane log derp{1..24}-all)
    • Je me demande ce qu’est $1 dans wg show $1, et quand et comment ce script est exécuté
    • Ici, le bloc de code est créé avec une indentation de deux espaces, pas avec ```