Exécutions des VPN et leurs particularités

11 Mar 2016

Lors d’un précédent article, nous avions parlé de la définition du VPN (en anglais : Virtual Private Network, en français : Réseau privé virtuel), ses fonctions et usages divers. Aujourd’hui, nous passerons en revue ses exécutions les plus fréquentes, ses avantages et ses inconvénients.

vpn-impementations-featured

Par définition, le VPN est un concept flexible, il est d’ailleurs difficile de comprendre du premier coup si certaines exécutions sont des VPN ou non. Dans une certaine mesure, le précurseur d’Internet, ARPANET, pourrait être également considéré comme étant un VPN. Étonnement, presque tous les principes de mise en réseau et, évidemment, les protocoles, ont débuté comme étant des technologies d’entreprise, qui par la suite sont devenues des produits pour les utilisateurs.

Désormais, ni l’histoire ni l’infrastructure des entreprises n’ont d’intérêt pour nous aujourd’hui. Dans cet article, nous allons analyser les exécutions communes de VPN, que même un utilisateur inexpérimenté serait en mesure de trouver.

Premièrement, nous allons voir que ces exécutions aident à protéger les utilisateurs lorsqu’ils sont connectés à un réseau de Wi-Fi public, ou contourner certaines restrictions IP imposées par un prestataire de service. En règle générale, les services VPN des consommateurs exploitent les capacités répandues du système d’exploitation et fournissent, étape par étape, les instructions nécessaires pour établir une connexion sécurisée.

Dernièrement, le VPN a fait un grand pas en avant en ce qui concerne la simplification de ce processus : un utilisateur lambda n’est pas contraint d’éplucher tout ce charabia technologique et a seulement besoin de suivre des instructions rudimentaires telles que : payez ici, téléchargez l’app ici, appuyez ici et c’est parti ! Mais dans certains cas, il serait judicieux de connaitre au moins comment les exécutions de VPN diffèrent les unes des autres.

vpn-implementations-settings-en

réglages VPN sur Android ( à gauche) et Windows (à droite)

 

Exécutions VPN répandues

Le PPTP (Point-to-point tunneling protocol), protocole de tunnel point-à-point, fut développé il y a environ 20 ans, ce qui peut être à la fois un avantage et un inconvénient. Le plus gros des avantages est sa compatibilité avec presque tous les systèmes d’exploitation, y compris les versions anciennes, ce qui fait de lui un protocole pleinement universel et disponible. Il consomme également peu d’énergie sur ordinateur, comparé à des solutions plus récentes.

Mais son principal inconvénient s’explique aussi par son âge avancé : en comparaison avec les solutions de sécurité d’aujourd’hui, il offre un niveau de protection plus faible. Ces méthodes de cryptage convenaient parfaitement au milieu des années 90, mais désormais ne sont plus aussi fiables. Il s’agit d’un problème qui s’est accentué à cause d’une architecture défectueuse et d’un certain nombre de failles dans l’exécution de Microsoft.

Cependant, en ce qui concerne PPTP, le cryptage n’est pas proposé par défaut, ainsi un adversaire (algorithme) mettrait moins de 24 heures à décrypter le mot de passe du matériel de production actuellement disponible. En revanche, lorsqu’il s’agit de scénarios qui ne requièrent pas de connexion ultra sécurisée ou lorsque d’autres connexions VPN ne sont pas disponibles, il vaut mieux utiliser le PPTP avec un faible cryptage plutôt que de ne pas avoir de protection du tout.

Un jour, je me suis retrouvé moi-même dans une situation délicate : je partais à destination d’un pays qui imposait certaines régulations Internet (si vous voyez ce que je veux dire). J’utilisais notre serveur PPTP d’entreprise situé dans mon pays d’origine pour envoyer des emails. Ces derniers étaient envoyés avec un décalage variant de deux jours à deux semaines. Personne ne sait où ces emails étaient passés pendant tout ce temps. A ce même moment, l’utilisation d’une connexion VPN alternative, qui aurait été plus fiable était interdite. Cette histoire illustre de loin que le PPTP n’est pas assez puissant pour vous protéger d’organisations puissantes telles que les gouvernements ou les grandes entreprises.

 

Le Layer 2 Tunneling Protocol (L2TP, protocole de tunnellisation de niveau 2) est assez similaire au PPTP. Ces deux standards ont été développés et certifiés pratiquement au même moment, cependant le L2TP est considéré plus efficace pour les réseaux virtuels, bien qu’il consomme un peu plus d’énergie sur ordinateur. En général, ce sont les informaticiens et les entreprises qui préfèrent l’utiliser. A ce sujet, le L2TP ne fournit pas de cryptage par défaut et est inclus avec d’autres protocoles (généralement IPSec).

L’IPSec (Internet Protocol Security) est un ensemble de protocoles, de normes et de recommandations. Ce dernier est spécialement conçu pour divers types de connections sécurisées. Les premières élaborations d’IPSec remontent au début des années 90, mais la base de son concept est en perpétuelle amélioration et mise à jour conformément aux développements technologiques. Il ne s’agit donc pas d’une demande fixe.

Il est clair que ce type d’entités a été conçu pour ce dernier usage. L’IPSec contenait une douzaine de normes (chacune d’entre elles possédant plus d’une exécution), pouvant être utilisées pour faciliter les connections sécurisées à tous les niveaux. Il faut reconnaître qu’en termes d’architecture, de fiabilité de ses algorithmes de cryptage et de ses capacités, il s’avère efficace.

Avec tout le respect qu’on lui doit, IPSec a aussi ses défauts. Premièrement, il n’est pas simple de le configurer pour un utilisateur lambda de PC. S’il est configuré de manière inadéquate, cela peut nuire à sa sécurité. Comme mentionné précédemment, il est également utilisé dans un ensemble de plusieurs protocoles.

 

Deuxièmement, il consomme de l’énergie sur ordinateur. Cet inconvénient est en partie compensé par l’utilisation de l’accélération matérielle d’Advanced Encryption Standard (AES, standard de chiffrement avancé), en général proposé dans les exécutions actuelles d’IPSec, parmi d’autres algorithmes. Cette accélération matérielle AES est utilisée dans les processeurs actuels, à la fois pour les dispositifs de bureau et mobiles, ainsi que pour les routeurs Wi-Fi etc.

A notre grande stupéfaction, les technologies conçues par les théoriciens (principalement les groupes de réflexion en mathématiques) mettent au point des idées pragmatiques qui parfois ont des connaissances insuffisantes et incompréhensibles de la science. Une étude publiée en octobre 2015 indique que 66% des connexions IPSec peuvent être décodées sans effort considérable. Il y a également de fortes chances pour que la National Security Agency (NSA, Agence nationale de la sécurité aux USA) possède des ressources du matériel adapté pour compromettre le cryptage.

Le problème qui se pose ici est l’utilisation erronée des protocoles, utilisés pour lancer une connexion sécurisée. Ce problème ne concerne pas seulement l’IPSec, mais également le TLS (dont on vous parlera un peu plus bas), le SSH, ainsi que les TOR et OTR. En d’autres termes, il existe une probabilité pour que la connexion VPN et tout autre types de connexions sécurisées de certains sites web, serveurs mails, messageries et similaires soient compromis.

Bien sûr, de longs délais d’exécution et d’importantes ressources informatiques sont requis pour mener à bien une attaque, mais dans ce cas précis les chercheurs ont utilisé les technologies communes du cloud computing d’Amazon, et apparemment, auraient dépensé une somme d’argent raisonnable, techniquement faisable pour un acteur privé.

Avec de telles ressources à portée de main, le temps estimé pour une attaque peut être d’une minute dans le meilleur des cas et jusqu’à un mois dans le pire. Conjointement, certains experts se sont montrés sceptiques concernant cette preuve de concept : comme ils l’ont déclaré, le nombre de systèmes vulnérables est beaucoup moins élevé dans la vraie vie. Dans tous les cas, certains aspects de cette étude devraient être pris au sérieux, alors que les développeurs de logiciels potentiellement vulnérables préparent actuellement ou ont déjà développé des patchs et alertés leurs utilisateurs.

Les VPN tels que le SSL (Secure Sockets Layer) et le TLS (Transport Layer Security) comme leurs noms l’indiquent, appartiennent à une catégorie de solutions fondées sur les protocoles correspondants des SSL et TLS, qui sont parfois complétés par d’autres moyens de protection. Nous sommes tous tombés sur des SSL / TLS en surfant sur internet. Par exemple, le préfixe https et l’en-tête de verrouillage verte signifient que les site web utilisent ces protocoles pour une connexion sécurisée.

Les premières exécutions du protocole datent du début du siècle, puisque la technologie a gagné du terrain seulement dans les années 2000. La croissance rapide des protocoles a permis de les examiner en détail et de trouver un certain nombre de vulnérabilités, autant dans l’architecture elle-même que dans les différentes exécutions. Le SSL 3.0 ayant été supprimé en juin 2015, sa version plus récente TLS.1 ne demeure pas encore totalement sécurisée, elle dépend beaucoup de la configuration (voir IPSec). De plus, ces deux protocoles ont besoin de fournir une rétrocompatibilité (désigne la compatibilité d’un produit vis-à-vis de ses anciennes versions).

La fréquence du SSL / TLS sur internet est sans aucun doute un avantage de ce type de VPN, la plupart des réseaux publics le tolèrent. Au sujet des inconvénients, ces VPN ont des performances restreintes, sont difficiles à configurer et requièrent un logiciel supplémentaire.

Parmi les exécutions de VPN SSL / TLS les plus répandus se trouvent l’OPenVPN (SSL 3.0 / TLS 1.2) et le SSTP de Microsoft (SSL 3.0). En réalité, le SSTP est intégré avec Windows. L’OpenVPN dispose de nombreuses exécutions pour la plupart des plateformes et est considéré comme l’exécution VPN la plus fiable à ce jour, de par son accessibilité.

Conclusion

Nous venons de passer en revue l’exécution du VPN le plus répandu et connu à ce jour. Etant donné que cette technologie évolue au fil des ans, elle a tout de même rencontré de nombreuses itérations. Imaginez toutes les solutions qui ont été conçues pour les secteurs d’entreprise et de télécommunication !

Tout comme pour les utilisateurs, je leur recommanderais de s’en tenir à l’OpenVPN pour son accessibilité, fiabilité, et sa sécurité. Néanmoins, ce dernier et d’autres exécutions de VPN possèdent un certain nombre de particularités légales et techniques complexes. Je vous en parlerai dans lors d’un prochain article à ce sujet.