VPN ou Virtual Private Network
17/04/2020
17/04/2020
Le VPN est avant toute considération technique, destiné à fournir aux utilisateurs et administrateurs du SI, les conditions d’utilisation, d’exploitation et de sécurité à travers un réseau public identiques à celles disponibles sur un réseau privé. La mise en oeuvre d’un VPN varie en fonction du contexte et des usages destinés et/ou attribués aux utilisateurs distants.
Du point de vue de l’utilisateur, aucune différence notable ne doit apparaître dans son utilisation des ressources du SI. Il accède aux mêmes ressources et effectue les mêmes opérations avec des délais d’exécution du même ordre et des performances comparables comme s’il était sur le réseau de l’entreprise.
Aujourd’hui, les principaux usages du VPN sont :
Au delà de ces usages, la principale fonction du VPN est de sécuriser la connexion de l’utilisateur à un serveur distant. La connexion est chiffré ce qui signifie qu’aucune des requêtes Web ne peut être vue par le monde extérieur.
Il existe plusieurs types de VPN. Les plus communs sont :
Le type et le niveau de cryptage sont déterminés par le protocole de sécurité. Selon le protocole activé, le VPN ouvre un canal via différents ports et avec différents niveaux de sécurité.
Bien que le type de cryptage soit la principale différence entre les protocoles, il affecte également d’autres aspects de l’utilisation d’un VPN.
Sur le plan pratique, le choix du protocole n’est pas si simple et se résume souvent à arbitrer entre sécurité et rapidité.
Notons pour finir, que le célèbre réseau Tor est souvent confondu ou associé à un VPN. Ce n’est souvent pas le cas. Tor protège plutôt l’anonymat et garantit un chiffrement des données en transit entre l’utilisateur et les sites distants jusqu’au nœud de sortie, alors que le VPN sécurise le tunnel de bout en bout en chiffrant les données échangées entre cet utilisateur et les serveurs distants.
Une combinaison associant anonymat, confidentialité et sécurité de bout en bout serait de coupler un VPN avec Tor, mais ces derniers mois, plusieurs vulnérabilités ont été identifiées sur quelques solutions VPN du marché (Palo Alto Networks, Pulse Secure et Cisco AnyConnect) poussant les instances publiques américaines à exiger des correctifs immédiats. Parmi les plus critiques, citons Bluekeep qui touche le protocole RDP (Remote Desktop Services) sur plusieurs versions de Windows (CVE-2019-0708) ou celle qui touche le stockage des cookies de session (CVE-2019-1573). Cette dernière par exemple a un impact élevé sur la disponibilité, l’intégrité et la confidentialité des données. Son exploitation permet, à distance et sans aucun privilège ni interaction avec un utilisateur, de détourner les tokens de session et de les rejouer pour accéder au compte de l’utilisateur.
Toutes ces vulnérabilités ont bien entendu été corrigées depuis par les fournisseurs respectifs.
En conclusion, retenons donc qu’une solution VPN se doit de fournir aux utilisateurs et aux administrateurs du SI les conditions d’utilisation, d’exploitation et de sécurité identiques à celles disponibles sur un réseau privé.
Au delà des critères de performances, de latence, de QoS et de compatibilité avec le parc informatique, le choix d’une solution VPN doit également arbitrer les enjeux de la sécurité dans une perspective globale du SI : topologie du réseau, typologie des utilisateurs, configuration des services ouverts via le VPN, l’intégrité, la confidentialité des biens du SI.
Rédacteurs : Karim Slimani (Directeur de Projet) et Christophe Leroy (Manager)
Liens utiles : https://cve.mitre.org/cve/
Quelques sources consultées : Editeurs de solutions VPN, guides édités par les FAI
Episode 4 : FIR Formind 1 - Déni de service 0
Episode 3 - FIR Formind 1 – Menace interne 0
Formind innove avec CyberForPME, la première plateforme SaaS souveraine de cyber défense pour les PME.
Subscribe to get our latest news!