Le VPN est avant toute considération technique, destiné à fournir aux utilisateurs et administrateurs du SI, les conditions d’utilisation, d’exploitation et de sécurité à travers un réseau public identiques à celles disponibles sur un réseau privé. La mise en oeuvre d’un VPN varie en fonction du contexte et des usages destinés et/ou attribués aux utilisateurs distants.

Du point de vue de l’utilisateur, aucune différence notable ne doit apparaître dans son utilisation des ressources du SI. Il accède aux mêmes ressources et effectue les mêmes opérations avec des délais d’exécution du même ordre et des performances comparables comme s’il était sur le réseau de l’entreprise.

Aujourd’hui, les principaux usages du VPN sont :

• Télé-Travail : Une connexion transparente et sécurisée aux ressources informatiques et bureautiques (VoIP, etc) de l’entreprise pour le travail à distance. Pour ce type d’utilisation les principales fonctionnalités devant être mises en oeuvre sont la transparence et la sécurité.
• Connexion de sites distants : Pouvoir utiliser un réseau public pour établir une connexion fiable entre deux sites présente plusieurs avantages, notamment financiers mais également l’indépendance vis-à-vis des opérateurs télécoms.
• Externalisation : Tout ou partie du SI peut être externalisé, la connexion aux ressources s’effectue de manière transparente et sécurisée via le VPN. Dans un tel schéma, l’ensemble des critères liés à la performance, la sécurité, l’exploitation (SLA) et la protection des données doivent être encadrés dans un Plan d’Assurance Cyber-Sécurité ou Sécurité.

Au delà de ces usages, la principale fonction du VPN est de sécuriser la connexion de l’utilisateur à un serveur distant. La connexion est chiffré ce qui signifie qu’aucune des requêtes Web ne peut être vue par le monde extérieur.

Il existe plusieurs types de VPN. Les plus communs sont :

• PPTP VPN,
• Site-to-Site VPN,
• L2TP VPN,
• Hybrid VPN.

Le type et le niveau de cryptage sont déterminés par le protocole de sécurité. Selon le protocole activé, le VPN ouvre un canal via différents ports et avec différents niveaux de sécurité.

Bien que le type de cryptage soit la principale différence entre les protocoles, il affecte également d’autres aspects de l’utilisation d’un VPN.

Sur le plan pratique, le choix du protocole n’est pas si simple et se résume souvent à arbitrer entre sécurité et rapidité.

• Le VPN PPTP par exemple active un protocole de tunnel point-à-point. Pour accéder à ce VPN, les utilisateurs autorisés s’authentifient avec un mot de passe pré-enregistré. Aucune installation de matériel supplémentaire n’est requise sous Windows, Mac et/ou Linux pour exploiter ce type de VPN.
• Quant au VPN Site-to-Site ou Router-to-Router, il construit un réseau virtuel entre les segments de réseaux. Cependant et contrairement au PPTP, le routage, le chiffrement et le déchiffrement sont effectués soit par du matériel, soit grâce à un logiciel installé des deux côtés du routeur.
• Certains protocoles comme le L2TP ou Layer to Tunneling Protocol (tunnellisation de niveau 2) sont plus efficaces lorsqu’ils sont combinés à un protocole qui chiffre les données via ce tunnel. Généralement ces derniers se basent sur IPSec.
• En matière de sécurité, l’OpenVPN, est le plus robuste de notre liste. Il est basé sur des technologies open source (librairie OpenSSL et SSL v3/TLS v1) et utilise l’algorithme de chiffrement AES. Il affiche des fonctionnalités très souples en termes de configuration des ports rendant ainsi les connexions qu’il initie très faciles à mettre en oeuvre avec divers fournisseurs d’accès Internet.

Notons pour finir, que le célèbre réseau Tor est souvent confondu ou associé à un VPN. Ce n’est souvent pas le cas. Tor protège plutôt l’anonymat et garantit un chiffrement des données en transit entre l’utilisateur et les sites distants jusqu’au nœud de sortie, alors que le VPN sécurise le tunnel de bout en bout en chiffrant les données échangées entre cet utilisateur et les serveurs distants.

Une combinaison associant anonymat, confidentialité et sécurité de bout en bout serait de coupler un VPN avec Tor, mais ces derniers mois, plusieurs vulnérabilités ont été identifiées sur quelques solutions VPN du marché (Palo Alto Networks, Pulse Secure et Cisco AnyConnect) poussant les instances publiques américaines à exiger des correctifs immédiats. Parmi les plus critiques, citons Bluekeep qui touche le protocole RDP (Remote Desktop Services) sur plusieurs versions de Windows (CVE-2019-0708) ou celle qui touche le stockage des cookies de session (CVE-2019-1573). Cette dernière par exemple a un impact élevé sur la disponibilité, l’intégrité et la confidentialité des données. Son exploitation permet, à distance et sans aucun privilège ni interaction avec un utilisateur, de détourner les tokens de session et de les rejouer pour accéder au compte de l’utilisateur.

Toutes ces vulnérabilités ont bien entendu été corrigées depuis par les fournisseurs respectifs.

En conclusion, retenons donc qu’une solution VPN se doit de fournir aux utilisateurs et aux administrateurs du SI les conditions d’utilisation, d’exploitation et de sécurité identiques à celles disponibles sur un réseau privé.

Au delà des critères de performances, de latence, de QoS et de compatibilité avec le parc informatique, le choix d’une solution VPN doit également arbitrer les enjeux de la sécurité dans une perspective globale du SI : topologie du réseau, typologie des utilisateurs, configuration des services ouverts via le VPN, l’intégrité, la confidentialité des biens du SI.

Rédacteurs : Karim Slimani (Directeur de Projet) et Christophe Leroy (Manager)

Liens utiles : https://cve.mitre.org/cve/
Quelques sources consultées : Editeurs de solutions VPN, guides édités par les FAI