Après avoir découvert les VPNs, dans cet article nous parlerons des protocoles de sécurité. Ces protocoles portent des acronymes difficiles à comprendre, tels que PPTP, L2TP, SSTP, SSTP, IKEv2… Pour garantir la sécurité d’un service, celui-ci doit clairement signaler le protocole qu’il utilise.
Structurellement, les connexions VPN ne sont pas compliquées. Elles sont basées sur une structure client, tunnel ou serveur. Le client achemine les données de l'utilisateur du service dans le tunnel, le tunnel permet un transport sûr des données vers le serveur de destination. Le serveur de destination peut être connecté à un réseau d'entreprise privé ou à Internet. Avec ce processus, tout le trafic Internet réalisé par le client apparaît comme provenant de l'IP du serveur. C'est ainsi que les VPNs permettent de contourner les blocs territoriaux (tout service sérieux a des serveurs situés presque partout dans le monde), et de cacher votre adresse IP (et donc votre identité).
Quels sont les protocoles de sécurité ?
Une telle connexion ne peut avoir que deux points faibles, le tunnel et le serveur cible. La sécurité du serveur de destination dépend du fournisseur de services : le mieux est de ne pas enregistrer les identifiants de connexions, de sessions, ainsi que les données échangées.
Ainsi, le seul point faible peut être le tunnel, et c’est là qu’entrent en jeu les protocoles de sécurité. Ce sont eux qui assurent que les données arrivent du client au serveur sans pouvoir être décryptées.
Ainsi, si un service crypte les données à l'aide d'un protocole fiable et ne conserve pas d’historique, sa sécurité est pratiquement totale. L'anonymat sur Internet des utilisateurs est alors pratiquement garanti.
Protocoles de sécurité VPN les plus utilisés
Dans ce paragraphe, nous aborderons le fonctionnement, les forces et les faiblesses de chaque protocole.
OpenVPN
Enfin, parlons du protocole le plus sécurisé. OpenVPN est open source, il est donc plus difficile pour la NSA d'y insérer des backdoors sans que personne ne s'en rende compte. OpenVPN utilise les protocoles SSLv3 et TLSv1 pour la connexion, et la bibliothèque OpenSSL pour le cryptage des données. La bibliothèque supporte plusieurs algorithmes de cryptage valides : Camellia, 3DES, AES, Blowfish et CAST-128. Les services VPN utilisent principalement AES avec une clé de cryptage 128 bits (un petit nombre de services utilisent Blowfish). Le SEA est considéré, à ce jour, si sûr qu'il est utilisé par les gouvernements de plusieurs États, dont les États-Unis. En ce qui concerne la connexion, OpenVPN est généralement configuré pour échanger des données via le port UDP, mais il peut être configuré pour acheminer le trafic vers n'importe quel port, ce qui en fait le protocole le plus difficile à bloquer.
OpenVPN est un protocole assez jeune. Pour fonctionner, il a besoin d'un client dédié, et n'est pas nativement compatible avec de nombreux systèmes. La configuration d'un client OpenVPN est tout sauf triviale, ce qui fait que de nombreux services offrent leurs propres clients prédéfinis, pour différentes plates-formes. Selon Snowden, c'est le seul protocole qui est actuellement à l'abri de la NSA.
PPTP
C'est certainement, encore aujourd'hui, le protocole de sécurité le plus largement utilisé pour les VPNs, bien qu'il soit maintenant le moins sécurisé. Son nom est l'abréviation de Point-to-Point Tunneling Protocol (qui peut être traduit en anglais par « protocole de tunnel point à point »). Le protocole a été développé par Microsoft en 1999, et en raison de ses nombreuses vulnérabilités connues, la société elle-même déconseille son utilisation depuis 2012. Le protocole PPTP prend en charge les clés de cryptage 128 bits. Il est très répandu parce qu'il est compatible avec pratiquement n'importe quel système d'exploitation, et avec un grand nombre de périphériques (même plusieurs routeurs). Il n'est pas recommandé d'utiliser le PPTP pour des tâches nécessitant un minimum de sécurité.
SSTP
Héritier de PPTP, il a été développé par Microsoft et lancé avec Windows Vista Service Package 1. Le protocole SSTP, dont le nom signifie « Secure Socket Tunneling Protocol », est également disponible pour les systèmes autres que Windows. C'est un protocole très rapide, pratique à utiliser, et aussi sécurisé puisque, à ce jour, il ne connaît aucune vulnérabilité. Le SSTP est basé sur SSL v3, il n'a donc aucun problème avec le pare-feu NAT. Sur Internet, des doutes planent néanmoins sur la fiabilité totale du SSTP, depuis que Microsoft aurait eu des contacts avec la NSA, et aurait pu insérer quelques « portes dérobées » dans le SSTP.
L'utilisation de ce protocole est donc recommandée à quiconque ne veut pas faire de l'espionnage international. En général, si vous voulez un plus haut degré de sécurité, vous devriez regarder du côté d’OpenVPN.
IKEv2
Il s'agit d'un protocole développé conjointement par Microsoft et Cisco et lancé avec Windows 7. Internet Key Exchange Version 2 (IKEv2) a un fonctionnement très similaire à celui de IPsec, dont il est une évolution. Programmé par Microsoft, il est supporté nativement par tous ses systèmes récents, et également compatible avec Linux et Blackberry. Beaucoup de clients de services VPN utilisent ce protocole par défaut. Il est considéré comme sécurisé, on ne lui connaît pas de vulnérabilités, et ne souffre pas de rumeurs de backdoor. La facilité de configuration pour l'utilisateur, et la possibilité de se reconnecter automatiquement, en font un protocole très apprécié.
Les seules failles réelles d'IKEv2 sont la difficulté d'implémentation côté serveur, et le fait que le protocole achemine tout son trafic via le port UDP 500, qui est assez simple à bloquer.
L2TP/IPsec
Son nom signifie « Layer 2 Tunnel Protocol ». Ce n'est qu'un protocole tunnel, qui est souvent utilisé par les services VPN. En soi, L2TP ne fournit aucun cryptage et aucune protection des données, il est donc couplé à IPsec. IPsec supporte les clés jusqu'à 256 bits. Le double encapsulage ne fait pas de L2TP/IPsec le protocole de sécurité le plus rapide, mais séduit par sa grande compatibilité et sa facilité d'installation.
Aucune vulnérabilité majeure n'est connue pour ce protocole de sécurité, mais Edward Snowden a confirmé les soupçons de nombreux agents de sécurité : selon eux, IPsec pourrait avoir été compromis et affaibli depuis sa création. Dans tous les cas, L2TP/IPsec est un protocole assez sûr. Il est donc conseillé pour tout le monde, sauf si vous êtes un espion, un criminel international ou un activiste politique dans des pays à risque comme la Chine.
Pour conclure
Pour résumer, lorsqu'ils sont disponibles, il est toujours conseillé d'utiliser OpenVPN, IKEv2 ou SSTP. Dans la mesure du possible, l'utilisation du protocole PPTP devrait être évitée, car il s'agit désormais d'une solution obsolète et dangereuse.
Tous les protocoles de sécurité ne sont utiles que sur des services VPN fiables. Les services VPN gratuits vous font rarement choisir le protocole : ce serait une vaste blague, car ils vendent souvent les données de navigation de leurs utilisateurs pour se financer.
