Réseaux privés virtuels – Introduction

Les VPN permettent en théorie d’être anonyme sur Internet. Il y a une pléthore de marchands à travers le monde et il est difficile dans ces conditions de démêler le vrai du faux. De l’arnaque mercantile, au « honeypot » (pot de miel) géré par une quelconque agence de barbouzes pour vous piéger, le chemin pour reconquérir votre liberté numérique est truffé d’embûches. Pour vous en convaincre le programme Prism permet à la NSA (Agence de Sécurité Américaine) de disposer d’un accès direct aux données hébergées par les géants du Net, dont celles de Google, Facebook, Microsoft et Skype. Ces informations sont publiques suite aux révélations d’Edward Snowden.

Un VPN de qualité va sécuriser la connexion ADSL ou fibre du domicile mais il est aussi une arme efficace pour protéger ses données personnelles en se connectant aux réseaux WIFI publics et gratuits qui sont de véritables passoires ou les malveillants pullulent. Ce guide est destiné à fournir un aperçu des options disponibles et vous aider à comprendre les bases des technologies sous-jacentes utilisées.

Les VPN sont des tunnels chiffrés utilisés pour échanger des données d’une machine à l’autre. Ils permettent de protéger votre vie privée en vous connectant à Internet via le serveur de votre choix. Votre adresse IP et votre géolocalisation sur Internet dépendront du serveur que vous avez choisi. Les fournisseurs de VPN offrent généralement plusieurs choix de types de connexion à des prix variables. Les logiciels pour les postes clients sont en général assez facile à installer.

Longueur de la clé de chiffrement.

Dans la plupart des fonctions cryptographiques, la longueur des clefs est un paramètre sécuritaire important. Un certain nombre de publications académiques et gouvernementales fournissent des recommandations et des techniques mathématiques pour estimer la taille minimale sécuritaire des clefs cryptographiques.

ANSSI (Agence Nationale de la Sécurité des Systèmes Informatiques) recommande une taille de 128 bits pour les systèmes symétriques. La taille minimale des blocs de chiffrement par bloc est de 64 bits (128 bits recommandés et obligatoires après 2020). La longueur de la clé utilisée lors d’un chiffrement détermine combien de temps il faudra pour la casser à l’aide d’une attaque par force brute. Plus la clé est longue, plus le temps pour la décrypter sera long. Une attaque par force brute consiste à essayer toutes les combinaisons possibles jusqu’à ce que la bonne combinaison soit trouvée. Par exemple, OpenVPN fournit un chiffrement variable de 128 bits, pour établir un tunnel sécurisé entre votre ordinateur et le serveur, à 2048 bits pour l’authentification sécurisée. La plupart des fournisseurs de services VPN utilisent un très haut niveau de chiffrement pour l’authentification.

Mais qu’est-ce que ces chiffres signifient dans la pratique ?
Qu’est-ce qu’un chiffrement de 256 bits à de plus qu’un de 128 bits ?

Pour une clé de 256 bits, il faudra 2128 fois plus de puissance de calcul pour la casser qu’une clé de 128 bits, ce qui signifie 3.4×1038 combinaisons de plus seraient nécessaire que pour une clé de 128 bits, un exploit bien au-delà des techniques informatiques classiques. Si nous prenons le superordinateur (ou supercalculateur) le plus rapide aujourd’hui, il prendrait environ 1 milliard années à casser une clé AES (Advanced Encryption Standard) de 128 bits par la force.

Un chiffrement 128 bits ne peut pas, en pratiques, être brisé par la force, donc nous pouvons dire qu’il est assez puissant pour le commun des mortels. Les grincheux qui sont souvent plus paranoïaques à propos de sécurité, que les gouvernements et leurs données classées top-secret, vont hurler et réclamer du 256 bits ! Pour exemple la NSA (National Security Agency) qui a, entre autres, pour mission de définir les bases des éléments cryptographiques permettant de créer des produits répondant aux attentes du gouvernement américain, utilise actuellement un chiffrement AES à 256 bits pour les documents classés top-secret.

Alors, pourquoi est-il fréquent de voir les fournisseurs de VPN proposer un chiffrement 256 bits ? Particulièrement si l’on considère qu’il faut aux ordinateurs beaucoup plus de temps pour chiffrer les informations avec des clés de 256 bits ou plus ? La réponse est simple : le marketing. Ça semble plus impressionnant lorsque vous essayez de vendre un produit. Les grandes entreprises et les gouvernements peuvent sentir la nécessité d’avoir une sécurité supplémentaire, mais pour l’utilisateur lamda, un VPN maison de 128 bits est plus que suffisant.

PPTP

PPTP (Point-to-Point tunnel Protocol), ou Protocole de tunnel point-à-point, est un protocole d’encapsulation PPP (Protocole Point à Point) sur IP conçu par Microsoft. Le flux PPP peut être chiffré, authentifié et compressé à l’aide des mécanismes standard de PPP auxquels Microsoft a ajouté l’authentification MS-CHAP v2.Disponible en standard sur à peu près toutes les plateformes, la mise en place est facile et sans installation de logiciel supplémentaire. Cependant il ne doit plus être utilisécar sa résistance au hacking n’est pas suffisante. Microsoft a émis une recommandation importante et préconise l’utilisation de tunnels VPN L2TP, IKEv2 ou SSTP.

Points Positifs :

  • Client intégré à presque toutes les plates-formes.
  • Très facile à mettre en place.
  • Rapide.

Point Négatif :

  • Authentification MS CHAPv2 vulnérable.

L2TP et L2TP/IPsec

Le protocole Layer 2 Tunnel est un protocole VPN qui, de base, ne fournis pas de chiffrement. Pour cette raison il est impératif de le compléter par IPSec. Disponible dans une grande majorité d’équipements, que ce soit du côté des terminaux comme du côté des équipements réseaux, il est aussi simple à mettre en œuvre que PPTP.

Point Négatif :

  • Inconvénient pour les utilisateurs nomades car L2TP utilise un port UDP (500) pour se connecter. Or certains FireWall peuvent bloquer ce port et donc rendre toute connexion impossible (HotSpot Wifi, Hôtel, Centre d’affaires…).
  • Le chiffrement basé sur IPsec est reconnu comme fiable mais ses performances en terme de ressources CPU consommée pour effectuer le chiffrement ne sont pas très bonne. Les protocoles basés sur SSL sont plus performants.

OpenVPN

OpenVPN est une technologie open source qui utilise la bibliothèque OpenSSL et les protocoles SSLv3/TLSv1 afin de fournir une solution robuste et fiable. Il est de plus disponibles sur de nombreux systèmes d’exploitation (Microsoft Windows, GNU / Linux, MacOS X et même les modèles Android via des applications tierces,…). C’est une solution simple pour gérer un réseau privé virtuel composé de machines hétéroclites. Un de ses principaux atouts est qu’il est hautement configurable. Il peut être configuré pour fonctionner sur n’importe quel port, y compris le port TCP 443 (HTTPS). Dans ce cas précis le server OpenVPN pourra contourner d’éventuelles restrictions comme les pare-feu et proxys Web qui peuvent bloquer le trafic.

Un autre avantage de OpenVPN est que la bibliothèque utilisé pour assurer le chiffrement prend en charge de nombreux algorithmes comme AES, Blowfish, 3DES, CAST- 128, Camellia et plus… Les algorithmes les plus communs dans l’utilisation de chiffrement par les fournisseurs VPN sont AES et Blowfish. AES est la technologie la plus récente, les deux sont à considérées, le fait que Blowfish soit de 128 bits plutôt que 64 signifie qu’il peut gérer un plus grand nombre de fichiers. Les différences sont assez mineures. La vitesse d’OpenVPN dépend du niveau de chiffrement utilisé. Dans tous les cas, OpenVPN est souvent plus performant (rapide) que IPSec.

La flexibilité d’OpenVPN peut être ennuyeuse car il peut être délicat à configurer. Lorsque vous utilisez le logiciel générique, il est nécessaire de télécharger et d’installer le client, mais aussi des fichiers de configuration supplémentaires. De nombreux fournisseurs de VPN contournent ce problème de configuration en fournissant des clients VPN sur mesure. OpenVPN est aujourd’hui très répandu et se trouve supporté par de très nombreux éditeurs de logiciel et de matériel.

Points Positifs :

  • Hautement configurable.
  • Très sécurisé (dépend techniquement de l’algorithme de chiffrement, mais sont tous très forts).
  • Peut contourner un pare-feu.
  • Peut utiliser une large gamme d’algorithmes de chiffrement.

Points Négatifs :

  • Besoin d’un logiciel tiers.
  • Peut-être difficile à mettre en place.
  • Prise en charge limitée sur les appareils portables

SSTP

Secure Socket Tunneling Protocol a été introduit par Microsoft dans Windows Vista SP1 et est maintenant disponible pour Linux, Mac OS, BSD et Windows. SSTP est basé sur le protocole SSL ou TLS et donc sur l’authentification du serveur par certificat et établissement d’une liaison chiffrée entre les 2 hôtes. Cette base lui confère en une très large compatibilité avec les équipements réseau, la connexion s’établissant via le protocole TCP vers le port 443 pour éviter les problèmes de pare-feu NAT. Il est facile à utiliser et stable.

Points Positifs :

  • Très sécurisé (dépend de l’algorithme).
  • Majoritairement utilisé dans l’univers Windows.
  • Supporté par Microsoft.
  • Peut contourner la plupart des pare-feu.

Point Négatif :

  • Fonctionne seulement dans un environnement Windows.

En conclusion :

  • PPTPest trop dangereux (Microsoft l’a abandonné). La facilité d’installation et la compatibilité multi-plateforme étaient attrayantes mais L2PT/IPsec ont les mêmes avantages et sont plus sûr. L2TP/IPSecest un bon procotole, notamment si vous utilisez un VPN sur votre mobile. Sa sécurité est bonne et il est facile à installer.
  • OpenVPNest la meilleure solution. Open Source, il est gratuit, rapide, fiable, et il possède tout ce qu’il faut pour bénéficier d’une sécurité maximale.
  • SSTPoffre la plupart des avantages de OpenVPN. C’est un superbe protocole VPN qui est très stable et son niveau de cryptage est excellent.

Avertissement :

Les révélations issues des documents de Edward Snowden permettent de mieux comprendre quels sont les meilleurs protocoles de sécurité sur Internet. En vérité, l’heure est plutôt à la paranoïa avec bon nombre de connexions dites sécurisées qui ne posent strictement aucun problème pour être outrepassées par la NSA. Selon les documents publiés, les connexions en HTTPS ainsi que les VPN seraient presque inutiles. Les agences de renseignements seraient en mesure d’intercepter en clair toutes les données transitant par ces moyens. Les rapports expliquent qu’il existent certaines solutions technologiques plus compliquées à espionner. Parmi elles, nous trouvons le réseau Tor.

  • Méfiez-vous des annonces sur « les VPN de confiance. »
  • Qui se cache derrière les entreprises fournissant ces VPN ?
  • Qu’est-ce qui vous garantie qu’il n’y a pas de conservations des données ?

La meilleure solution est d’installer votre propre serveur VPN.

WireGuard, un nouveau protocole VPN moderne et robuste.

WireGuard est toujours en développement. WireGuard est un protocole VPN moderne utilisant un chiffrement de pointe formellement vérifié tout en étant extrêmement minimal et rapide. Moins de code source signifie que WireGuard peut être facilement examiné par des pairs et qu’il possède une plus petite surface d’attaque. C’est une amélioration majeure comparativement aux autres protocoles VPN.

WireGuard utilise actuellement l’une des plus avancées, modernes et robustes suite cryptographique. Avec les algorithmes ChaCha20 pour le chiffrement, et Poly1305 pour l’authenticité et l’intégrité des données, vous pouvez conserver votre tranquillité d’esprit en naviguant sur Internet. WireGuard a été conçu dans un contexte d’itinérance. Vous pouvez passer de la 4G au Wi-Fi sans même remarquer que le tunnel utilise le nouveau réseau de façon transparente.

  • Installation et configuration de WireGuard (en développement)

La sécurité à un prix ! Un VPN haut de gamme permet de cacher votre activité en ligne auprès de votre fournisseur d’accès à Internet (FAI) et des agences gouvernementales, d’éviter la censure, de sécuriser un réseau WiFi privé ou public, de profiter sans restriction du streaming vidéo et du partage de fichiers (P2P/Torrent) sans compromettre votre sécurité et votre anonymat. NordVPN respecte votre droit à la confidentialité en ligne. Avec un seul compte NordVPN, vous pouvez sécuriser jusqu’à 6 appareils, qu’il s’agisse d’ordinateurs, de smartphones, de routeurs, etc,…