Nouveau post dans lequel cette fois ci nous allons faire une petite introduction Ă  ce que l’on appelle un “VPN“, couplĂ© avec le protocole le plus sĂ©curisĂ© actuellement, le protocole “IPSEC”.

Ces notions peuvent ĂȘtre assez complexes mais sont trĂšs importantes de nos jours et cet article tĂąchera d’ĂȘtre le plus concis possible. Il comprendra Ă©galement des analogies du quotidien afin d’ĂȘtre accessible aux plus grands nombres.

C’est parti ! 😉


Qu’est ce qu’un VPN ?

Depuis plusieurs annĂ©es, le VPN est devenu un outil trĂšs Ă  la mode sur internet. Mais qu’est-ce que c’est rĂ©ellement et Ă  quoi cela peut-il bien nous servir ?

Un VPN c’est un “Virtual Private Network“, ou un “RĂ©seau virtuel privĂ©” en français, qui peut ĂȘtre vu comme une extension d’un rĂ©seau local. Il va nous permettre d’interconnecter des rĂ©seaux entre eux, mĂȘme si ceux-ci sont Ă  des milliers de kilomĂštres l’un de l’autre, de façon sĂ©curisĂ©e en utilisant une technique de “tunneling” Ă  travers le plus grand rĂ©seau mondial : Internet.

La technique consiste Ă  utiliser Internet comme support de transmission en crĂ©ant, dans ce vaste rĂ©seau, un rĂ©seau artificiel, un “rĂ©seau virtuel privĂ©” donc, qui ne sera accessible que par ceux que l’on va autoriser, comme par exemple la succursale d’une entreprise Ă  Paris qui a besoin d’accĂ©der aux fichiers sur un serveur de sa maison mĂšre situĂ© Ă  New York ou encore un employĂ© qui a besoin d’accĂ©der au rĂ©seau de sa sociĂ©tĂ© depuis son domicile.

 

Internet comme support ? C’est sĂ»r comme mĂ©thode ?

Alors dans un premier temps il faut prĂ©ciser une chose : NON Internet n’est pas un rĂ©seau considĂ©rĂ© comme sĂ©curisĂ© bien qu’il soit le plus grand rĂ©seau monde. En effet, grĂące Ă  Internet, tout le monde peut communiquer ensemble. Sur ce rĂ©seau, on peut trouver des particuliers qui font des achats en ligne, des joueurs invĂ©tĂ©rĂ©s, des entreprises qui s’échangent des donnĂ©es mais aussi et surtout des pirates informatiques qui sont lĂ  pour vous nuire et dĂ©rober des informations confidentielles.

Voici une représentation grossiÚre du réseau Internet. Ici, Internet est vu comme un énorme tuyau bleu qui relie les ordinateurs et serveurs du monde entier.

Dans cette illustration, les rĂ©seaux de New York et de Paris communiquent ensemble sans se mĂ©fier. Le PC de Paris envoie une simple requĂȘte ping au serveur de fichiers de New York.

Je suis un méchant pirate au milieu qui veut voir ce que ces deux-là se disent. Pour cela, je vais utiliser un logiciel de capture du trafic réseau, Wireshark. Tout ce qui sera émis entre Paris et New York sera capté par le logiciel.

Le logiciel voit clairement que le site de Paris (adresse source 192.168.1.1) est en train d’émettre une requĂȘte ping au serveur de New York (adresse de destination 192.168.3.1) et que ce dernier lui rĂ©pond.

Certes ici il ne s’agit que d’une simple requĂȘte mais imaginez que New York hĂ©berge un site de e-commerce et qu’un utilisateur du PC de Paris soit en train d’effectuer un achat. Si le client rentre ses numĂ©ros de carte bancaire, le pirate les aura Ă©galement


Attention cet exemple est trĂšs exagĂ©rĂ© et n’est lĂ  que dans un but dĂ©monstratif.

 

Mais alors comment interconnecter deux sites distants en toute sécurité ?

Pour pallier Ă  ce problĂšme de sĂ©curitĂ©, c’est lĂ  que nous allons faire intervenir un « Tunnel VPN ». On va installer dans le gros tuyau bleu reprĂ©sentant internet, un petit tuyau rouge qui va faire passer uniquement la communication entre la maison mĂšre de New York et sa succursale de Paris. Tout ce qui va transiter dans ce tuyau rouge sera complĂštement hermĂ©tique et illisible par un usurpateur car « chiffrĂ© » de bout en bout.

Il existe plusieurs sortes de VPN dont les plus connues sont certainement :

  • Le VPN PPTP : « Point-to-Point Tunneling Protocol » (en français, protocole de tunnel point-Ă -point). Pour accĂ©der au VPN, les utilisateurs doivent d’authentifier en utilisant un mot de passe prĂ©-approuvĂ©. Un VPN PPTP ne nĂ©cessite pas d’installation de logiciel supplĂ©mentaire mais n’offre pas de base une fonctionnalitĂ© de cryptage.

  • Le VPN Site-to-site : Egalement appelĂ© « Router-to-Router ». Cette technique crĂ©e un rĂ©seau sĂ©curisĂ© entre 2 points mais pas une ligne “dĂ©diĂ©e”. C’est Ă  dire en rĂ©alitĂ© que le VPN est crĂ©Ă© ou “montĂ©” uniquement lorsque la succursale se connecte Ă  la maison mĂšre, la connexion n’est pas permanente. Un VPN site-to-site est sĂ©curisĂ© mais nĂ©cessite du matĂ©riel informatique sous forme de routeur ou de logiciels situĂ© des deux cĂŽtĂ©s afin de diriger les communications vers les bonnes destinations mais aussi et surtout, crypter/dĂ©crypter ces communications.

  • Le VPN SSL/TLS : SSL signifie « Secure Sockets Layer » et fonctionne de pair avec le protocole TLS « Transport Layer Security ». SSL et TLS sont utilisĂ©s pour construire la connexion VPN sĂ©curisĂ©e. Dans cette mĂ©thode, le navigateur internet sert de client et l’accĂšs utilisateur est restreint Ă  certaines applications seulement plutĂŽt qu’un rĂ©seau entier. De plus les navigateurs internet intĂšgrent dĂ©jĂ  les protocoles SSL et TLS ce qui ne nĂ©cessitera pas d’action de la part de l’utilisateur.

  • Le VPN IPsec : IPsec est l’abrĂ©viation de « Internet Protocol Security » (protocole de sĂ©curitĂ© internet). IPsec est en fait tout un ensemble de protocoles qui ont Ă©tĂ© standardisĂ©s. Son but est de fournir un haut niveau de sĂ©curitĂ© dans l’Ă©change des paquets IP entre 2 rĂ©seaux. L’ensemble des donnĂ©es seront cryptĂ©s pendant toute la connexion et ne pourront ĂȘtre dĂ©chiffrĂ©s que si l’authenticitĂ© a pu ĂȘtre vĂ©rifiĂ©e grĂące, par exemple, Ă  un Ă©change de certificats numĂ©riques signĂ©s de part et d’autre du VPN. Il faut impĂ©rativement que les 2 rĂ©seaux qui s’Ă©changeront des donnĂ©es disposent de la mĂȘme configuration IPsec sans quoi les donnĂ©es ne pourront ĂȘtre vĂ©rifiĂ©es et donc seront rejetĂ©es. IPsec est une mĂ©thode VPN trĂšs forte, transparente pour les utilisateurs finaux, mais qui peut parfois s’avĂ©rer complexe Ă  mettre en place.

 

Le choix d’une technique de VPN dĂ©pend en partie de ce que vous voulez faire, mais surtout de la sĂ©curisation que vous souhaitez mettre en place. Dans notre cas, nous allons Ă©tudier un peu plus en dĂ©tail la mĂ©thode de VPN IPsec.

 

Comment IPsec sécurise-t-il nos données ?

IPsec, c’est un ensemble de mĂ©canismes permettant de protĂ©ger le trafic au niveau IP, c’est Ă  dire au niveau rĂ©seau. Les applications n’ont donc pas Ă  se soucier de la sĂ©curisation de l’échange.

Les points clés du protocole IPsec sont :

  • La confidentialitĂ© des donnĂ©es : l’Ă©metteur chiffre les paquets avant de les transmettre sur l’Internet.
  • L’intĂ©gritĂ© des donnĂ©es : le rĂ©cepteur vĂ©rifie que les paquets reçus n’ont pas Ă©tĂ© altĂ©rĂ©s lors de la transmission.
  • L’authentification : le rĂ©cepteur vĂ©rifie l’identitĂ© de l’Ă©metteur.

Pour permettre de sĂ©curiser les Ă©changes dans un VPN IPsec, il faut que les deux rĂ©seaux correspondants Ă©tablissent des rĂšgles de sĂ©curitĂ© identiques. Les rĂšgles devront dĂ©finir la politique de sĂ©curitĂ© pour les communications entre les deux rĂ©seaux en choisissant notamment qu’est ce qui doit ĂȘtre Ă©changĂ© par le VPN IPsec, quels protocoles utilisĂ©s pour y parvenir, ou encore quelles mĂ©thodes de chiffrement choisir.

Des bases de donnĂ©es appelĂ©es SAD « Security Association Database » et SDP « Security Policy Database » seront interrogĂ©es pour chaque Ă©change entre les deux rĂ©seaux afin de s’assurer que les messages suivent bien la politique de sĂ©curitĂ© Ă©tablie.

Il faut savoir que la technologie IPsec prĂ©sente deux modes d’échange distincts qui sont :

  • Le mode « transport »
  • Le mode « tunnel »

La principale diffĂ©rence entre ces deux modes se situe au niveau du masquage des adresses sources et destination d’origine. En mode transport, les adresses d’origines ne seront pas masquĂ©es dans le message Ă©changĂ© entre les deux rĂ©seaux. A contrario, en mode tunnel, celles-ci seront protĂ©gĂ©es et remplacĂ©es. Le vrai destinataire du message ne saura rĂ©ellement qui lui a envoyĂ© que lorsqu’il aura lu le message, c’est une protection supplĂ©mentaire contre l’écoute des communications. Nous ne verrons ici que le mode « tunnel » qui est le plus sĂ©curisĂ©.

 

Donc IPsec c’est un protocole qui contient… des protocoles ?!

IPsec est en rĂ©alitĂ© un ensemble de protocoles dĂ©fini par l’IETF « Internet Engineering Task Force », un organisme chargĂ© d’élaborer les normes des protocoles Internet. Nous verrons dans cette partie deux protocoles utilisĂ©s pour sĂ©curiser les Ă©changes dans un VPN IPsec.

Pour vous aider à mieux cerner les explications qui vont suivre, nous allons faire une analogie avec notre quotidien en visualisant les communications réseaux comme des échanges de courriers postaux.

Le but initial est d’envoyer un message Ă  une personne situĂ©e Ă  New York alors que nous sommes Ă  Paris. Nous allons donc lui Ă©crire une lettre, la glisser dans une enveloppe, y ajouter l’adresse du destinataire et Ă©videmment, l’adresse de l’expĂ©diteur dans l’espoir d’une rĂ©ponse puis finalement refermer cette enveloppe et l’envoyer.

Mais comment pouvons-nous ĂȘtre sĂ»rs que le courrier arrivera Ă  bonne destination et que personne d’autre que le destinataire ne l’aura lu ou pire modifiĂ© Ă  notre insu ?

Et bien ces questions peuvent Ă©galement se poser dans le cas d’un VPN. Pour sĂ©curiser les messages Ă©changĂ©s entre les rĂ©seaux, IPsec va faire appel Ă  deux protocoles qui peuvent fonctionner sĂ©parĂ©ment ou conjointement : Le protocole AH et le protocole ESP.

Le protocole AH, signifiant « Authentification Header » va assurer l’intĂ©gritĂ© des donnĂ©es et authentifier la provenance de ces donnĂ©es mais attention, sans pour autant les chiffrer. Son but est simplement de remettre au destinataire final un message, un « paquet », qui possĂšde une identification sĂ©curisĂ©e. Ce protocole va pour cela rajouter dans le paquet, qu’on appelle techniquement « un datagramme », une partie supplĂ©mentaire qui va servir Ă  l’authentification. Ce protocole est appropriĂ© lorsque la confidentialitĂ© n’est pas requise.

On pourrait l’illustrer ce qui se passe comme suit : un message est Ă©crit « en clair » et dĂ©posĂ© dans une enveloppe scellĂ©e pour certifier au destinataire qu’elle n’a pas Ă©tĂ© ouverte. Cette enveloppe scellĂ©e sera elle-mĂȘme dĂ©posĂ©e dans une seconde enveloppe et le tout sera postĂ©.

Le protocole ESP, « Encapsulation Security Payload » assure, en plus des fonctions rĂ©alisĂ©es par AH, la confidentialitĂ© des donnĂ©es et leur protection. C’est le protocole le plus utilisĂ© actuellement car celui qui prĂ©sente le plus haut niveau de sĂ©curitĂ©. Il va chiffrer les donnĂ©es afin qu’elles ne puissent ĂȘtre comprises que par le destinataire. En rĂ©sumĂ©, c’est comme envoyer un coffre-fort avec un cadenas dont seul le destinataire possĂšde la clĂ© pour l’ouvrir. Le protocole ESP couplĂ© au protocole AH donnera alors des donnĂ©es cryptĂ©es ET infalsifiables.

Si nous illustrons le fonctionnement du protocole ESP grĂące Ă  notre analogie, nous verrons qu’il est quasiment similaire au protocole AH, Ă  la diffĂ©rence qu’il va crypter le message avant de le sceller et de l’expĂ©dier. De cette façon, mĂȘme si le courrier est interceptĂ©, ce qu’il contient sera tout simplement indĂ©chiffrable sans la clĂ©.

Du cĂŽtĂ© du destinataire, il recevra le message, s’assurera de son intĂ©gritĂ© en constatant qu’il est toujours scellĂ© et pourra le consulter car lui seul possĂšde la clĂ© pour en dĂ©chiffrer le sens.

 

Alors IPsec + ESP = tranquillité ?

Et bien, maintenant que nous avons mis en place un VPN IPsec avec le protocole ESP activé, relançons un ping entre les deux clients comme exposé au début de cet article et analysons une nouvelle fois le trafic entre nos deux réseaux avec un outil spécialisé.

Cette fois ci, nous ne voyons aucune requĂȘte ICMP. Ce que nous voyons Ă  la place ce sont les adresses IP « publiques » (simulĂ©es je le prĂ©cise…) de nos deux sites distants qui communiquent avec le protocole ESP. Nous ne voyons, ni le contenu du message, ni le destinataire/expĂ©diteur rĂ©el. Nos Ă©changes sont donc sĂ©curisĂ©s.

Vous l’aurez compris, la technologie de VPN la plus sĂ»re pour que deux rĂ©seaux distants puissent communiquer en toute confiance sera donc bien IPsec qui utilisera le protocole ESP pour protĂ©ger vos donnĂ©es, malgrĂ© que ce ne soit pas la plus simple Ă  mettre en place.

 

En savoir plus

Cette article a pour but de faire dĂ©couvrir ce qu’est un VPN IPsec en surface. Beaucoup d’autres protocoles interviennent dans cette technologie de VPN qui n’ont pas Ă©tĂ© citĂ©s ici comme le protocole IKE, « Internet Key Exchange », qui permet l’échange de clĂ©s pour assurer l’authentification des parties.

Afin d’en dĂ©couvrir d’avantages sur le protocole IPsec, son implantation dans les datagrammes IP, les SA, SPD, les algorithmes de chiffrement ou encore l’encapsulation, je vous renvoie vers l’article trĂšs complet du site spĂ©cialisĂ© rĂ©seau « frameip.com » disponible au lien suivant : introduction au protocole ipsec.

Aucune allusion Ă  l’utilisation d’un VPN chez soi pour les petits malins qui veulent faire du tĂ©lĂ©chargement illĂ©gal (ou pire d’ailleurs…) n’a Ă©tĂ© faite dans cet article car c’est totalement inintĂ©ressant pour moi et j’estime que quand on a rien Ă  se reprocher, on n’a pas besoin de se cacher. yes

 

Ce petit tour d’horizon est maintenant terminĂ©, prenez un doliprane et protĂ©gez vos donnĂ©es ! A bientĂŽt ! declare

Introduction aux VPN et tunnel IPsec

Articles pouvant vous intéresser