Les VPN ont le vent en poupe, que ce soit pour des usages professionnels ou non.
S’il y a bien une thématique qui agite les sites « tech » ces dernières années, c’est celle des réseaux privés virtuels. Plutôt étonnant puisqu’elle est assez technique, centrée sur un outil visant à apporter une couche de sécurité à certains usages, principalement en entreprise. Mais il n’est en général question que d’un type de VPN.
Ciblant le grand public, ces services surfent sur la vague de la protection des données et d’un besoin de sécurité, promettant parfois monts et merveilles. Même Google, Mozilla ou ProtonMail s’y mettent. Ainsi, lorsque l’on vous parle de VPN, c’est rarement pour ce que permettent réellement de tels réseaux.
¶ Quand le réseau local s’ouvre aux machines distantes
Commençons par un simple rappel : VPN est l’acronyme de Virtual Private Network ou réseau privé virtuel en français. Pour rendre ça plus facile à comprendre, regardons de quoi se compose votre réseau local. Il y a en général la box de votre fournisseur Internet (FAI), qui fait office de routeur et de serveur DHCP. Dit autrement, elle attribue à chaque appareil connecté une adresse IP et organise la communication entre eux.
Au sein de ce réseau local, ils peuvent donc échanger des données, accéder aux fichiers stockés sur votre NAS, l’écran de votre smartphone peut être affiché sur votre TV, etc. Tous ces appareils peuvent également accéder à Internet à travers votre routeur (on parle alors de passerelle, ou gateway). Mais l’inverse n’est pas vrai.
Car l’une des tâches les plus importantes du routeur est d’empêcher que n’importe qui puisse accéder à vos données depuis l’extérieur via différents mécanismes (que nous ne détaillerons pas ici). Cela a un avantage : vous êtes en sécurité. Mais aussi un inconvénient : vous ne pouvez pas accéder à vos données depuis l’extérieur.
Or, cela peut être nécessaire pour échanger des fichiers, jouer en réseau, communiquer, s’auto-héberger, etc.
Votre routeur décide donc qui peut accéder ou non à votre réseau local.
Pour certaines applications, cela se fait tout seul. Pour d’autres non. Il y a alors deux solutions, la première est d’ouvrir des ports au sein de l’interface NAT de votre routeur, service par service.
Vous voulez accéder au serveur web de votre NAS ? Il suffit d’attribuer son adresse IP et son port sur le réseau local à un port extérieur de votre connexion, par exemple le 4242. Ainsi, toute personne qui tapera l’adresse IP publique de votre connexion suivie de ce numéro de port pourra avoir accès au serveur web de votre NAS.
Une stratégie qui n’est pas sans défauts, car il faut ouvrir un port pour chaque service auquel on veut avoir accès. Il en est de même pour le chiffrement qui ne s’active pas de manière globale. C’est là que le VPN entre en scène.
¶ Un VPN pour créer du lien
Wikipédia le définit en effet comme « un système permettant de créer un lien direct entre des ordinateurs distants, qui isole leurs échanges du reste du trafic se déroulant sur des réseaux de télécommunication publics ».
Pour faire simple, il permet à des appareils de se connecter à votre réseau local comme s’ils en faisaient partie à travers un accès distant, comme une connexion Internet. C’est pour cela qu’il est souvent représenté comme une sorte de tunnel (tunelling). D’autant que l’échange de données est en général chiffré.
Initialement, cette solution a été pensée pour le monde de l’entreprise. Elle permet en effet à des employés de se connecter au réseau interne d’où qu’ils soient, avec une couche de chiffrement. Cela permet de la même manière de relier des sites éloignés géographiquement, là aussi pour qu’ils puissent se partager simplement des données.
Pour les particuliers, le VPN a un temps été utilisé pour ce qu’il est : relier des utilisateurs au sein d’un même réseau. Cela pouvait avoir une utilité à une époque où certains jeux proposaient un mode multijoueurs local uniquement. On pouvait ainsi organiser tout de même des parties à plusieurs à travers Internet. C’était le sens d’outils comme Hamachi de LogMeIn, qui s’est recentré sur une offre payante et les professionnels depuis.
On peut également vouloir accéder à son NAS ou d’autres machines du réseau local à travers un VPN. C’est pour cela qu’ASUSTOR, QNAP ou Synology intègrent en général une telle fonctionnalité à leurs interface.
Mais c’est à travers l’essor du piratage, la montée en puissance d’institutions comme Hadopi et la surveillance des réseaux d’échange pair-à-pair (où l’IP des utilisateurs est accessible) que les VPN ont été de plus en plus utilisés par le grand public. De nombreux acteurs sont nés de ce business très rentable, mais ils ont dû peu à peu gagner en respectabilité pour assurer leur croissance et leur promotion et donc se focaliser sur de nouveaux usages.
¶ Un VPN clé en main : la connexion internet de quelqu’un d’autre
Ces VPN « clé en main » exploitent en réalité une spécificité bien précise des réseaux privés virtuels. Car lorsque vous vous connectez à un réseau distant, il vous partage en général son accès Internet pour que vous puissiez continuer à surfer sur vos sites préférés. Vous le faites alors à travers son routeur et son adresse IP publique.
Et c’est ça qui intéresse les services en question. Ils hébergent ainsi des milliers de serveurs VPN à travers le monde, dans différents pays. L’application que vous téléchargez, qui fait office de client, ne sert qu’à se connecter en quelques clics à l’un d’entre eux. Le serveur VPN est isolé sur son propre réseau local, vous n’avez donc accès à rien d’autre que sa connexion Internet. Mais de fait, tout ce que vous faites passe par lui et ce n’est pas anodin.
Car un VPN ne chiffre le trafic qu’entre vous et le serveur. Ce dernier voit ensuite tout passer. Si vous accédez à un site ou un service via une connexion sécurisée via HTTPS, il ne peut accéder au contenu. Mais il le peut pour une connexion classique, non « sécurisée ». C’est encore souvent le cas pour les requêtes DNS par exemple (bien que ça change avec le DNS over HTTPS), qui permettent de savoir quels sites vous visitez.
¶ Une question de confiance
Il faut donc avoir confiance en la société qui assure ce service, qui peut avoir le même niveau de connaissance sur vos habitudes de navigation qu’un fournisseur d’accès Internet, sans en avoir les mêmes obligations légales. C’est ce qui explique que de nombreuses sociétés fournissant un service de VPN indiquent ne pas garder de « logs » des connexions de leurs clients quand bien même ils peuvent le faire sous demande de justice par exemple, et disposent d’un siège social dans un pays peu contraignant.
Mais faites attention, car il a parfois été démontré que de tels services avaient à leur disposition bien plus d’informations qu’ils ne le disaient. Ils peuvent également être eux-mêmes piratés et potentiellement exposer les données de leurs clients. Et à ceux qui espèrent utiliser ces services pour ne pas être identifiés, n’oubliez pas qu’ils nécessitent le plus souvent un paiement… par carte bancaire, forcément rattachée à une personne ou à une entité.
À ce sujet, Oracle rappelle que :
Les VPN sont des programmes complexes ayant un coût et dont la maintenance nécessite un investissement important. Ils doivent également tenir compte des derniers développements, car le monde de la vie privée en ligne est en constante évolution.
La société soulève une question sur les VPN « gratuits » Comment peuvent-ils faire des bénéfices ? ».
Sa réponse est simple :
« Au lieu de vous fournir ce dont vous avez besoin pour une somme modique, ils vous utilisent pour un profit indirect. Leurs méthodes sont souvent douloureuses, malhonnêtes, secrètes et souvent dangereuses. Avant de vous inscrire à un VPN gratuit, vous devez être conscient de ses défauts et de ses dangers.»
Rien ne les empêche, par exemple, d’ajouter des publicités et scripts de pistage aux sites que vous visitez.
L’adage « si c’est gratuit, le produit, c’est vous » prend ici tout son sens. Notez qu’un VPN payant ne permet pas, à l’inverse, de garantir une confidentialité à toute épreuve. Il faut aussi se renseigner sur la société qui est derrière ce service. C’est pour cela qu’il est en général conseillé de ne se reposer que sur des services de confiance ou alors d’utiliser son propre serveur VPN. Ainsi, vos données restent en votre seule possession.
¶ Sécurité, restrictions géographiques : quels avantages ?
Le premier avantage réel d’un VPN « clé en main », outre sa simplicité, est la couche de chiffrement qu’il apporte entre le client et le serveur. Il y a un cas précis où cela est très utile et c’est d’ailleurs pour cela qu’il est prisé en entreprise : les réseaux sans fil ouverts. Car si vous vous connectez sur une borne Wi-Fi qui ne nécessite pas de mot de passe, toutes vos données y circuleront sans chiffrement. D’autres personnes connectées à cette même borne peuvent alors tenter de récupérer vos informations via des outils spécialisés, en « sniffant » le trafic réseau.
Avec un VPN, tout est chiffré, même lorsque vous vous rendez sur des sites non « sécurisés », rien ne peut être récupéré. Attention, comme évoqué plus haut, cette protection s’arrête au serveur VPN, qui voit le trafic réseau passer. Aucune protection n’est par ailleurs assurée entre ce serveur et les sites que vous visitez.
Ce sont autant de failles possibles pour un attaquant. Le VPN ne protège qu’une portion de votre connexion :
Le VPN permet aussi de contourner la censure pratiquée dans certains pays, ce qui explique que leur utilisation soit interdite par certains régimes politiques. De manière plus classique, cela peut aussi servir à contourner des restrictions géographiques. Par exemple si vous voyagez aux États-Unis et que vous voulez accéder à un service auquel vous êtes abonné, qui limite la connexion aux utilisateurs en France et/ou en Europe.
Pour cela, vous pouvez utiliser un VPN hebergé chez vous ou sur un serveur situé en France pour ne pas subir une telle restriction. Attention tout de même : certains ayant utilisé cette possibilité pour accéder à des catalogues étrangers auxquels ils n’avaient normalement pas accès sur des services de SVOD, ces derniers ont parfois mis en place des solutions pour détecter l’utilisation de VPN et bloquer l’accès. Netflix précise ainsi que leur utilisation «risque de vous empêcher de regarder des contenus qui ne sont pas proposés dans le monde entier».
Un des avantages les plus mis en avant est en réalité le plus surestimé dans son intérêt : l’adresse IP vue et récupérée par les sites que vous visitez n’est plus celle de votre connexion Internet mais celle du serveur VPN. De quoi, selon certains, assurer la protection de votre vie privée et même votre anonymat. Ce n’est pas le cas.
Certes, utiliser une IP différente et la renouveler à chaque connexion retire une information aux personnes qui pourraient chercher à vous identifier en ligne, notamment à des fins publicitaires. Mais elles ont bien d’autres sources à leur disposition, notamment au sein de votre navigateur. Et contre cela, un VPN ne peut rien.
Que vous accédiez aux services de Facebook, Google ou Twitter à travers un VPN ou la connexion de votre FAI, la situation sera la même : sans protection supplémentaire, ces sites seront capables de vous pister en ligne. Les cas d’utilisateurs qui se pensaient protégés par un VPN ou des dispositifs plus complexes, lorsqu’ils commettaient des méfaits en ligne, mais qui ont tout de même été identifiés par les autorités sont d’ailleurs légion.
Et ce n’est clairement pas un service clé en main vendu quelques euros par mois qui vous aidera en la matière.
¶ Quid du chiffrement ?
Un VPN permet de chiffrer les échanges entre la machine de l’utilisateur et le serveur. Pour cela, différents protocoles existent. Les plus connus sont:
- IPsec (Internet Protocol Security) initialement développé par l’Internet Engineering Task Force (IETF),
- IKEv2/IPSec :IKEv2 est un protocole de tunneling, qui est généralement associé à IPSec pour le chiffrement. Il présente de nombreux avantages, tels que la capacité de restaurer une connexion sécurisée après des interruptions d’Internet. Il s’adapte également bien à l’évolution des réseaux. Il constitue donc un excellent choix pour les utilisateurs de téléphone qui passent souvent d’une connexion Wi-Fi domestique à une connexion mobile ou se déplacent entre des points d’accès.
- L2TP/IPsec. Le protocole L2TP (Layer 2 Tunneling Protocol) est un procédé de transmission de données d’un appareil à un autre. Comme le L2TP n’offre aucun type de chiffrement, il est presque toujours associé à l’IPSec (Internet Protocol Security), qui négocie les clés cryptographiques pour créer un environnement de type VPN. Il s’agit d’un protocole hautement sécurisé, mais qui peut être très lent, car il encapsule les données deux fois.
- TLS (Transport Layer Security) qui est utilisé par OpenVPN. Le plus populaire, actuellement utilisé par la majorité des fournisseurs de VPN dans le monde.L’une des plus grandes forces d’OpenVPN est qu’il est hautement configurable. Il offre également un bon équilibre entre vitesse et sécurité, car vous pouvez l’utiliser à la fois sur les ports TCP et UDP. Si le port TCP est une option plus sûre, l’UDP est plus rapide, et de nombreux utilisateurs le préfèrent pour une expérience de jeu en ligne et de streaming en direct fluide.
- PPTP (Point-to-Point tunneling Protocol). Il s’agit du protocole le plus couramment utilisé qui prend en charge des milliers de systèmes d’exploitation et de périphériques. Il est également facile à configurer, sans qu’il soit nécessaire d’installer un logiciel supplémentaire. Cependant, le PPTP date de plusieurs décennies et n’est pas aussi sûr que les autres protocoles disponibles aujourd’hui.
- SSTP. Le protocole Secure Socket Tunneling est une alternative appropriée aux protocoles standard dans les zones où les VPN sont restreints, car il peut contourner la plupart des pare-feu. Le SSTP est similaire à l’OpenVPN, mais il appartient à Microsoft, ce qui signifie qu’il n’est pas disponible pour un audit indépendant.
- Wireguard Le protocole de tunneling le plus rapide du marché. Qu’est-ce qui rend WireGuard si rapide ? Le secret réside dans son code, ou plutôt dans ses 4000 lignes. Comparez cela aux dizaines de milliers de lignes des autres protocoles VPN, et vous comprendrez pourquoi il est si rapide.
Une liste non exhaustive des protocoles est disponible par ici
Pour que le chiffrement se mette en place, il faut évidemment que les deux machines prennent en charge le même protocole. OpenVPN (sorti en 2001) est largement disponible, mais commence à accuser le poids de son âge. De son côté, Wireguard (également open source) est plus récent, mais moins largement intégré dans les systèmes.
Les choses bougent néanmoins rapidement. Il est par exemple intégré dans le noyau Linux depuis la version 5.6 depuis le mois de mars 2020. Des outils permettent de le déployer facilement sur un serveur comme Algo VPN.
¶ Attention à la latence et à la bande-passante
Le VPN n’a pas que des avantages. Les deux points qui peuvent le plus en souffrir sont les débits et la latence, qui peuvent prendre un sacré coup dans l’aile. Prenons deux exemples.
Imaginons que vous soyez en France, et que passiez par un VPN situé à Hong Kong (à 10 000 km de là). Depuis votre ordinateur, vous souhaitez accéder à un site en Europe. La demande transite via le tunnel chiffré jusqu’au serveur à Hong Kong, puis ce dernier interroge le serveur en Europe. Il récupère la réponse et vous la renvoie.
Résultats des courses : deux allers-retours (soit 40 000 km) pour des données se trouvant à proximité. Même à la vitesse de la lumière, cela ajoute au minimum 130 ms de latence. Et ce n’est pas très écologique.
Pour le téléchargement d’un fichier ou du streaming de vidéo, la latence n’est pas forcément problématique, mais une autre variable importante entre en jeu : la bande-passante disponible. Étant donné que votre connexion passe par un tunnel, ce dernier peut rapidement devenir un goulot d’étranglement.
Si vous avez une ligne fibre optique à plusieurs Gb/s sur un VPN à 20 Mb/s seulement, vous serez limité à ce débit lorsque vous naviguerez sur Internet ou que vous téléchargez. Ce qui explique que certains services utilisent cette métrique comme manière de segmenter leur offre. Plus vous payez, plus cela pourra aller vite.
¶ Pour Résumer
¶ Principe d’un VPN
En général, lorsque vous essayez d’accéder à un site Web, votre FAI (fournisseur d’accès à Internet) reçoit la demande et vous redirige vers votre destination. Tandis que lorsque vous vous connectez à un VPN, il redirige d’abord votre activité Internet à travers un serveur VPN, avant de l’envoyer à votre destination. Voici ce qui se passe lorsque vous vous connectez à un VPN :
Petite vidéo prise chez NordVPN:
https://youtu.be/sPTYfnaEpIo
-
Le VPN modifie votre adresse IP et masque votre emplacement virtuel:
Les personnes travaillant dans des pays où la liberté d’expression est limitée dépendent d’une connexion Internet privée pour leur travail. Leur vie peut même parfois en dépendre. Les personnes qui vivent sous un régime autoritaire devraient utiliser un VPN pour masquer leur adresse IP et garantir une sécurité supplémentaire pour leurs messages sensibles. -
Le VPN chiffre vos données:
L’utilisation d’un VPN est une bonne idée, même lorsque vous naviguez sur Internet depuis votre domicile. Le chiffrement VPN est important lorsque vous souhaitez protéger vos données sur Internet et minimiser votre empreinte en ligne. De cette façon, votre FAI ne pourra pas vendre l’intégralité de votre historique de navigation au plus offrant.
¶ Fonctionnement d’un VPN
Il existe de nombreux types de VPN différents, mais nous allons nous concentrer ici sur le VPN grand public. Lorsque vous téléchargez un logiciel VPN basé sur le client sur votre appareil, il effectue la majeure partie du travail à votre place : il vous suffit de vous identifier et de vous connecter.
Cependant, il est utile de savoir comment fonctionne un VPN pour mieux comprendre le service. Voici ce qui se passe en coulisses :
- Lorsque vous vous connectez à un service de réseau privé virtuel, celui-ci authentifie votre client auprès d’un serveur VPN.
- Le serveur applique ensuite un protocole de chiffrement à toutes les données que vous envoyez et recevez.
- Le service VPN crée un « tunnel » chiffré sur Internet. Cela sécurise les données qui circulent entre vous et votre destination.
- Pour garantir la sécurité de chaque paquet de données, un VPN l’enveloppe dans un paquet externe, qui est ensuite chiffré par encapsulation. C’est l’élément central du tunnel VPN, qui assure la sécurité des données pendant leur transfert.
- Lorsque les données parviennent au serveur, le paquet externe est supprimé via un processus de déchiffrement.
¶ Comment fonctionne le tunneling VPN ?
Le tunnel VPN est créé en authentifiant d’abord votre client (un ordinateur, un smartphone ou une tablette) auprès d’un serveur VPN. Le serveur utilise ensuite l’un des nombreux protocoles de chiffrement pour s’assurer que personne ne puisse surveiller les informations qui circulent entre vous et votre destination en ligne.
N’oubliez pas qu’avant d’être envoyées et reçues sur Internet, les données doivent d’abord être divisées en paquets. Pour garantir que chaque paquet de données reste sécurisé, un service VPN l’enveloppe dans un paquet extérieur, qui est ensuite chiffré par un processus appelé encapsulation.
Ce paquet extérieur maintient la sécurité des données pendant le transfert, et il constitue l’élément central du tunnel VPN. Lorsque les données arrivent sur le serveur VPN, le paquet extérieur est retiré pour accéder aux données qu’il contient, ce qui nécessite un processus de déchiffrement.
¶ Comment fonctionnent les serveurs VPN ?
Une fois le tunnel VPN établi, votre appareil envoie des informations chiffrées (comme le site Web que vous voulez visiter) au serveur VPN. Celui-ci les déchiffre et transmet les informations au serveur Web désigné. Il masque également votre véritable adresse IP avant d’envoyer les données. Au lieu de cela, vous utiliserez l’adresse IP du serveur VPN auquel vous êtes connecté(e).
Lorsque le serveur Web répond, le serveur VPN chiffre les données et vous les envoie par le biais de votre FAI. Votre client VPN déchiffre les données lorsqu’elles atteignent votre appareil.
¶ Les types de VPN
La grande majorité des VPN se répartissent en trois grandes catégories.
¶ VPN d’accès à distance
Un VPN d’accès à distance permet aux utilisateurs de se connecter à un réseau distant, généralement en utilisant un logiciel particulier. Si vous avez déjà eu besoin de vous connecter au réseau de votre bureau, vous avez très probablement utilisé un VPN d’accès à distance. Il rend le télétravail plus sûr et plus facile, car les employés peuvent accéder aux données et aux ressources de l’entreprise où qu’ils soient.
¶ VPN personnel
La plupart des VPN grand public sont classés comme des VPN personnels, comme NordVPN. Leur fonctionnement est très similaire à celui des VPN d’accès à distance, mais au lieu de vous connecter à un réseau propriétaire restreint (comme votre lieu de travail), vous vous connectez aux serveurs de votre fournisseur de VPN pour bénéficier d’une protection et d’une confidentialité pendant que vous explorez Internet.
¶ VPN site à site
Les VPN site à site sont principalement utilisés par les entreprises, en particulier les grandes entreprises. Ils permettent aux utilisateurs dans certains emplacements sélectionnés d’accéder aux réseaux des autres en toute sécurité. C’est un excellent moyen de connecter tous les bureaux et de permettre aux différentes succursales de partager en toute sécurité des ressources et des informations.