Le guide complet pour comprendre les protocoles VPNs

On sait que les protocoles VPNs sont développés et certifiés par le NIST (National Institute of Standards of Technology).

Mais les révélations d’Edward Snowden nous montrent que la NSA tente de craquer ces technologies depuis des années. Et cela soulève une question essentielle : Est-ce que les protocoles VPNs sont sécurisés ?

Pour le comprendre, on va vous décrire tous les protocoles VPNs existants sur le marché, on va aussi parler des aspects du chiffrement et comment les attaques de la NSA peuvent impacter les utilisateurs de VPN comme ceux de NordVPN, Hidemyass ou VyprVPN dans le monde entier.

PPTP

Développé par un consortium fondé par Microsoft, le PPTP pour Point-to-Point Tunneling crée un VPN sur les réseaux de modems.

C’est une norme de VPN depuis sa création et c’est le premier qui est supporté par Windows. PPTP sécurise votre connexion avec des méthodes d’authentification comme MS_CHAP v2.

Chaque VPN est capable d’utiliser le protocole PPTP et comme il est facile à utiliser, c’est le choix de prédilection pour de nombreux fournisseurs VPN. Et comme son chiffrement nécessite peu de calcul, c’est aussi l’un des plus rapides.

Mais son chiffrement est uniquement de 128 bits et le PPTP possède de nombreuses failles de sécurité, notamment ce qu’on appelle l’authentification MS-CHAP v2 non encapsulée.

Cette dernière permet de craquer le PPTP en 2 jours. Microsoft a corrigé la faille, mais il recommande de délaisser le PPTP pour privilégier le SSTP ou le L2TP.

Étant donné la faible sécurité du PPTP, il est évident que la NSA a réussi à le casser. Le problème est qu’à une époque, le PPTP est approuvé par les experts de sécurité et donc, l’agence d’espionnage a pu collecter les anciennes communications.

Pour :

  • Rapide
  • Un client disponible sur toutes les plateformes
  • Facile à installer

Contre :

  • Il est compromis par la NSA
  • Une sécurité très faible

Les protocoles VPNs L2TP et L2TP/IPsec

Le L2TP signifie le Layer 2 Tunnel Protocol et contrairement à d’autres protocoles, il ne chiffre pas la connexion. C’est pourquoi on va le combiner avec d’autres technologies comme l’IP2Sec en permettant d’avoir la sécurité et la protection de la vie privée.

Toutes les plateformes et appareils supportent le L2TP/IPsec et son installation est aussi facile que le PPTP. Mais il peut y avoir des problèmes, car ce protocole utilise le port UDP 500 qu’on peut bloquer facilement par un pare-feu de type NAT. Donc, il faut l’utiliser avec une redirection des ports.

Le protocole IPsec ne souffre pas de failles majeures, mais Snowden nous a appris qu’il a été compromis par la NSA. John Gilmore, responsable chez EFF, a prétendu que le L2TP a été artificiellement affaibli par la NSA.

De plus, la combinaison de L2TP/IPsec implique un double chiffrement des données et donc, il est plus lent que les solutions basées sur SSL.

Pour :

  • Assez sécurisé
  • Disponible sur toutes les plateformes et appareils
  • Facile à installer

Contre :

  • Plus lent qu’OpenVPN
  • Peut-être compromis par la NSA
  • Certains pare-feu peuvent le bloquer
  • La NSA l’a sans doute affaibli

OpenVPN

Un protocole VPN assez récent, l’OpenVPN utilise les protocoles SSLv3/TLSv1 et la librairie OpenSSL avec d’autres technologies. Il fournit une connexion VPN très sécurisée et fiable.

On peut configurer OpenVPN dans les moindres détails et il est plus performant sur le port UDP, mais en fait, il peut fonctionner sur tous les ports. Cette polyvalence lui permet d’être très résistant au blocage et à la censure.

Un autre atout de l’OpenVPN est que sa librairie SSL supporte de nombreux algorithmes de chiffrement tels que l’AES, 3DES, Blowfish, Camellia, CAST-128 même si les fournisseurs VPN comme NordVPN, Hidemyass, VyprVPN utilisent exclusivement Blowfish et AES.

OpenVPN est fourni avec un chiffrement Blowfish de 128 bits. Il est sécurisé, mais on connait aussi quelques failles avec ce réglage par défaut.

Quand on parle de chiffrement, l’AES est la référence absolue. Il n’a aucune faille et même les agences gouvernements l’utilisent pour protéger les données sensibles.

Il peut mieux gérer les gros fichiers que Blowfish. AES et Blowfish sont certifiés par le NIST et même si ce n’est pas un problème, on doit quand même parler de quelques failles possibles.

En premier lieu, l’OpenVPN n’est pas magique, car sa robustesse dépend du niveau de chiffrement qu’on utilise. Mais il est plus rapide que l’IPsec.

Et même si la plupart des fournisseurs VPN proposent l’OpenVPN, il n’est pas disponible sur toutes les plateformes. Mais vous pouvez l’utiliser sur Android ou iOS.

Concernant l’installation, OpenVPN est plus complexe que le L2TP/IPsec ou le PPTP, notamment quand on utilise l’OpenVPN de base.

Vous devrez télécharger et installer le client, mais vous devez créer des fichiers de configuration supplémentaire. Les fournisseurs VPN comme NordVPN, Hidemyass, VyprVPN vont contourner ce problème en vous proposant leur propre logiciel VPN où vous pouvez avoir la meilleure sécurité en un client.

Parmi les protocoles VPNs, l’OpenVPN n’a jamais pu être compromis par la NSA, mais on ignore aussi ce que cette agence est vraiment capable de faire. Mais jusqu’à preuve du contraire, l’OpenVPN est le protocole le plus sécurisé sur le marché.

Pour :

  • Est capable de contourner la plupart des blocages
  • Très polyvalent
  • En étant Open Source, on peut détecter les tentatives de backdoors
  • Il est compatible avec de nombreux chiffrements
  • Très sécurisé

Contre :

  • Difficile à configurer
  • Nécessite des logiciels tiers
  • Il fonctionne à merveille sur desktop, mais il doit progresser sur le mobile

Lock. Internet Security

SSTP

Introduit par Microsoft dans Windows Visa SP1, le Secure Socket Tunneling est désormais disponible pour Linux, RouterOS et SEIL (logiciel pour Mac OS), mais le SSTP reste un protocole VPN pour Windows.

Comme il utilise le SSL v3, il fournit des avantages similaires comme l’Open. Ainsi, il est assez résistant contre la censure. Le SSTP est un protocole stable et facile à utiliser, car il est intégré dans Windows.

Cependant, c’est une norme standard appartenant à Microsoft. Et Microsoft a une longue histoire de coopération avec la NSA et on soupçonne que l’agence a des backdoors dans Windows. Donc, il est sécurisé, mais pas forcément digne de confiance.

Pour :

  • Il est capable de contourner la plupart des pare-feu
  • Le niveau de sécurité dépend du Cipher, mais en général, le SSTP est sécurisé
  • Entièrement compatible avec Windows
  • Support de Microsoft

Contre :

  • Comme il appartient à Microsoft, on ne peut pas exclure l’existence de backdoors
  • Fonctionnement principalement sur Windows

Les protocoles VPNs IKEv2

L’IKEv2 est un protocole de Tunneling basé sur IPsec. Le sigle signifie Internet Key Exchange Version 256 et il a été développé par Microsoft et Cisco.

Il est disponible à partir de Windows 7 et il fournit des implémentations pour Linux et d’autres plateformes. Bonus, il supporte même Blackberry.

Microsoft le connait comme le VPN Connect et il est performant pour rétablir automatiquement des connexions VPN à cause d’une coupure temporaire.

Il est aussi performant sur mobile, car il utilise des protocoles Mobility et Multi-homing. L’IKEv2 est important pour les utilisateurs de Blackberry, car c’est l’un des rares protocoles à supporter ce système. Même si l’IKEv2 est moins populaire que l’IPsec, il est équivalent sur la stabilité, la sécurité et la performance.

Pour :

  • Très sécurisé. Supporte de nombreux Ciphers comme AES, 3DES et AES 256
  • Supporte les appareils Blackberry
  • Très stable, notamment après une coupure temporaire de connexion ou qu’on change de réseau
  • Facile à utiliser pour l’utiliser
  • Plus rapide que le L2TP, le PPTP et le SSTP

Contre :

  • Support limité sur les plateformes
  • Le port UDP 500 est facile à bloquer comparé à les protocoles VPNs basés sur SSL comme SSTP et l’OpenVPN.
  • Il n’est pas Open Source
  • L’installation sur serveur est compliquée

Comprendre les problèmes liés au chiffrement

Pour comprendre le chiffrement, vous devez comprendre quelques concepts de base.

La longueur de la clé de chiffrement

La manière la plus brutale de déterminer le temps nécessaire pour casser un Cipher est la longueur de la clé. C’est les nombres bruts, à base de 1 et de 0, qu’on utilise dans le cipher.

De la même manière, la recherche sur les clés (attaque par brute force) est aussi la méthode la plus brutale pour attaquer un cipher. Cette approche implique qu’on doit essayer toutes les combinaisons possibles.

En terme de longueur de clé, le niveau de chiffrement fourni par des fournisseurs VPN comme NordVPN, Hidemyass, VyprVPN va de 128 à 256 bits.

Les niveaux élevés sont utilisés pour l’authentification et le handshake. Mais est-ce que cela signifie que la norme 256 bits est meilleure que le 128 Bits ? Afin de le déterminer, faisons quelques calculs de base :

  • Pour compromettre une clé de cipher en 128 bits, il faut 3,4 x 10 (38) opérations.
  • Si on veut craquer une clé de cipher de 256 bits, il faut 2(128) plus de puissance de calcul que pour casser la norme 128 bits.
  • L’attaque par brute force sur un cipher 256 bits nécessite 3,31 x 10(65) opérations. C’est l’équivalent du nombre d’atomes dans l’univers
  • En 2011, le plus puissant supercalculateur au monde était le Fujitsu K, possédant une vitesse de 10,56 téraflops.
  • Si on prend ces chiffres, il faudrait 1 milliard d’années pour casser une clé AES en 128 bits avec l’attaque par brute force.
  • En 2013, le plus puissant supercalculateur au monde était le NUDT Tianhe-2 avec une vitesse de 33,86 pétaflops.
  • C’est 3 fois plus rapide que le Fujitsu K, mais il lui faudrait quand même environ 300 millions d’années pour casser une clé AES en 128 bits avec l’attaque par brute force.

Avant Edward Snowden, on pensait que la norme 128 Bits était quasi inviolable. Mais quand on a appris les ressources colossales de la NSA, on a augmenté la norme de chiffrement à 256 bits.

Les agences gouvernementales utilisent du 256 bits pour les données sensibles et 128 bits pour des procédures de routine. Mais même avec la robustesse de l’AES, ce dernier souffre de quelques soucis.

Comprendre les Ciphers dans le chiffrement

Les Ciphers sont des algorithmes mathématiques qu’on utilise pendant le chiffrement. De ce fait, un Cipher faible est une cible facile pour les pirates.

Actuellement, Blowfish et AES sont les ciphers les plus utilisés dans les VPN tels que ceux de NordVPN, Hidemyass, VyprVPN. Le RSA est utilisé pour le chiffrement et déchiffrement des clés de cipher tandis que le SHA-1 et le SHA-2 sont utilisés pour authentifier les données.

Même si l’AES est considéré comme le cipher le plus sécurisé pour les VPN, au point qu’il a été adopté par le gouvernement, on considère sa fiabilité comme étant acquise, mais il y a toujours des couacs dont on se méfier.

Les problèmes avec le NIST (National Institute of Standards of Technology)

Le RSA, l’AES, le SHA-1 et le SHA-2 ont été développés ou certifiés par le National Institute of Standards of Technology (NIST). C’est une organisation qui travaille étroitement avec la NSA pour le développement de ses ciphers. Et on sait que la NSA affaiblit sciemment les ciphers, on peut se poser des questions sur la fiabilité des algorithmes du NIST.

L’institut a toujours nié la moindre interférence de la NSA sur ses travaux et il tente de regagner la confiance du public en l’invitant à participer pour ses prochaines normes.

Mais le New York Times a accusé la NSA de contourner les chiffrements approuvés par le NIST, soit en perturbant le développement public ou en introduisent des backdoors invisibles pour affaiblir les algorithmes.

Et le 17 septembre 2017, cette méfiance envers le NIST a pu être prouvée, car le RSA Security a indiqué à ses consommateurs de ne plus utiliser un algorithme de chiffrement en particulier, car il contenait une faille fabriquée par la NSA.

De plus, une norme de chiffrement, développé par le NIST, appelé Dual EC DRBG, est considérée comme étant insécurisée depuis des années.

Mais Business Usual, car les entreprises ont tendance à suivre aveuglément les normes du NIST parce que c’est une obligation si on veut obtenir des contrats gouvernementaux.

Les normes du NIST sont présentes dans le monde entier et dans tous les secteurs, notamment sur les VPN. Et malheureusement, les fournisseurs VPN estiment que les bienfaits de ces normes sont supérieurs à la méfiance suscitée envers le NIST.

La seule entreprise, qui n’a pas fait de concession, est Silent Circle qui a préféré fermer son service plutôt qu’il soit compromis par la NSA. En novembre 2013, Silent Circle a annoncé qu’il délaisse les normes du NIST.

Cette annonce a fait un petit électrochoc et certains fournisseurs de VPN comme NordVPN, Hidemyass, VyprVPN ont commencé à tester des ciphers qui n’émanent pas du NIST.

Et si vous avez des doutes avec votre fournisseur VPN, alors assurez-vous d’utiliser une norme en 256 bits pour une sécurité maximale.

Les attaques de la NSA sur la clé de chiffrement du RSA

L’une des révélations d’Edward Snowden nous apprenait un programme appelé Cheezey Name. Son objectif était de cibler des clés de chiffrement, qu’on connait comme des certificats, qui pourraient être compromis par des supercalculateurs au GCHQ, l’équivalent britannique de la NSA.

Cela signifie que ces certificats, qui doivent être normalement protégés par un chiffrement de 1024 bits, sont plus faibles que prévu et qu’ils peuvent être cassés par la NSA et le GCHQ.

Si ces agences ont réussi à les déchiffrer, alors les futures communications sont compromises par l’utilisation d’une clé privée permanente pour déchiffrer toutes les données.

De ce fait, on doit considérer que toutes les formes de chiffrement, qui se basent sur des clés et des certificats temporaires, sont compromises incluant le TSL et le SSL.

Et cela concerne tout le trafic sur le SSL. Mais il y a de bonnes nouvelles, car l’OpenVPN n’est pas affecté par cette faille. La raison est que l’OpenVPN utilise une nouvelle clé pour chaque échange en court-circuitant ainsi les certificats.

Même si quelqu’un obtient la clé privée du certificat, il ne pourrait pas déchiffrer la communication. Avec une attaque de type homme du milieu, il serait possible de cibler une connexion VPN, mais le ciblage doit être très spécifique et les clés privées doivent être compromises.

Quand on a appris que la NSA et le GCHQ pouvaient casser des chiffrements en 1024 bits, quelques fournisseurs VPN, notamment NordVPN, Hidemyass, VyprVPN ont commencé à proposer des connexions en 2024 bits.

La Confidentialité persistante (Perfect Forward Secrecy)

On pourrait croire que tous les systèmes de chiffrement sont compromis, mais il y a une solution qui existe afin de sécuriser les sites web sous la forme de la Confidentalité persistante (Perfect Forward Secrecy).

Son principe est de créer des clés privées uniques pour chaque session. Mais c’est assez complexe à mettre en place et seul Google a implémenté cette technologie.

File format is EPS10.0.

Si vous devez choisir, choisissez l’OpenVPN !

Maintenant que nous arrivons à la fin de cet article et que vous avez encore la tête embrouillée par les nombreux sigles parmi les protocoles VPNs, vous devez toujours vous rappeler les mots d’Edward Snowden que le chiffrement fonctionne et qu’on doit toujours l’implémenter.

Le protocole OpenVPN est le plus sécurisé du marché et tous les fournisseurs VPN, incluant NordVPN, Hidemyass, VyprVPN, le proposent par défaut. Le mieux serait qu’on délaisse progressivement les normes du NIST, mais cela prendra du temps.

Le PPTP est une véritable passoire et il a été compromis par la NSA. Même Microsoft l’a abandonné. Vous devez l’éviter par tous les moyens.

Vous pourriez être attiré par sa facilité, mais cela ne vaut vraiment pas le coup. Parmi les protocoles VPNs, le L2TP/IPsec est intéressant pour une utilisation non critique.

La NSA l’a compromis à plusieurs, mais si vous cherchez une sécurité relative avec une bonne facilité d’utilisation, alors c’est le protocole idéal. C’est aussi l’alternative si vous n’arrivez pas à faire fonctionner l’OpenVPN sur votre mobile.

Le protocole OpenVPN peut être rebutant si vous l’installez et le configurez vous-même. Mais il est stable, très sécurisé et les fournisseurs VPN vous proposeront un logiciel VPN qui va se charger de toute la partie technique.

L’IKEv2 est aussi un protocole sécurité et très rapide et si on l’utilise avec des implémentations Open Source, alors il peut devenir une excellente alternative.

Il est indiqué si vous avez une connexion internet stable, car il est capable de se reconnecter très rapidement. Le SSTP propose les mêmes avantages que l’OpenVPN, mais il est surtout dédié pour Windows. Et comme il est développé par Microsoft et que celui coopère avec la NSA depuis très longtemps, la méfiance doit être de mise.

En bref, utilisez OpenVPN dans 90 % des cas et s’il ne fonctionne pas sur vos appareils mobiles, choisissez IKEv2. Le mobile est devenu la principale tendance et désormais, l’OpenVPN devient de plus en plus performant sur le mobile pour avoir la vitesse et la sécurité sans aucun compromis.

Désolé, les commentaires sont fermés pour cet article.

Ce site est un seulement un site d'actualité et ne contient aucun lien torrent