Les différents types de protocole VPN pour la sécurité de vos données personnelles et professionnelles

Connaitre les protocoles qui animent les différents serveurs VPN à travers le monde

Un article de Jacob Roach pour le site cloudwards.net - "Sécurité et confidentialité" est l'une des sections les plus importantes de nos revues VPN. Si vous les avez lus - et nous vous le recommandons humblement - vous savez que nous couvrons les protocoles offerts par les VPN, les fonctions de sécurité, telles que l'utilisation d'un killswitch, et la politique de confidentialité qui est en place.

Tous ces sujets constituent la sécurité VPN, ce qui est important pour avoir une vue d'ensemble de la façon dont vous êtes protégé. Cela dit, le protocole VPN est la principale préoccupation en matière de sécurité et il peut être difficile de savoir lesquelles des options open source et propriétaires intégrées doivent être utilisées.

Dans cette panne de protocole VPN, nous allons dissiper la confusion. Il existe de nombreux protocoles réseau, c'est pourquoi nous avons fait des recherches et condensé notre liste dans les protocoles VPN que vous verrez probablement dans votre application. Avant d'entrer dans les détails, nous devons définir ce qu'est un protocole VPN.



Qu'est-ce qu'un protocole VPN ?

Un réseau privé virtuel sécurise et anonymise votre connexion Internet en vous connectant à un serveur distant avant toute ouverture de site Web. La connexion à ce serveur est également cryptée, ce qui signifie qu'aucune de vos requêtes Web ne peut être vue par le monde extérieur.

Le type et le niveau de cryptage sont déterminés par le protocole de sécurité. Selon le protocole que vous utilisez, vous vous connecterez au VPN via différents ports et avec différents niveaux de sécurité.

Bien que le type de cryptage soit la principale différence entre les protocoles, il affecte également d'autres aspects de l'utilisation d'un VPN. Par exemple, un niveau de cryptage plus sophistiqué protégera davantage votre connexion, mais il ne sera pas aussi rapide qu'un protocole qui utilise un cryptage moins sûr.

Sur le plan pratique, le choix du protocole se résume à la façon dont vous voulez équilibrer sécurité et rapidité. Les protocoles VPN sont une forme de protocole réseau, c'est-à-dire qu'ils réunissent les exigences pour établir une connexion entre deux appareils. Cela inclut la sécurité et la rapidité.

Malheureusement, comme la plupart des sujets de networking, ce n'est pas si simple. La prise en charge de la plate-forme est importante, de même que l'endroit et le moment où le cryptage a lieu dans la chaîne de communication. Ces différences sont la raison pour laquelle les meilleurs fournisseurs de VPN incluent de multiples options de protocole.

Compte tenu de la facilité d'utilisation des VPN, il est peu probable que vous remarquiez ou que vous souhaitiez modifier votre protocole. Néanmoins, nous allons passer en revue les protocoles communs à votre disposition et les différents cas d'utilisation qui s'y rapportent. Ce faisant, nous espérons que vous apprendrez pourquoi utiliser OpenVPN lors de la configuration d'un VPN pour un routeur et IKEv2 lorsque vous en utilisez un sur votre téléphone.


Protocoles VPN communs

Vous trouverez ci-dessous les protocoles les plus courants que nous avons rencontrés. Il y a encore quelques variantes exotiques, bien sûr, mais la plupart des fournisseurs de VPN utiliseront une combinaison de celles-ci.


1. OpenVPN

Le protocole OpenVPN expliqué
Le protocole OpenVPN

OpenVPN est un protocole populaire à utiliser car il est open source et gratuit. Certains fournisseurs, comme AirVPN et e-VPN, ont construit leurs services autour de cela. Il a plus de 15 ans et est entouré d'une communauté qui analyse constamment les fichiers sources pour détecter les failles de sécurité, ce qui en fait l'une des options les plus sécurisées disponibles.

Il peut utiliser deux protocoles de transport : TCP ou UDP. Le protocole de contrôle de transmission (TCP - Transmission Control Protocol) est le plus courant. Votre machine envoie un paquet, puis attend la confirmation avant d'en envoyer un autre, ce qui rend la connexion plus fiable.

Cela profite à la fiabilité, mais pas à la rapidité. Comme chaque paquet doit attendre la confirmation, l'utilisation de TCP ajoute des surcharges à la connexion réseau. C'est là qu'intervient le protocole de datagramme utilisateur (UDP - User Datagram Protocol). Il continue d'envoyer des paquets sans confirmation, ce qui rend la connexion plus rapide, quoique moins fiable.

En ce qui concerne le cryptage, OpenVPN est de premier ordre. Il utilise la bibliothèque OpenSSL, ce qui signifie qu'il a accès à tous les algorithmes de chiffrement qui s'y trouvent. Il utilise également un protocole de sécurité personnalisé basé sur SSL/TLS qui fournit un cryptage allant jusqu'à 256 bits.

Le cryptage 256 bits n'est cependant pas nécessaire. Certains fournisseurs, tels que Private Internet Access, utilisent par défaut le cryptage 128 bits. L'utilisation d'une clé de plus petite taille permet généralement une connexion plus rapide, mais cela se fait au détriment de la sécurité.

Cela dit, même les fournisseurs VPN les plus rapides utilisent une clé 256 bits, ce qui montre pourquoi OpenVPN est si populaire. Au-delà des nombreuses autres raisons pour lesquelles un fournisseur peut l'offrir, OpenVPN offre le meilleur équilibre entre sécurité et rapidité.

En raison de sa nature open-source, il apparaît également dans les protocoles personnalisés de certains fournisseurs VPN. Le protocole Chameleon de VyprVPN brouille les paquets OpenVPN et StealthVPN d'Astrill fait à peu près la même chose.

VyprVPN et Astrill ont développé leurs protocoles pour contourner la censure en Chine. OpenVPN, bien que hautement sécurisé, ne fait rien de spécial pour se cacher de l'inspection approfondie des paquets. VyprVPN a été classé dans notre guide des meilleurs services VPN pour la Chine parce que son protocole Chameleon peut brouiller les paquets OpenVPN qui sont envoyés.

Un autre avantage d'OpenVPN est qu'il peut être adapté à presque toutes les plates-formes. ExpressVPN, par exemple, vous permet d'utiliser OpenVPN sur votre routeur. Il utilise un firmware personnalisé qui inclut une version préconfigurée d'OpenVPN, vous permettant de sécuriser le trafic vers votre routeur et Internet.


2. Layer 2 Tunnel Protocol

Le Layer 2 Tunnel Protocol est un protocole de tunneling qui permet aux données de passer d'un réseau à un autre. Contrairement à OpenVPN, L2TP est strictement un protocole de tunneling. Il ne fournit pas le cryptage à lui seul. Pour cette raison, L2TP est souvent associé à un protocole de cryptage pour assurer la sécurité.

Il a été créé en 1999 et basé sur deux protocoles de tunneling plus anciens appelés L2F et PPTP. Nous parlerons de ce dernier point dans une section ultérieure. Bien qu'une nouvelle version du protocole, connue sous le nom de L2TPv3, ait été introduite en 2005 pour ajouter des fonctions de sécurité, L2TP est restée pratiquement la même.

L2TP utilise deux types de paquets : les paquets de contrôle et les paquets de données. Les paquets de contrôle servent à établir une connexion et à ouvrir le tunnel entre vous et le serveur auquel vous accédez. Parce que c'est la fonction centrale du protocole tunneling, L2TP possède des fonctions de fiabilité, telles que la confirmation de paquets, liée aux paquets de contrôle.

Les paquets de données n'ont pas de telles caractéristiques. L2TP envoie des paquets dans un datagramme UDP, ce qui signifie qu'ils ne sont pas vérifiés lors de leur envoi. Cela permet une connexion plus rapide, mais moins fiable.

Le problème avec L2TP seul est que les paquets que vous envoyez ne sont pas cryptés. Ils sont encapsulés, mais il n'y a pas d'algorithme cryptographique pour cacher les données. Pour cette raison, vous trouverez très probablement L2TP associé à IPSec dans votre client VPN.

IPSec fournit le cryptage, encapsulant le paquet déjà encapsulé lorsqu'il passe par le tunnel L2TP. Cela signifie que les adresses IP source et destination sont cryptées dans le paquet IPSec, créant ainsi une connexion VPN sécurisée.

En ce qui concerne le cryptage, IPSec offre quelques options, dont HMAC avec un algorithme de hachage approprié, TripleDES-CBC, AES-CBC et AES-GCM. Certains fournisseurs de VPN, comme TorGuard, vous permettent de changer le chiffrement utilisé, mais vous trouverez surtout L2TP/IPSec sécurisé avec AES 128-bit ou 256-bit.

L2TP/IPSec est considéré comme sécurisé, mais certains experts en sécurité ont des doutes car IPSec a été développé, en partie, par la National Security Agency des États-Unis. Néanmoins, c'est normalement un choix pire que OpenVPN. Le port utilisé par L2TP est facilement bloqué par les pare-feu, vous aurez donc du mal à contourner la censure à moins d'utiliser un VPN qui supporte le transfert de port.


3. Secure Socket Tunneling Protocol

Le protocole Secure Socket Tunneling Protocol est une technologie propriétaire de Microsoft qui a été développée pour Windows Vista. Bien qu'il s'agisse d'un protocole développé par Microsoft, SSTP peut également être utilisé sous Linux. Cela dit, il n'est pas supporté sous macOS et ne le sera probablement jamais.

Comme OpenVPN, SSTP permet au trafic point à point de passer par un canal SSL/TLS. Pour cette raison, il a les mêmes avantages et inconvénients que l'utilisation d'un tel système. Par exemple, il utilise SSL/TLS sur le port TCP 443, ce qui le rend excellent pour passer à travers la plupart des pare-feu car le trafic semble normal.

Le problème avec cela, qui est le même problème avec l'utilisation de TCP sur OpenVPN, est que vous êtes vulnérable à la déconnexion TCP. TCP doit attendre la confirmation avant de renvoyer un paquet. Il a des fonctions intégrées pour détecter et tenter de résoudre les problèmes si un paquet n'a pas été confirmé.

Dans un tel cas, un paquet TCP d'une couche peut tenter de résoudre un problème, provoquant une surcompensation du paquet de la couche supérieure. Lorsque cela se produit, les performances d'une connexion TCP diminuent considérablement. Cela peut être évité avec OpenVPN en utilisant UDP à la place. Avec le SSTP, le problème est inévitable.

Bien que le SSTP soit disponible dans certaines applications VPN, il est rarement utilisé. Il est meilleur pour contourner les pare-feu que L2TP, mais OpenVPN l'est aussi. Le problème avec le SSTP est qu'il n'est pas aussi configurable qu'OpenVPN, il est donc plus sensible aux problèmes, comme la fusion TCP. OpenVPN offre tous les avantages du SSTP sans les inconvénients.


4. Internet Key Exchange Version 2

Internet Key Exchange est un protocole développé par Microsoft et Cisco en 1998. Techniquement, ce n'est pas un protocole VPN. IKE est utilisé pour configurer une association de sécurité dans la suite de protocoles IPSec. L'association de sécurité comprend des attributs tels que le chiffrement et la clé de cryptage du trafic.

Néanmoins, il est souvent traité comme un protocole VPN, appelé IKEv2, qui est simplement la deuxième version d'IKE, ou IKEv2/IPSec. Contrairement à L2TP/IPSec, qui n'utilise IPSec que pour le cryptage, IKE utilise IPSec pour le transport des données.

En ce qui concerne la sécurité, c'est aussi bon que L2TP ou SSTP, en supposant que vous ayez confiance en Microsoft. Il peut prendre en charge plusieurs versions d'AES et vous le trouverez très probablement jumelé à une clé 128 bits ou 256 bits dans votre application VPN.

Cependant, ce n'est pas juste une autre option. IKEv2 est généralement le protocole le plus rapide offert par les VPN.

IKE utilise des paquets UDP et commence à créer l'association de sécurité après l'envoi des premiers paquets. L'association de sécurité est ensuite transférée à la pile IPSec, qui commence à intercepter les paquets IP pertinents et à les chiffrer ou les déchiffrer selon le cas.

Pour cette raison, IKE est bon pour se reconnecter après qu'une connexion ait été interrompue. Sur une connexion filaire ou WiFi, c'est moins préoccupant car ils sont généralement statiques et stables. Pour les appareils mobiles, cependant, IKE est beaucoup plus séduisant.

Les réseaux LTE 3G et 4G évoluent constamment au fur et à mesure que votre téléphone ou votre tablette est en mouvement. Vous pouvez passer de la 4G LTE à la 3G ou perdre temporairement la connexion. Comme IKE se reconnecte rapidement, c'est un choix idéal sur les appareils mobiles. IKEv2 a même été intégré aux appareils BlackBerry.


5. Point-to-Point Tunneling Protocol

Le protocole de tunnelage point à point est un protocole de tunnelage daté et non sécurisé qui ne devrait pas être utilisé si vous êtes préoccupé par la sécurité. Malgré cela, certains fournisseurs VPN l'incluent encore dans leurs applications. Pour la plupart des utilisateurs, il devrait simplement être ignoré.

Le meilleur cas d'utilisation pour PPTP est l'accès externe au réseau interne d'un bâtiment d'entreprise, c'est pourquoi les VPNs ont été développés en premier lieu. PPTP ne spécifie pas le cryptage. Il s'appuie plutôt sur le protocole point à point pour mettre en œuvre les fonctions de sécurité.

En raison de la forme inférieure de cryptage, PPTP est rapide. C'est presque la même vitesse que votre connexion Internet normale. Dans un cas d'utilisation personnelle, c'est à peu près aussi sûr que votre connexion Internet normale. C'est pourquoi nous vous recommandons d'utiliser PPTP uniquement si vous faites quelque chose que vous ne pouvez pas faire sans VPN, comme l'accès à un réseau externe.

Ne vous attendez pas à ce que cette connexion soit sûre, cependant. Il existe de nombreux outils pour casser les tunnels PPTP, dont certains peuvent simplement extraire la clé de la méthode d'authentification et d'autres qui peuvent trouver la clé en quelques heures en utilisant une attaque brute-force.

De plus, la NSA est connue pour espionner activement les réseaux PPTP en raison de la faible sécurité. A moins que vous n'ayez une raison spécifique de l'utiliser, nous vous recommandons d'éviter PPTP, même si c'est une option pour cela dans votre application VPN (pour plus de détails, consultez notre article PPTP vs OpenVPN).


Dernières réflexions

Notre espoir est que vous puissiez accéder à votre application VPN avec plus de confiance maintenant que vous connaissez la différence entre les protocoles. Pour la plupart des utilisateurs, OpenVPN est la meilleure option car il offre une sécurité et une configurabilité de haut niveau. De plus, sa nature open-source vous permet de télécharger des fichiers de configuration et de les modifier à votre guise.

Les autres options ont leurs forces, mais aussi leurs faiblesses. Le SSTP résout le problème du pare-feu mais peut être victime d'une fusion TCP. L2TP est rapide et stable, mais facilement bloqué. La seule exception serait IKEv2, qui, bien qu'inférieur à OpenVPN, a beaucoup d'avantages pour les utilisateurs mobiles.


Vidéo : VPN Tunneling and VPN Tunneling Protocols Explained