VPN : échange de données sécurisé via des réseaux publics

L’in­ter­con­nexion mondiale crois­sante offre la pos­si­bi­lité de concevoir des processus com­mer­ciaux plus efficaces, mais comporte aussi des risques. De plus en plus d’en­tre­prises utilisent Internet comme média portatif, per­met­tant le travail depuis la maison ou depuis un mobile, de relier des commerces, des clients ou par­te­naires entre eux sur leur propre in­fras­truc­ture in­for­ma­tique. Pour cela, dif­fé­rentes tech­no­lo­gies entrent en jeu pour protéger la trans­mis­sion de données sensibles d’accès non autorisés.  Une solution courante est l’uti­li­sa­tion d’un VPN.

Si un VPN doit être utilisé, trois types de con­fi­gu­ra­tion se pré­sen­tent : le maillage de deux en­tre­prises ou plus sur un réseau public (Site-to-Site-VPN), l’accès à un réseau d’en­tre­prise depuis le domicile ou en dé­pla­ce­ment (End-to-Site-VPN) et l‘accès à distance d’un or­di­na­teur à un autre (End-to-End-VPN). 

Un Site-to-Site-VPN est utilisé lorsque plusieurs réseaux locaux doivent être reliés à un réseau de com­mu­ni­ca­tion sur un moyen de transport public. Un tel scénario est par exemple ima­gi­nable pour relier dif­fé­rents sites d’une en­tre­prise (suc­cur­sales et autres im­plan­ta­tions). Ce maillage de sites d’en­tre­prises peut al­ter­na­ti­ve­ment se présenter sous la forme d’un Corporate Network (CN), sur la base d’une connexion privée. Dans ce cas il convient de louer l’in­fras­truc­ture in­for­ma­tique cor­res­pon­dante. Une connexion VPN utilise quant à elle un réseau public, n’en­traî­nant que les frais de la connexion Internet. La mise en place d’un Site-to-Site-VPN pré­sup­pose d’avoir un routeur VPN dans chaque em­pla­ce­ment de site, de manière à créer un tunnel VPN entre ces réseaux locaux. D’autres dé­no­mi­na­tions pour le Site-to-Site-VPN sont LAN-to-LAN-VPN ou Branch-Office-VPN.

Les en­tre­prises recourent à l’End-to-Site-VPN lorsque le réseau d’en­tre­prise devrait également être ac­ces­sible aux employés tra­vail­lant depuis chez eux ou en dé­pla­ce­ment. Le tunnel vers le réseau local est construit par un client VPN sur l’appareil mobile externe de l‘employé. Internet joue ici le rôle de moyen de transport. Ceci permet à des employés d’accéder au réseau d’une société et par con­sé­quent sur les serveurs de fichiers et d’emails ainsi qu’à des logiciels spé­ci­fiques dédiés à une branche via un accès Internet quel­conque. Un End-to-Site-VPN est aussi parfois appelé Remote-Access-VPN.

Si l’accès à distance ne s’effectue pas sur un réseau local, mais plutôt seulement depuis un or­di­na­teur vers un autre, on parle d’End-to-End-VPN. Le scénario d’uti­li­sa­tion classique pour ce type de VPN est Remote Desktop. Il s’agit d’une technique avec laquelle une ap­pli­ca­tion est exécutée sur un or­di­na­teur puis est présentée et utilisée sur un autre. Le mode de transport peut être Internet ou encore un réseau local d’en­tre­prise. Dans le contexte or­ga­ni­sa­tion­nel, on utilise un Remote-Desktop-VPN lorsqu’un employé souhaite accéder à l’or­di­na­teur de son bureau depuis son domicile. 

Dif­fé­rents pro­to­coles entrent en scène lors de la mise en place de con­nexions cryptées via VPN. Les solutions courantes misent pour cela sur IPSec, L2TP over IPSec et SSL.

« Internet Protocol Security » (IPSec) est une suite de pro­to­coles conçue pour le protocole Internet (IP) dans la version 6 (IPv6), per­met­tant une com­mu­ni­ca­tion sécurisée avec des réseaux IP qui ne sont pas dignes de confiance. La con­fi­den­tia­lité, l’au­then­ti­cité et l’intégrité de la cir­cu­la­tion des données sont assurées par un cryptage et par des mé­ca­nismes d’au­then­ti­fi­ca­tion. IPSec a été développé pour IPv6 mais aussi pour IPv4 par la suite.

Un VPN réalisé par le biais de L2TP sur IPSec recourt au « Layer 2 Tunneling Protocol » (L2TP). L2TP ne comporte pas de cryptage en lui-même. Ce protocole est pour cette raison gé­né­ra­le­ment combiné avec IPSec. Tandis qu’IPSec ne peut effectuer de pont qu’avec des ensembles IP, L2TP est com­pa­tible avec une multitude de paquets de pro­to­coles. La com­bi­nai­son de L2TP avec IPSec relie par con­sé­quent les forces de ces deux standards. Le résultat est un protocole tunnel flexible et pré­sen­tant une haute sécurité.

SSL a ori­gi­nai­re­ment été développé pour l’en­vi­ron­ne­ment http, mais son uti­li­sa­tion a été spécifiée in­dé­pen­dam­ment. Le protocole de cryptage est aussi utilisé pour la sé­cu­ri­sa­tion de con­nexions VPN. Un logiciel très apprécié pour la mise en place d’un Virtual Private Network via une connexion SSL est OpenVPN.