Développement du télétravail : démocratisation des VPN

Développement du télétravail : démocratisation des VPN

2020 a pris fin. Il est temps d’effectuer un bilan sur l’année, et le moins que l’on puisse dire, c’est qu’elle a été particulière ! La crise sanitaire du COVID-19 (et oui, même dans les articles traitant de cyber sécurité ce sujet est abordé !) a modifié nos habitudes sur de nombreux aspects de nos vies, que ce soit personnellement ou professionnellement. Les différents confinements nous ont forcés à revoir nos méthodes de travail et a vu l’apparition du télétravail de masse.

Cependant, les cyber-attaques n’ont pas cessé durant la période rappelant que la sécurité restait un levier important pour ne pas finir à la une des journaux d’informations. Cette année, l’utilisation des solutions de VPN pour accéder à son environnement de travail sans sortir de chez soi a connu une forte croissance. Cet article explique ce qu’est un VPN, son utilité, les acteurs majeurs du marché ainsi que ses limites.

Qu'est-ce qu'un VPN ?

Wikipédia en donne la définition suivante : « En informatique, un réseau privé virtuel (RPV), plus communément abrégé en VPN (de l’anglais : Virtual Private Network), est un système permettant de créer un lien direct entre des ordinateurs distants, qui isole leurs échanges du reste du trafic se déroulant sur des réseaux de télécommunication publics. »

Il s’agit donc de créer un lien entre deux équipements afin d’en cloisonner les communications et ainsi permettre d’éviter que le trafic ne soit intercepté par un individu malveillant. Il existe deux types de VPN, les VPN « site à site » et les VPN « point à site ».

Les VPN site à site

Le VPN « site à site » permet de relier deux sites entre eux. Ce type de connexion est généralement utilisé par des entreprises ayant plus d’une adresse physique. Il permet de connecter les deux réseaux tout en assurant une sécurité dans leurs communications.


Pour cela, il est nécessaire de configurer un relai VPN à chaque extrémité afin d’établir la connexion. Ces relais sont souvent montés directement sur les pare-feu. Ainsi, les utilisateurs des sites A et B peuvent accéder aux ressources de chaque site de façon transparente et sans avoir à configurer d’agent sur les postes de travail.

VPN site à site
Schéma d'un VPN site à site.

Le VPN client à site

Le VPN « client à site » permet de relier un client vers un site distant. Ce type de connexion est utilisé dans le cadre du télétravail pour permettre à un client unique (PC, tablette, smartphone…) d’initier une connexion vers une infrastructure distante. Ainsi les employés d’une société peuvent avoir accès à leurs ressources à distance tout en maintenant une communication sécurisée.

Pour établir ces connexions, il existe 2 types de VPN rependus sur le marché (IPsec et SSL), avec pour chacun ses spécificités, leurs avantages et leurs défauts que l’on verra dans une seconde partie de cet article.

VPN client à site
Schéma VPN client à site.

Le plus facile à mettre en place : VPN SSL

SSL (Secure Socket Layer) est un type de VPN qui fonctionne avec TLS (Transport Layer Security) sur le port HTTPS : 443. C’est un VPN qui peut être utilisé avec ou sans agent (ce qui le rend facile d’utilisation).

  • Sans agent (ou clientless), c’est grâce au navigateur web que les clients peuvent établir une connexion, et ont accès à certaines applications (des bookmarks).

 

  • Avec agent, il permet d’accéder au réseau distant en fonction des règles de filtrages établies. Dans ce cas, l’utilisation du « split tunneling » est recommandé. Ainsi, seul le trafic indispensable nécessitant le passage dans le VPN utilise le tunnel, le reste est transmis par la route par défaut. Cela permet également d’éviter de saturer les lignes.

Le plus robuste : VPN IPsec

IPSEC (Internet Protocol Security), est considéré comme un standard ouvert, développé par l’Internet Engineering Task Force (IETF). Il offre une sécurité cryptographique au trafic réseau et fonctionne sur la couche 3 du modèle OSI, le rendant indépendant des couches supérieures applicatives.
La négociation IPsec se passe en deux phases :

  • La première pour l’échange de clés via le port UDP 500 (ISAKMP) ou UDP 4500 (si l’IP source qui initie le tunnel IPsec est natté). C’est le protocole IKE (Internet Key Exchange) qui est en charge de la négociation. L’authentification de cette phase peut se faire par mot de passe (PSK) ou par certificat. Dans les deux cas, il faut que les deux extrémités du tunnel aient les mêmes paramètres pour que la connexion s’établisse. Dans un second temps, les algorithmes de chiffrement et d’authentification sont négociés, au moins un des couples doit être similaire pour passer cette étape.

 

  • La seconde phase débute dès que la première phase est montée, et le trafic transite de façon chiffré. Cette phase permet de négocier les réseaux privés (des deux côtés) qui seront autorisés à traverser le VPN.

Avec la démocratisation des VPN, une multitude d’éditeurs sont aujourd’hui sur le marché, et il est important de bien se renseigner avant de choisir une solution. Pour cela, l’entreprise Gartner se positionne en indépendant et teste chaque solution les répertories et les classent.

Editeur de solution VPN
Editeurs reconnus par le Gartner de solution de VPN.

Le classement des éditeurs de solution de VPN :
https://www.gartner.com/reviews/market/enterprise-infrastructure-vpns/vendors

Le classement des clients VPN :
https://www.gartner.com/reviews/market/enterprise-infrastructure-vpns

Une fois la solution VPN choisie et en place, comme pour tout équipement réseau, il faut se tenir informé des failles découvertes et des mises à jour proposées par les éditeurs dans le but de maintenir son parc en sécurité. En effet, courant 2019, de multiples failles affectant des solutions de VPN ont été découvertes, et ce pour de plusieurs éditeurs (CVE-2019-11510 pour Pulse Secure, CVE-2018-13379 pour Fortinet et la CVE-2019-1579 pour PaloAlto…).

La CVE-2019-11510 permettait à un utilisateur non authentifié d’accéder aux passerelles Pulse Secure et d’y modifier la configuration afin de pénétrer dans le réseau. C’est ce qui est arrivé à Travelex, une société permettant d’échanger de la monnaie. La société est présente dans plus de 25 pays et compte plus de 6 000 employés.

Le 31 décembre 2019, Travelex a été ciblé par une attaque de rançon logiciel et a été contraint de désactiver tous ses ordinateurs pendant plusieurs jours créant le chaos parmi les employés et ses clients.

Les pirates sont entrés par le serveur VPN vulnérable à la CVE décrite ci-dessus plusieurs mois après l’apparition du correctif. 5 Go de données sensibles aurait été dérobés par les attaquants et les pirates auraient obtenu une rançon de 2,3 millions de dollars pour transmettre les codes de déchiffrement.

Sources

  • Post published:12 janvier 2021
  • Post author:

Antoine

Consultant Sécurité Informatique - SecOp | SYNETIS