Un VPN, à quoi ça sert ?
Divulgâchage : Après avoir expliqué ce que sont les VPN, on continue notre croisade démystificatrice en abordant ce qu’ils apportent à votre sécurité. Bien loin des promesses commerciales, ils sont tout de même bien pratiques. Ça sert à partager des ressources privées, masquer son adresse IP publique et, si le méchant loup n’a pas beaucoup de moyens, vous cacher.
L’autre jour, je discutais avec un autre papa à la sortie des écoles et dans la conversation, il m’a posé une question qu’on me pose en fait très (trop ?) souvent :
Toi qui bosse dans la sécurité, c’est vraiment utile un VPN ?
Un papa à la sortie de l’école
Comme beaucoup d’autres, il avait été confronté à ces grosses campagnes de publicité de fournisseurs de VPN payants mais face auxquels il était (heureusement) resté dubitatif.
Cet article est en quelque sorte la suite du précédent, « C’est quoi un VPN ? » qui expliquait, dans les grandes lignes, ce que sont ces VPN…
Pour résumer. C’est lorsque deux programmes sur des machines différentes simulent des cartes réseaux et s’échangent les données via un canal sécurisé. Les deux machines considèrent alors être connectées directement l’une à l’autre. On appelle ça un réseau privé virtuel (Virtual Private Network, d’où l’acronyme).
Maintenant qu’on est d’accord sur ce qu’est un VPN, et parce que vous imaginez bien qu’on ne met pas ce genre d’infrastructure en place juste parce qu’on peut le faire (quoi que), on va voir aujourd’hui les problèmes qu’ils résolvent.
Partager des ressources privées
Lorsqu’on héberge des services, on a parfois besoin de les rendre accessibles depuis internet tout en voulant restreindre cet accès. C’est le cas de nombreuses entreprises qui ont des serveurs internes d’un côté (i.e. messagerie et partage de fichiers) et des salariés en itinérance ou en télétravail de l’autre.
C’est aussi le cas pour certains jeux vidéos multijoueur qui permettent d’héberger un serveur lorsque vous voulez jouer mais que vos amis ne peuvent venir chez vous.
On pourrait bien sûr rendre ces services disponibles publiquement. Une règle de redirection sur votre boxe d’accès internet (ou sur votre pare-feu) et le tour est joué. Mais ça pose plein de risques pour la sécurité informatique de votre réseau…
- Certains services n’ont pas de contrôle d’accès intégré ou pas très fiable.
- Les utilisateurs peuvent utiliser des identifiants trop simples qu’un méchant pourrait utiliser.
- Même si les éditeurs vous assurent qu’ils font de leur mieux pour que leurs logiciels soient sûr, vous n’êtes pas à l’abri qu’une vulnérabilité (ou une porte dérobée) soit découverte et finalement exploitée…
- Certains logiciels sont parfois très vieux, n’ont plus de maintenance, mais restent irremplaçable pour votre entreprise…
En laissant un service accessible, on prend le risque qu’un méchant s’y connecte, accède à des choses confidentielles ou privées voir n’exploite une vulnérabilité qui lui ouvre un accès plus large à tout votre réseau.
La solution vient alors des VPN. On installe un programme serveur VPN dans l’entreprise (ou chez celui qui héberge le jeu) puis des programmes clients VPN chez tous ceux qui ont besoin d’un accès. Une fois que ces programmes sont connectés (en fait les clients vers le serveur), vous pourrez considérer toutes ces machines comme si elles étaient physiquement dans les locaux (ou le domicile). Une sorte de LAN Virtuel.
Exemple chez les arsouyes. Notre pare-feu contient un serveur VPN vers lequel nous pouvons établir une connexion lorsque nous ne sommes pas à la maison et ainsi accéder à nos services comme si nous y étions. Ce qui nous permet, entre autre, de passer des appels internationaux via notre ligne fixe.
On peut bien sûr aller plus loin et plutôt que de connecter des clients individuellement, utiliser des routeurs pour qu’ils interconnectent leurs réseaux respectifs entre eux via des VPN (on parle alors de VPN site à site). Les utilisateurs de chaque réseau pourront croire qu’ils sont voisins, les routeurs se chargeant de faire passer les données entre eux via un tunnel sécurisé. Pour eux, c’est invisible.
Masquer son adresse IP
Lorsqu’on établi une connexion sur Internet, votre correspondant et vous utilisez chacun l’adresse IP publique de l’autre. Pour vous, cette adresse correspond à celle que votre fournisseur d’accès vous a attribuée (ou celle de votre employeur si vous êtes au bureau, vous voyez l’idée).
Pour tout un tas de raisons sûrement très légitimes et qui ne regardent que vous, vous pourriez souhaiter que vos connexions utilisent une autre adresse que la vôtre. Si vous ne voyez vraiment pas, voici deux exemples :
- On est en pleine coupe du monde, le match que vous voulez regarder n’est pas diffusé dans votre pays et les chaînes des pays voisins appliquent des restrictions par géolocalisation.
- Vous êtes auditeur, pentesteur ou encore bug hunter et le site que vous auditez est protégé par un pare-feu qui banni les adresses IP dès qu’il les voit tenter une attaque.
En changeant d’adresse IP, vous pourriez alors contourner ces restrictions et ces bannissement.
La solution peut venir des VPN. Cette fois, plutôt que partager une ressource interne, on va partager la connexion internet du serveur VPN.
Lorsque vous établissez une connexion vers un site public, plutôt que de directement envoyer les données sur sa carte réseau, votre système les déroute à travers le VPN. À l’autre extrémité, le serveur VPN fera sortir les données via ses accès internet, masquant votre adresse IP par la sienne pour que les réponses lui parviennent (et qu’il vous les fasse suivre via le VPN en sens inverse).
Dans l’idée, c’est un peu comme si vous branchiez un câble chez votre voisin. Sauf que la magie des VPN permet de le faire virtuellement (donc sans câble supplémentaire) et avec n’importe quel fournisseur qui accepterait de vous partager sa connexion (contre rémunération bien évidemment).
Pour les sites consultés, vos connexions et vos activités seront associées aux adresses IP des connexions internet de votre fournisseur VPN. Pour revenir à nos deux exemples…
- Vous étiez bloqué par une restriction géographique… Si le fournisseur dispose d’un accès dans un pays autorisé, vous pourrez contourner les restrictions qui vous étaient appliquées et enfin voir vos équipes préférées.
- Votre IP était bannie et vous ne pouviez plus chercher des vulnérabilités… Si le fournisseur dispose de plusieurs accès, vous passerez de l’un à l’autre à chaque attaque détectée par le pare-feu.
Mais même si ça marche, il faut garder à l’esprit quelques petites limitations :
- Les services et pare-feu peuvent parfois savoir que l’IP qu’ils voient est celle d’un VPN et pourraient appliquer un traitement spécifique, vous n’êtes pas totalement invisible.
- Le VPN introduit un détour dans le réseau qui induit une latence. Chaque échange de donnée avec des services prend ainsi plus de temps (pour un gamer, ça va augmenter son ping).
- Le débit réseau est influencé par chaque lien réseau emprunté et limité par celui ayant la plus petite capacité (celle de base ou celle qui reste du fait que plein de monde l’utilisent aussi).
- Les VPN ajoutent des en-têtes aux données ce qui réduit le débit utile. Vos données sont dans une sorte d’enveloppe (à destination du site web), que le VPN insère dans une autre enveloppe (à destination du serveur VPN), chacune ajoute du poids et réduit donc le nombre de données que vous pouvez envoyer sans changer de tarif postal.
Anonymat (ou pas)
Masquer son adresse IP publique fait effectivement partie des mesures à prendre pour viser l’anonymat en ligne mais son efficacité dépendra beaucoup des moyens du méchant dont vous voulez vous cacher.
Si vous fournissez des données personnelles à une application ou un service, inutile de dire que, pour ce service, vous n’êtes plus anonyme 😉.
Si vos inquiétudes portent sur le profilage ou le traçage effectué par des sites web, ça ne servira à rien car ils utilisent en fait votre navigateur pour le faire (i.e. en y posant des cookies). Pour eux, votre adresse IP n’est qu’une donnée annexe qui vient bien sûr compléter votre profil mais dont ils peuvent se passer.
Si vos inquiétudes portent sur les informations collectées par les GAFAM (et cie), rappelez-vous que leur collecte s’effectue aussi voir principalement via leurs logiciels que vous utilisez (e.g. Android et Chrome pour Google, Windows, Office, IE et Edge pour Microsoft). Votre adresse IP n’est pour eux qu’une goute d’eau dans la collecte effectuée, alors la changer n’aura pas beaucoup d’effet.
Les applications, les GAFAM et cie n’ont d’ailleurs pas besoin de savoir qui vous êtes vraiment via votre adresse IP et se satisferont de vous attribuer un numéro anonymisé auxquels rattacher vos activité pour, entre autre, déterminer vos centres d’intérêt (et vous proposer des
fake newscontenus personnalisés). Changer d’IP ne les gênent donc pas dans leur collecte de donnée et son exploitation.
Et si vos inquiétudes portent sur les services d’espionnage ou de police d’État, posez-vous la question de la confiance que vous pouvez accorder à votre fournisseur de VPN…
- Si les forces de l’ordre accèdent aux serveurs, même si les fournisseurs vous avait promis qu’ils ne gardaient aucune trace, est-ce vraiment le cas ?
- À la place de l’État, ça fait longtemps que j’aurais mis en place mon propre service de VPN sous une fausse identité et, à grand renfort de publicité, je me serais assuré que tout le monde l’utilise comme ça, pas besoin d’enquête et de perquisition, les serveurs sont à la maison…
Le seul cas où un fournisseur de VPN vous permettrait d’être anonyme, c’est vis à vis d’un méchant qui ne pourrait que voir une adresse IP liée à une activité (sans pouvoir rien inférer ou corréler de plus).
Si vous voulez un anonymat plus résistant, vous allez devoir faire plus d’efforts. Non seulement votre VPN devra avoir été conçu, testé et validé pour cet usage spécifique mais vous devrez aussi utiliser des logiciels (et systèmes) de la même veine. Sans oublier de tenir votre langue car ce que vous faites et dites à autant d’importance que les outils pour le faire.
Pour ceux qui suivent les aventures d’Erin, comme vous vous en doutez, c’est ce type de VPN-là qu’elle utilise pour sortir du réseau surveillé de l’académie. Mais est-ce que ce sera suffisant… Wait and see.
Et après ?
En matière de sécurité informatique, les VPN sont d’une très grande utilité puisqu’ils permettent à des utilisateurs sur internet d’établir une connexion réseau virtuelle entre eux et ainsi, partager des ressources privées sans les rendre accessible publiquement.
Accessoirement, ils permettent aussi de masquer votre adresse IP publique par celle de fournisseur de VPN. Utile pour contourner des restrictions sur des adresses IP (géolocalisation et bannissement). Mais en matière d’anonymat, mis à part contre un méchant qui n’a accès qu’à votre adresse, ils ne servent à rien.