Sécuriser un VPN : les 5 actions incontournables

5 min
797
0
0
Publié le

Le VPN pour Virtual Private Network ou Réseau Privé Virtuel permet de naviguer sur Internet en masquant votre emplacement et en acheminant les données échangées via un tunnel sécurisé. Les VPN sont donc majoritairement utilisés pour renforcer la cybersécurité notamment avec le chiffrage des données. De nombreux particuliers et de plus en plus d’entreprises ont recours à ces services pour chiffrer leurs données et se protéger des cybercriminels. Mais les VPN sont-ils vraiment sécurisés ? Pas si sûr… Un VPN mal employé ou configuré risque à l’inverse de représenter une véritable vulnérabilité pour les systèmes d’information. Pour éviter cela, découvrez 5 actions indispensables pour sécuriser un VPN.


Utiliser des méthodes d'authentification et de chiffrage hautement sécurisées 


Choisir le meilleur mode d’authentification


Cela peut paraître évident pourtant des VPNs sont encore utilisés avec des protocoles d'authentification faibles comme PAP (Password Authentication Protocol), SPAP (Secured PAP) ou CHAP (Challenge Handshake Authenticated Protocol).

Pour sécuriser votre connexion au réseau privé virtuel, privilégiez des protocoles plus sécurisés comme EAP-TLS.

Opter pour le meilleur protocole afin de sécuriser votre VPN


Le protocole du réseau privé virtuel représente le mode de connexion de votre appareil à un serveur VPN. Il détermine le mode de chiffrage des données et donc la sécurité de la connexion. En règle générale, un service VPN utilise un protocole par défaut, mais vous pouvez modifier ce réglage dans les paramètres. Les protocoles les plus sécurisés sont :

  • OpenVPN avec UDP/TCP qui offre plusieurs types de méthode d’authentification et un protocle SSL/TTLS sécurisé pour l’échange de clé ;

  • IPsec qui chiffre et authentifie chaque paquet d’informations lors d'échanges de données ;

  • L2TP/IPsec qui combine comme son nom l’indique IPSec et le protocole L2TP, idéal pour les appareils mobiles ne supportant pas OpenVPN ;

  • IKEv2 encore plus sécurisé qu’IPsec, mais disponible uniquement sur UDP (qui peut être bloqué par les pare-feux).

Oubliez en revanche PPTP, un des plus anciens protocoles VPN mais qui est vulnérable à de nombreux problèmes de sécurité.


Appliquer régulièrement les patchs et mises à jour


Là aussi, maintenir ses applications et logiciels à jour pour renforcer la sécurité est une règle de base en cybersécurité. C’est encore plus important pour les VPN, car une attaque sur un serveur VPN peut impacter tous ses clients. Pourtant, de nombreux particuliers et même des organisations n’appliquent pas systématiquement les correctifs et patchs de sécurité.


L’exemple le plus probant est celui du VPN Pulse Secure. En avril 2019, Pulse Secure a publié des mises à jour logicielles destinées à corriger notamment une vulnérabilité de lecture sur les serveurs VPN. Néanmoins, en août 2019, il restait encore plus de 14 500 serveurs VPN non corrigés dans le monde. En 2020, ces serveurs vulnérables étaient d’ailleurs ciblés par les cybercriminels pour l’installation et la diffusion du ransomware Revil.

Une seule possibilité pour s’en protéger et sécuriser un VPN : effectuer les mises à niveau correctifs fournis.

Utiliser un coupe-circuit ou kill switch


Un kill switch est une fonctionnalité d’un VPN qui permet de couper l’accès à Internet sur un terminal dès que la connexion VPN échoue. Sans ce coupe-circuit, en cas d’échec de connexion au réseau privé, votre véritable adresse IP serait visible et pourrait révéler votre emplacement voire votre identité. Il existe deux types de coupe-circuit :

  • le kill switch actif qui comporte des protocoles pour savoir exactement à quel moment vous êtes déconnecté du réseau privé virtuel. L'information est alors transmise à votre appareil afin qu’il ne puisse pas se connecter à un réseau non sécurisé ;

  • le kill switch passif, un protocole qui coupe la connexion au niveau du serveur VPN dès qu’il ne reçoit plus de données de sa part. Le client est alors automatiquement redirigé vers un autre serveur fonctionnel.


De nombreux clients VPN intègrent leur propre kill switch. Néanmoins, cette option est souvent désactivée par défaut. Il faut donc systématiquement se rendre dans les paramètres, lors de l’installation ou de la mise à jour de son VPN, pour la réactiver.

Sécuriser un VPN en filtrant le trafic


Les étapes précédentes permettent de sécuriser un VPN en le configurant correctement, mais cela ne suffit pas toujours. Trop souvent, les organisations mettent en place des réseaux privés, mais sans prendre de mesures de sécurité pour protéger les accès aux VPNs. Ces services représentent alors de vrais portes d’entrée pour les cybercriminels qui vont tenter de les utiliser pour accéder au réseau d’entreprises.


Pour pallier cette vulnérabilité, il est crucial de déterminer une politique de sécurité stricte pour le filtrage du trafic. Celle-ci doit notamment inclure des règles de filtrage par adresse IP ou, à défaut, une configuration de pare-feu stricte pour inspecter et surveiller les connexions. Vous pouvez également contrôler l’accès au port ou mettre en place des règles de sécurité de trafic entrant.

Ces options sont paramétrables depuis les la plupart des interfaces et portails des VPNs.

Exploiter la protection contre les fuites DNS


La fuite DNS est une autre vulnérabilité qui peut affecter un ordinateur et un SI même s’ils passent par un VPN. En effet, lorsque vous vous connectez à Internet sous un réseau privé virtuel, vous utilisez le serveur DNS fourni par votre VPN. Cependant, cette option peut être désactivée (voire absente) chez les fournisseurs. Pour vérifier rapidement si vous êtes touché par une fuite DNS, vous pouvez vous rendre sur des sites comme IPleak.net ou dnsleak.com. Visitez une première fois ces sites sans VPN, ils afficheront votre adresse IP. Ensuite, activez votre VPN et connectez-vous depuis un serveur d’un autre pays. Enfin, reconnectez-vous au site précédent. Si vous ne voyez aucune différence, c’est que votre VPN affiche vos informations DNS.


Dans ce cas, vérifiez les options et paramètres de vos VPNs pour vérifier que la case concernant le masquage du DNS est bien cochée. Si cette option n’est pas proposée, il faudra envisager de changer de fournisseur...


 

Face à une digitalisation accrue des modes de communication et à l’essor du travail à distance, les VPNs sont d’excellents outils pour sécuriser les échanges. Cependant, afin d’être vraiment protégés des cyberattaques, il est indispensable de bien les configurer. Si votre fournisseur VPN ne vous permet pas de gérer toutes les options présentées, vous pouvez consulter notre forum IT pour choisir le VPN idéal pour sécuriser sa connexion.



Sources et liens utiles :

Boostez vos projets IT

Les meilleures missions et offres d’emploi sont chez Free-Work

Continuez votre lecture autour des sujets :

Commentaire

Dans la même catégorie

Au service des talents IT

Free-Work est une plateforme qui s'adresse à tous les professionnels des métiers de l'informatique.

Ses contenus et son jobboard IT sont mis à disposition 100% gratuitement pour les indépendants et les salariés du secteur.

Free-workers
Ressources
A propos
Espace recruteurs
2024 © Free-Work / AGSI SAS
Suivez-nous

Nouveauté ! Avec Free-Work MyBusiness, vous pouvez désormais gérer votre facturation, vos clients et votre activité facilement. C'est gratuit et sans engagement !