Les VPN ont le vent en poupe, que ce soit pour des usages professionnels – notamment en ces temps de télétravail – ou particuliers. Mais leur concept est rarement compris. Le sujet parfait pour un dossier vous expliquant simplement de quoi il s’agit et comment ces outils fonctionnent, par l'exemple.
Dans le cadre de notre second magazine papier, nous voulions consacrer un dossier aux VPN. Mais voilà, les aléas de ce numéro et le manque de place pour ne pas atteindre les 200 pages en ont décidé autrement. Nous traiterons donc le sujet de manière plus classique et plus « pratique », dans nos colonnes numériques.
Car s'il y a bien une thématique qui agite les sites « tech » ces dernières années, c'est celle des réseaux privés virtuels. Plutôt étonnant puisqu'elle est assez technique, centrée sur un outil visant à apporter une couche de sécurité à certains usages, principalement en entreprise. Mais il n'est en général question que d'un type de VPN.
Ciblant le grand public, ces services surfent sur la vague de la protection des données et d'un besoin de sécurité, promettant parfois monts et merveilles. Même Google, Mozilla ou ProtonMail s'y mettent. Ainsi, lorsque l'on vous parle de VPN, c'est rarement pour ce que permettent réellement de tels réseaux.
C'est d'autant plus regrettable qu'ils peuvent avoir leur intérêt, même pour le grand public. Encore faut-il savoir de quoi il est question et de quoi on se protège réellement. Voici donc un guide qui sera l'occasion d'un retour aux sources. Dans sa seconde partie, nous vous expliquerons comment monter votre propre serveur de différentes manières, ce qui devrait vous aider à mieux comprendre de quoi il est question.
Notre dossier sur les réseaux privés virtuels :
- Un VPN, à quoi ça sert ?
- Le réseau privé virtuel (VPN) par l'exemple
- Comment les entreprises mettent en oeuvre les VPN (à venir)
Quand le réseau local s’ouvre aux machines distantes
Commençons par un simple rappel : VPN est l’acronyme de Virtual Private Network ou réseau privé virtuel en français. Pour rendre ça plus facile à comprendre, regardons de quoi se compose votre réseau local. Il y a en général la box de votre fournisseur Internet (FAI), qui fait office de routeur et de serveur DHCP. Dit autrement, elle attribue à chaque appareil connecté une adresse IP et organise la communication entre eux.
Au sein de ce réseau local, ils peuvent donc échanger des données, accéder aux fichiers stockés sur votre NAS, l'écran de votre smartphone peut être affiché sur votre TV, etc. Tous ces appareils peuvent également accéder à Internet à travers votre routeur (on parle alors de passerelle, ou gateway). Mais l'inverse n'est pas vrai.
Car l'une des tâches les plus importantes du routeur est d'empêcher que n'importe qui puisse accéder à vos données depuis l'extérieur via différents mécanismes (que nous ne détaillerons pas ici). Cela a un avantage : vous êtes en sécurité. Mais aussi un inconvénient : vous ne pouvez pas accéder à vos données depuis l'extérieur.
Or, cela peut être nécessaire pour échanger des fichiers, jouer en réseau, communiquer, s'auto-héberger, etc.
Pour certaines applications, cela se fait tout seul. Pour d'autres non. Il y a alors deux solutions, la première est d'ouvrir des ports au sein de l'interface NAT de votre routeur, service par service.
Vous voulez accéder au serveur web de votre NAS ? Il suffit d'attribuer son adresse IP et son port sur le réseau local à un port extérieur de votre connexion, par exemple le 4242. Ainsi, toute personne qui tapera l'adresse IP publique de votre connexion suivie de ce numéro de port pourra avoir accès au serveur web de votre NAS.
Une stratégie qui n'est pas sans défauts, car il faut ouvrir un port pour chaque service auquel on veut avoir accès. Il en est de même pour le chiffrement qui ne s'active pas de manière globale. C'est là que le VPN entre en scène.
Un VPN pour créer du lien
Wikipédia le définit en effet comme « un système permettant de créer un lien direct entre des ordinateurs distants, qui isole leurs échanges du reste du trafic se déroulant sur des réseaux de télécommunication publics ».
Pour faire simple, il permet à des appareils de se connecter à votre réseau local comme s'ils en faisaient partie à travers un accès distant, comme une connexion Internet. C'est pour cela qu'il est souvent représenté comme une sorte de tunnel. D'autant que l'échange de données est en général chiffré.
Initialement, cette solution a été pensée pour le monde de l'entreprise. Elle permet en effet à des employés de se connecter au réseau interne d'où qu'ils soient, avec une couche de chiffrement. Cela permet de la même manière de relier des sites éloignés géographiquement, là aussi pour qu'ils puissent se partager simplement des données.
Les constructeurs proposent d'ailleurs des routeurs intégrant nativement de telles fonctionnalités, parfois nécessitant peu de configuration comme Netgear avec ses BR200/BR500 et son service Insight :
Pour les particuliers, le VPN a un temps été utilisé pour ce qu'il est : relier des utilisateurs au sein d'un même réseau. Cela pouvait avoir une utilité à une époque où certains jeux proposaient un mode multijoueurs local uniquement. On pouvait ainsi organiser tout de même des parties à plusieurs à travers Internet. C'était le sens d'outils comme Hamachi de LogMeIn, qui s'est recentré sur une offre payante et les professionnels depuis.
On peut également vouloir accéder à son NAS ou d'autres machines du réseau local à travers un VPN. C'est pour cela qu'ASUSTOR, QNAP ou Synology intègrent en général une telle fonctionnalité à leurs interface.
Mais c'est à travers l'essor du piratage, la montée en puissance d'institutions comme Hadopi et la surveillance des réseaux d'échange pair-à-pair (où l'IP des utilisateurs est accessible) que les VPN ont été de plus en plus utilisés par le grand public. De nombreux acteurs sont nés de ce business très rentable, mais ils ont dû peu à peu gagner en respectabilité pour assurer leur croissance et leur promotion et donc se focaliser sur de nouveaux usages.
Un VPN clé en main : la connexion internet de quelqu'un d'autre
Ces VPN « clé en main » exploitent en réalité une spécificité bien précise des réseaux privés virtuels. Car lorsque vous vous connectez à un réseau distant, il vous partage en général son accès Internet pour que vous puissiez continuer à surfer sur vos sites préférés. Vous le faites alors à travers son routeur et son adresse IP publique.
Et c'est ça qui intéresse les services en question. Ils hébergent ainsi des milliers de serveurs VPN à travers le monde, dans différents pays. L'application que vous téléchargez, qui fait office de client, ne sert qu'à se connecter en quelques clics à l'un d'entre eux. Le serveur VPN est isolé sur son propre réseau local, vous n'avez donc accès à rien d'autre que sa connexion Internet. Mais de fait, tout ce que vous faites passe par lui et ce n'est pas anodin.
Car un VPN ne chiffre le trafic qu'entre vous et le serveur. Ce dernier voit ensuite tout passer. Si vous accédez à un site ou un service via une connexion sécurisée (via HTTPS par exemple, avec le cadenas vert dans votre navigateur), il ne peut accéder au contenu. Mais il le peut pour une connexion classique, non « sécurisée ». C'est encore souvent le cas pour les requêtes DNS par exemple (bien que ça change), qui permettent de savoir quels sites vous visitez.
Une question de confiance
Il faut donc avoir confiance en la société qui assure ce service, qui peut avoir le même niveau de connaissance sur vos habitudes de navigation qu'un fournisseur d'accès Internet, sans en avoir les mêmes obligations légales. C'est ce qui explique que de nombreuses sociétés fournissant un service de VPN indiquent ne pas garder de « logs » des connexions de leurs clients, et disposent d'un siège social dans un pays peu contraignant.
Mais faites attention, car il a parfois été démontré que de tels services avaient à leur disposition bien plus d'informations qu'ils ne le disaient. Ils peuvent également être eux-mêmes piratés et potentiellement exposer les données de leurs clients. Et à ceux qui espèrent utiliser ces services pour ne pas être identifiés, n'oubliez pas qu'ils nécessitent le plus souvent un paiement... par carte bancaire, forcément rattachée à une personne ou à une entité.
À ce sujet, Oracle rappelle que « les VPN sont des programmes complexes ayant un coût et dont la maintenance nécessite un investissement important. Ils doivent également tenir compte des derniers développements, car le monde de la vie privée en ligne est en constante évolution ».
Un internaute essayant d’accéder à Internet à travers un VPN. Crédits : guvendemir/iStock
La société soulève une question sur les VPN « gratuits » : « comment peuvent-ils faire des bénéfices ? ». Sa réponse est simple : « Au lieu de vous fournir ce dont vous avez besoin pour une somme modique, ils vous utilisent pour un profit indirect. Leurs méthodes sont souvent douloureuses, malhonnêtes, secrètes et souvent dangereuses. Avant de vous inscrire à un VPN gratuit, vous devez être conscient de ses défauts et de ses dangers ». Rien ne les empêche, par exemple, d'ajouter des publicités et scripts de pistage aux sites que vous visitez.
L’adage « si c'est gratuit, le produit, c'est vous » prend ici tout son sens. Notez qu’un VPN payant ne permet pas, à l'inverse, de garantir une confidentialité à toute épreuve. Il faut aussi se renseigner sur la société qui est derrière ce service. C'est pour cela qu'il est en général conseillé de ne se reposer que sur des services de confiance ou alors d'utiliser son propre serveur VPN. Ainsi, vos données restent en votre seule possession.
Sécurité, restrictions géographiques : quels avantages ?
Le premier avantage réel d'un VPN « clé en main », outre sa simplicité, est la couche de chiffrement qu'il apporte entre le client et le serveur. Il y a un cas précis où cela est très utile et c'est d'ailleurs pour cela qu'il est prisé en entreprise : les réseaux sans fil ouverts. Car si vous vous connectez sur une borne Wi-Fi qui ne nécessite pas de mot de passe, toutes vos données y circuleront sans chiffrement. D'autres personnes connectées à cette même borne peuvent alors tenter de récupérer vos informations via des outils spécialisés, en « sniffant » le trafic réseau.
Avec un VPN, tout est chiffré, même lorsque vous vous rendez sur des sites non « sécurisés », rien ne peut être récupéré. Attention, comme évoqué plus haut, cette protection s'arrête au serveur VPN, qui voit le trafic réseau passer. Aucune protection n'est par ailleurs assurée entre ce serveur et les sites que vous visitez.
Ce sont autant de failles possibles pour un attaquant. Le VPN ne protège qu'une portion de votre connexion :
Le méchant hacker se confronte au chiffrement du VPN, mais peut attaquer le client ou les serveurs - Crédits : OpenVPN.net
Le VPN permet aussi de contourner la censure pratiquée dans certains pays, ce qui explique que leur utilisation soit interdite par certains régimes politiques. De manière plus classique, cela peut aussi servir à contourner des restrictions géographiques. Par exemple si vous voyagez aux États-Unis et que vous voulez accéder à un service auquel vous êtes abonné, qui limite la connexion aux utilisateurs en France et/ou en Europe.
Pour cela, vous pouvez utiliser un VPN hebergé chez vous ou sur un serveur situé en France pour ne pas subir une telle restriction. Attention tout de même : certains ayant utilisé cette possibilité pour accéder à des catalogues étrangers auxquels ils n'avaient normalement pas accès sur des services de SVOD, ces derniers ont parfois mis en place des solutions pour détecter l'utilisation de VPN et bloquer l'accès. Netflix précise ainsi que leur utilisation « risque de vous empêcher de regarder des contenus qui ne sont pas proposés dans le monde entier ».
Un des avantages les plus mis en avant est en réalité le plus surestimé dans son intérêt : l'adresse IP vue et récupérée par les sites que vous visitez n'est plus celle de votre connexion Internet mais celle du serveur VPN. De quoi, selon certains, assurer la protection de votre vie privée et même votre anonymat. Ce n'est pas le cas.
Certes, utiliser une IP différente et la renouveler à chaque connexion retire une information aux personnes qui pourraient chercher à vous identifier en ligne, notamment à des fins publicitaires. Mais elles ont bien d'autres sources à leur disposition, notamment au sein de votre navigateur. Et contre cela, un VPN ne peut rien.
Que vous accédiez aux services de Facebook, Google ou Twitter à travers un VPN ou la connexion de votre FAI, la situation sera la même : sans protection supplémentaire, ces sites seront capables de vous pister en ligne. Les cas d'utilisateurs qui se pensaient protégés par un VPN ou des dispositifs plus complexes, lorsqu'ils commettaient des méfaits en ligne, mais qui ont tout de même été identifiés par les autorités sont d'ailleurs légion.
Et ce n'est clairement pas un service clé en main vendu quelques euros par mois qui vous aidera en la matière.
Quid du chiffrement ?
Un VPN permet de chiffrer les échanges entre la machine de l'utilisateur et le serveur. Pour cela, différents protocoles existent. Les plus connus sont IPsec (Internet Protocol Security) initialement développé par l’Internet Engineering Task Force (IETF), TLS (Transport Layer Security) qui est utilisé par OpenVPN, PPTP (Point-to-Point tunneling Protocol) et le petit dernier Wireguard. Une liste non exhaustive des protocoles est disponible par ici.
Pour que le chiffrement se mette en place, il faut évidemment que les deux machines prennent en charge le même protocole. OpenVPN (sorti en 2001) est largement disponible, mais commence à accuser le poids de son âge. De son côté, Wireguard (également open source) est plus récent, mais moins largement intégré dans les systèmes.
Les choses bougent néanmoins rapidement. Il est par exemple intégré dans le noyau Linux depuis la version 5.6 depuis le mois de mars. Des outils permettent de le déployer facilement sur un serveur comme Algo VPN.
Attention à la latence et à la bande-passante
Le VPN n’a pas que des avantages. Les deux points qui peuvent le plus en souffrir sont les débits et la latence, qui peuvent prendre un sacré coup dans l’aile. Prenons deux exemples.
Imaginons que vous soyez en France, et que passiez par un VPN situé à Hong Kong (à 10 000 km de là). Depuis votre ordinateur, vous souhaitez accéder à un site en Europe. La demande transite via le tunnel chiffré jusqu’au serveur à Hong Kong, puis ce dernier interroge le serveur en Europe. Il récupère la réponse et vous la renvoie.
Résultats des courses : deux allers-retours (soit 40 000 km) pour des données se trouvant à proximité. Même à la vitesse de la lumière, cela ajoute au minimum 130 ms de latence. Et ce n'est pas très écologique.
Pour le téléchargement d’un fichier ou du streaming de vidéo, la latence n’est pas forcément problématique, mais une autre variable importante entre en jeu : la bande-passante disponible. Étant donné que votre connexion passe par un tunnel, ce dernier peut rapidement devenir un goulot d’étranglement.
Si vous avez une ligne fibre optique à plusieurs Gb/s sur un VPN à 20 Mb/s seulement, vous serez limité à ce débit lorsque vous naviguerez sur Internet ou que vous téléchargez. Ce qui explique que certains services utilisent cette métrique comme manière de segmenter leur offre. Plus vous payez, plus cela pourra aller vite.
