Qu’est-ce que IKEv2 ? Tout ce qu’il faut savoir sur ce protocole VPN

Qu’est-ce que IKEv2 ? Tout ce qu’il faut savoir sur ce protocole VPN

what is ikev2 fr

La sécurité en ligne n’a jamais été aussi importante qu’aujourd’hui, car les cyberattaques se multiplient à une vitesse impressionnante. Tout le monde doit désormais s’assurer que ses données personnelles ou professionnelles sont protégées des intrusions d’individus mal intentionnés.

Utiliser un VPN, ou réseau privé virtuel, est une excellente façon de protéger votre ordinateur, smartphone, TV connectée et tout autre appareil contre les personnes qui souhaitent vous espionner, voler vos données et détruire vos fichiers.

Les VPN utilisent différents protocoles pour assurer votre sécurité, dont SSL/TLS, IPsec, IKEv2, PPTP, L2TP, SSH et OpenVPN. Dans cet article, nous nous intéressons au protocole VPN IKEv2.

Comprendre le protocole VPN IKEv2

Le protocole IKEv2 (Internet Key Exchange Version 2) est un des protocoles de tunneling utilisés par les VPN pour sécuriser votre connexion. En 2005, Cisco et Microsoft ont créé IKEv2, qui est une version améliorée de IKEv1. Dans la plupart des cas, IKEv2 n’est pas utilisé seul : il est généralement associé au chiffrement IPsec, et construit pour fonctionner avec ce protocole.

IKEv2 crée un tunnel sécurisé entre le client VPN et le serveur. Grâce aux associations de sécurité, IKEv2 assure la sécurité du tunnel en cryptant et en authentifiant les paquets IP entre les deux extrémités du réseau.

IKEv2 est basé sur de puissants algorithmes de cryptographie, comme Triple Data Encryption Standard (3DES), Advanced Encryption Standard (AES), ChaCha20 et Camellia. Il est ainsi un des protocoles de chiffrement les plus performants. Il utilise également le protocole MOBIKE (Mobility and Multi-homing Protocol), qui garantit que la connexion via tunnel reste active lorsque vous changez de réseau. C’est donc une fonctionnalité très intéressante quand on surfe sur mobile et que l’on change régulièrement de réseau.

IKEv2 est compatible avec BlackBerry, Windows 7+, macOS, et iOS. Il est également disponible sous plusieurs versions open source.

Voici les caractéristiques principales d’IKEv2 :

1. La vitesse

Avec IKEv2, établir une connexion est rapide et efficace. Le protocole offre également une structure d’échange de messages plus performante que la plupart des protocoles. Il a un débit supérieur, ce qui vous permet de profiter d’une connexion rapide.

2. La sécurité

IKEv2 garantit l’authentification, la confidentialité et l’intégrité des données. Grâce à l’authentification par certificat du serveur et la robustesse de son chiffrement, il empêche les personnes malveillantes de pénétrer dans votre réseau.

3. La fiabilité

Le protocole MOBIKE (Mobility and Multihoming Protocol) maintient les connexions actives même s’il y a des modifications sur le réseau. Grâce à cette amélioration de taille, IKEv2 est bien plus fiable que son prédécesseur IKE.

Comment fonctionnent les VPN IKEv2 ?

IKEv2 peut être mis en œuvre de plusieurs façons différentes : d’un point de terminaison à un point de terminaison, d’un point de terminaison à une passerelle et d’une passerelle à une passerelle. Ce protocole a pour mission de générer une clé de chiffrement asymétrique pour les deux extrémités du tunnel. Cette clé est utilisée par les deux points de terminaison pour chiffrer et déchiffrer les paquets IP envoyés dans les deux sens, pour garantir la sécurité du tunnel.

Pour ce faire, IKEv2 établit une authentification bilatérale par le biais d’associations de sécurité (SA) aux deux points de terminaison du tunnel. Il y a généralement deux paires d’associations de sécurité à chaque extrémité du tunnel : une pour les connexions sortantes et une autre pour les connexions entrantes. L’échange de ces paires fait d’IKEv2 un protocole de chiffrement par requête et réponse.

Il existe quatre types d’échanges de messages IKEv2 :

1. IKE_SA_INIT

Ce premier message provient de l’extrémité du tunnel VPN qui initie la connexion. Il va à l’autre extrémité du tunnel pour établir les paramètres de sécurité que les deux points de terminaison utiliseront. Il crée une association de sécurité IKE. Ce processus doit être terminé avant que l’étape suivante commence. Cet échange de messages comprend la négociation des paramètres de sécurité de la SA, des clés Diffie-Hellman, des algorithmes cryptographiques et des « nonces ».

Un nonce est simplement un nombre aléatoire généré par l’initiateur, en même temps que le message, à des fins d’authentification. Diffie-Hellman est quant à lui un protocole d’échange de clés de sécurité. Il est important de noter que cet échange se fait dans les deux sens : l’initiateur envoie son IKE_SA_INIT et reçoit une réponse IKE_SA_INIT du destinataire.

2. IKE_AUTH

Le deuxième échange intervient après le premier. Comme le premier échange de messages, il doit se terminer avant que les deux points de terminaison puissent envoyer d’autres messages. Pendant cet échange ont lieu la transmission et la validation de l’identité des deux points de terminaison du réseau. L’authentification se produit à ce moment-là : les deux points de terminaison présentent les informations d’authentification, comme convenu lors de l’étape précédente.

A la fin de cette étape, la vérification de l’identité des deux points de terminaison  extrémités conduit à la mise en place de CHILD_SA, qui est simplement l’association de sécurité négociée lors des deux premiers échanges.

3. CREATE_CHILD_SA

Cet échange de messages sert à créer un autre CHILD_SA, pour mettre en place un nouveau tunnel. Cet échange initie la négociation de nouveaux algorithmes de cryptage, de clés Diffie-Hellman, d’algorithmes de hachage et de nonces.

4. INFORMATIONAL

Cet échange a pour objectif de maintenir et de surveiller le tunnel. Plusieurs actions sont effectuées : la suppression des associations de sécurité, la surveillance des associations de sécurité, l’envoi de messages d’information et le signalement des erreurs.

Pour établir un VPN IKEv2, les deux premiers échanges doivent avoir lieu dans le même ordre que ci-dessus : d’abord IKE_SA_INIT, puis IKE_AUTH. Les deux derniers  échanges peuvent avoir lieu dans n’importe quel ordre.

Les avantages des VPN IKEv2

IKEv2 a été développé par Microsoft et Cisco pour améliorer IKEv1. Voici les avantages principaux d’IKEv2 :

1. La vitesse et la latence

IKEv2 est un des protocoles VPN les plus rapides. Il utilise la méthode NAT-T (Network Address Translation-Traversal), qui garantit que les pare-feu NAT (Network Address Translation) situés entre l’internaute et le serveur VPN ne feront pas baisser le débit internet.

L’architecture et la structure d’échange de messages d’IKEv2 rendent également ce protocole performant. Les applications qui nécessitent une faible latence, comme les applications de jeu vidéo, fonctionnent très bien avec les VPN IKEv2, car ils fonctionnent sur le port UDP 500.

2. La sécurité

IKEv2 est également un des protocoles les plus fiables. Il utilise en effet des techniques de chiffrement, de hachage et d’authentification robustes. Comme il vérifie l’identité des deux points de terminaison du tunnel VPN avec des certificats, il évite les attaques par déni de service (DoS) ou « Man-in-the-Middle » (MITM). La confidentialité persistante empêche par ailleurs que les clés de chiffrement soient vulnérables : elles sont régulièrement changées.

3. Mobilité et fiabilité

Comme IKEv2 prend en charge le protocole MOBIKE, vous pouvez changer de réseau fréquemment sans craindre des interruptions de votre connexion au VPN. C’est une fonctionnalité extrêmement précieuse, qui garantit une connexion stable quand vous passez d’un réseau mobile ou wifi à un autre.

IKEv2 fait par ailleurs tout son possible pour restaurer les liens perdus et garantir la stabilité de la connexion. Comme il surveille le tunnel en permanence, il réagit rapidement en cas d’interruption.

Les inconvénients d’IKEv2

Le protocole IKEv2 a quelques inconvénients, que nous décrivons ci-dessous.

1. La compatibilité

IKEv2 est compatible avec Windows, BlackBerry, macOS et iOS. Même s’il existe plusieurs versions open source d’IKEv2, certains VPN hésitent encore à l’intégrer. Ils préfèrent utiliser d’autres protocoles qui sont compatibles avec davantage de systèmes d’exploitation, pour offrir à leurs clients une meilleure compatibilité.

2. Les restrictions de pare-feu

Pour assurer la sécurité des appareils, les administrateurs de réseau ou de pare-feu peuvent bloquer le port UDP 500, ce qui empêche la connexion à un VPN IKEv2.

3. La configuration

Avec certains systèmes d’exploitation, IKEv2 peut nécessiter des configurations manuelles complexes. Les sociétés de VPN donnent généralement des explications détaillées pour configurer le protocole.

Comparaison entre IKEv2 et d’autres protocoles VPN populaires

1. IKEv2 et L2TP/IPsec

Les VPN associent généralement IKEv2 et L2TP (Layer Two Tunneling Protocol) avec IPsec. Cela signifie qu’ils offrent la même sécurité, parce qu’ils utilisent la même suite d’authentification.

En ce qui concerne la vitesse, IKEv2 est plus intéressant parce que L2TP/IPsec est plus gourmand en ressources système et un processus de négociation plus lent. IKEv2 prend par ailleurs en charge le protocole MOBIKE, ce qui le rend plus fiable et plus stable que L2TP/IPsec. En matière de compatibilité, L2TP/IPsec est en tête : IKEv2 est loin d’être aussi accessible.

2. IKEv2 et OpenVPN

OpenVPN est un protocole open source qui offre un niveau de sécurité élevé. IKEv2 protège les données au niveau de la couche IP, tandis qu’OpenVPN protège les données au niveau de la couche transport. Bien que la différence de sécurité entre les deux protocoles soit minime, OpenVPN est généralement considéré comme le protocole le plus fiable.

IKEv2 est généralement plus rapide qu’OpenVPN, parce qu’il utilise moins de ressources système. OpenVPN peut utiliser UDP, mais cela ne le rend pas aussi rapide que IKEv2. D’un autre côté, il est plus facile pour les administrateurs réseau de bloquer IKEv2, car il utilise uniquement le port UDP 500. OpenVPN, quant à lui, utilise à la fois TCP et UDP avec les ports 443 et 1194.

Les deux protocoles sont relativement stables et fiables, mais IKEv2 est plus sûr qu’OpenVPN sur les appareils mobiles. Comme il prend en charge un plus grand nombre de plateformes, OpenVPN l’emporte en matière de compatibilité.

Le mot de la fin

IKEv2 est un protocole VPN sécurisé qui fonctionne souvent bien mieux quand il est associé à IPsec. IKEv2  est rapide, fiable, sûr et facile à utiliser sur les plateformes compatibles. Il est particulièrement performant sur mobile, parce qu’il prend en charge le protocole MOBIKE. Son défaut principal, c’est le fait qu’il ne soit pas compatible avec tous les systèmes d’exploitation. C’est la raison pour laquelle les VPN proposent généralement des alternatives à leurs clients.