Qu’est-ce qu’un VPN IPsec ? Notre guide sur le protocole IPsec
Face à la multiplication des cyberattaques, les particuliers et les entreprises prennent des mesures pour se protéger des individus malveillants qui veulent voler des informations personnelles ou professionnelles sensibles. Aujourd’hui, la plupart des internautes connaissent les méthodes utilisées par les hackers et les cybercriminels pour voler des informations personnelles. La sécurité en ligne est plus importante que jamais, et doit être une priorité pour les particuliers comme pour les organisations.
Les réseaux privés virtuels, ou VPN, vous permettent de créer un canal de communication sécurisé sur internet, et de protéger vos données des regards d’éventuels fouineurs. Les VPN utilisent plusieurs protocoles de sécurisation, dont SSL/TLS, IPsec, PPTP, L2TP, SSH et OpenVPN.
Définition et fonctionnement d’IPsec
IPsec (Internet Protocol Security) est un ensemble de protocoles de sécurité développés par l’IETF (Internet Engineering Task Force). Il sécurise les connexions internet en chiffrant les paquets IP et en fournissant une authentification entre deux extrémités du réseau. Les VPN qui utilisent IPsec pour protéger la connexion internet de leurs clients sont parfois appelés « VPN IPsec ».
IPsec sécurise votre connexion internet grâce aux éléments suivants :
1. La confidentialité. IPsec chiffre les données, garantissant que personne ne peut espionner votre connexion internet et voler vos informations confidentielles.
2. L’intégrité. IPsec dispose d’un mécanisme qui garantit que des entités ou des personnes malveillantes ne peuvent pas modifier vos données. Il utilise une technique appelée « hachage » qui préserve l’intégrité des données.
3. L’authentification. L’authentification se fait aux deux extrémités du réseau, pour vérifier que les internautes et les appareils sont bien ce qu’ils prétendent être.
4. L’anti-replay. IPsec utilise des numéros de séquence pour s’assurer qu’un attaquant ne peut pas modifier les paquets de données qui ont déjà passé le processus d’authentification.
Comme IPsec agit au niveau de la couche réseau, le protocole crypte non seulement les données mais aussi l’ensemble du paquet IP. Les entreprises utilisent généralement un VPN IPsec pour les connexions distantes, car ce protocole offre une protection plus solide que les autres VPN.
Il existe deux modes d’IPsec : le mode tunnel et le mode transport.
Les VPN IPsec qui fonctionnent en mode tunnel chiffrent l’intégralité du paquet IP d’origine, en l’encapsulant dans une nouvelle en-tête (« header »). Le tunnel est créé entre deux passerelles, comme deux routeurs ou bien un routeur et un pare-feu. L’authentification est réalisée aux deux extrémités de la connexion, grâce à une en-tête d’authentification. Le mode transport chiffre uniquement la charge utile du paquet IP ; il ne chiffre pas et ne modifie pas le header.
Le mode tunnel est généralement plus sûr que le mode transport, car le chiffrement ne porte pas uniquement sur la charge utile, mais sur l’ensemble du paquet IP.
Quels sont les protocoles utilisés par les VPN IPsec ?
Les VPN IPsec protègent votre connexion internet en assurant la confidentialité, l’authentification, l’intégrité et l’anti-rejeu des données, grâce à leurs protocoles de sécurité. Comme nous l’avons dit plus haut, IPsec comprend plusieurs protocoles. Pour mieux comprendre comment ça marche, nous allons passer en revue les différents protocoles utilisés par IPsec.
1. L’en-tête d’authentification (AH)
L’en-tête d’authentification, ou Authentication Header (AH), a pour mission d’authentifier les paquets de données IP. Il s’assure que les paquets de données proviennent bien de l’autre bout du tunnel. Il utilise le hachage pour garantir l’intégrité des données, en s’assurant que personne n’a modifié les données. L’en-tête d’authentification peut également protéger contre les attaques par rejeu.
2. Encapsulating Security Protocol (ESP)
ESP protège les données dans le tunnel en chiffrant à la fois l’en-tête IP et la charge utile du paquet. Il ajoute authentification, intégrité, confidentialité et anti-rejeu au paquet IP. Il encapsule également le paquet IP original en ajoutant son en-tête et sa fin de paquet au paquet de données. Le mode de transport IPsec empêche ESP d’encapsuler l’en-tête IP. Le chiffrement est uniquement effectué sur le segment de la couche de transport et sur la charge utile.
3. Association de sécurité (SA)
La SA (Security Association) n’est pas réellement un protocole, mais une façon de spécifier comment les extrémités du tunnel IPsec établissent une connexion sécurisée. Elle définit les services de sécurité qui protègent le tunnel. Une association de sécurité nécessite un indice de paramètre de sécurité (SPI, ou Security Parameter Index), une adresse IP de destination et un protocole IPsec, qui peut être AH ou ESP. Les associations de sécurité fonctionnent dans un mode de communication simplex, qui envoie l’information dans un seul sens. Par conséquent, il faut deux associations de sécurité (sortante et entrante) pour établir un tunnel VPN IPsec par passerelle. IPsec utilise le protocole IKE (Internet Key Exchange) pour établir des associations de sécurité entre deux extrémités du tunnel.
Comment fonctionnent les VPN IPsec ?
Voici les principaux processus sur lesquels reposent les VPN IPsec :
1. L’échange de clés
La création d’un tunnel IPsec entre deux points de terminaison est rendue possible par le protocole IKE, ou « Internet Key Exchange Protocol ».
IKE s’effectue en deux phases : la phase 1 et la phase 2. Dans la phase 1, les deux extrémités du futur tunnel utilisent des associations de sécurité pour déterminer quels protocoles d’authentification, de chiffrement et de hachage elles utiliseront. Une ISAKMP (Internet Security Association and Key Management Protocol) est ainsi mise en place. La phase 1 sert à établir une relation de confiance entre les deux points de terminaisons, avant de créer le tunnel VPN en toute sécurité dans la phase 2.
Quand l’échange entre les passerelles VPN a réussi, la phase 2 peut commencer. Dans cette phase, le protocole gère les associations de sécurité IPsec : mode d’encapsulation et algorithmes de chiffrement et d’authentification. Une fois la phase 2 réussie, un tunnel VPN IPsec est créé, et les données peuvent circuler d’un point de terminaison à l’autre.
2. En-têtes et postambules de paquets
IP répartit les données qui passent par le réseau en paquets de données. Ceux-ci sont composés de l’en-tête IP, des données utiles et d’autres informations sur les données. Selon le mode de fonctionnement choisi, IPsec ajoute différents en-têtes et postambules contenant des informations sur l’authentification et le chiffrement des paquets.
3. Authentification et chiffrement
IPsec met en œuvre l’authentification et le chiffrement en utilisant AH et ESP. AH s’occupe de l’authentification, et ESP du chiffrement.
4. Transmission
Grâce à un protocole de transport, les paquets de données IPsec peuvent maintenant se déplacer à travers les réseaux jusqu’à leur destination finale.
5. Déchiffrement
Le déchiffrement se produit une fois que les paquets ont atteint leur destination finale. Les applications peuvent alors utiliser les données comme bon leur semble.
Les avantages des VPN avec IPsec
IPsec offre les avantages suivants :
1. La sécurité au niveau de la couche réseau
Comme il opère au niveau de la couche réseau, IPsec garantit que toutes les communications réseau sont chiffrées et sécurisées. Tout le trafic internet qui passe par le tunnel est sécurisé. Vos informations personnelles sont à l’abri de toute forme d’espionnage. IPsec surveille en effet le trafic qui passe par le réseau. Chaque paquet IP est chiffré. Cela renforce la sécurité du VPN IPsec et offre une plus grande flexibilité.
2. La confidentialité
IPsec est réputé pour sa confidentialité. Lors de tout transfert de données, IPsec utilise des clés de chiffrement publiques pour transmettre les informations en toute confidentialité. Ces clés garantissent que les données proviennent bien du bon endroit. Elles rendent le clonage de paquets de données extrêmement difficile. Lorsque ces clés sont protégées, vos données le sont aussi.
3. Pas besoin de configurer les applications
Comme il fonctionne au niveau de la couche réseau, IPsec est transparent pour les applications. Cela signifie que vous n’avez pas à modifier la configuration de vos applications pour l’utiliser. Il suffit de l’activer, et ça marche : il n’y a pas besoin de changer les paramètres. Le seul changement se situe au niveau du système d’exploitation, parce qu’IPsec fonctionne au niveau de la pile IP. Vous n’avez pas à vous soucier du type d’application que vous utilisez, contrairement à SSL/TLS qui nécessitent de paramétrer les applications.
Les inconvénients du protocole IPsec
Les VPN avec IPsec ont des avantages, mais aussi des inconvénients. Voici leurs gros points faibles :
1. Un client VPN dédié
Pour utiliser un VPN IPsec, il faut un logiciel ou client VPN spécial, installé sur tous les appareils que vous souhaitez utiliser. On ne peut pas accéder aux réseaux des entreprises sans avoir installé un client VPN spécifique. Imaginons, par exemple, que vous travaillez à domicile et que vous souhaitez accéder à vos fichiers de travail. Le problème, c’est que vous avez oublié votre ordinateur professionnel au bureau. Dans ce cas, vous ne pourrez pas vous servir de n’importe quel VPN pour accéder à vos documents. Vous devrez télécharger et installer le client VPN utilisé par votre entreprise. Et si ce logiciel a un problème, c’est très gênant, car l’entreprise en dépend.
2. De trop nombreux accès
Un des inconvénients majeurs d’IPsec est le fait qu’il donne accès à l’ensemble du sous-réseau. Par exemple, en accédant au réseau de votre entreprise depuis votre domicile, celui-ci peut accéder à tous les appareils de votre réseau. En l’absence de mesures de sécurité fortes, les vulnérabilités de votre réseau domestique peuvent infecter le réseau de votre entreprise.
3. La compatibilité
En fonction de votre système d’exploitation, vous pouvez avoir besoin de différentes versions de l’application VPN IPsec. Il est en effet fort possible que celle-ci ne soit pas compatible avec tous les systèmes d’exploitation.
IPsec a d’autres points faibles : il peut entrainer une surcharge du processeur, et utilise parfois des algorithmes cassés.
Le mot de la fin
Les VPN IPsec garantissent confidentialité, intégrité et authentification quand vous surfez sur le web ou quand vous accédez à l’intranet de votre entreprise. Ce protocole confère à un VPN un niveau de sécurité élevé, notamment grâce à un chiffrement très robuste. Configurer un VPN IPsec peut être compliqué mais cela en vaut la peine, grâce au gain de sécurité qu’il permet. Comme tous les autres protocoles VPN, IPsec a des défauts et des points faibles. Ceux-ci ne l’ont toutefois pas empêché de devenir un des meilleurs protocoles de sécurisation de transfert de données sur internet.