Sécurité des VPN : Est-ce que votre VPN peut être piraté ?

C’est quoi un VPN ?

Un Virtual Private Network (VPN) vous offre la possibilité une connexion sécurisée en utilisant une sorte de tunnel vers un autre réseau ou appareil sur internet.

Si vous passez par ce tunnel pour aller sur le web alors il est quasi impossible pour n’importe qui, incluant votre FAI, de vous espionner.

La sécurité des VPN vous permet aussi de cacher votre localisation géographique indépendamment du pays où vous habitez et de déverrouiller les sites qui utilisent un blocage géographique.

Un VPN garantit la l’aspect privé de vos données et leur intégrité (on ne peut pas modifier vos données) quand vous transmettez des messages sur internet.

La création d’une connexion VPN est un jeu d’enfant avec des fournisseurs comme Hidemyass, VyprVPN, NordVPNfournisseurs qui facilitent considérablement le processus.

Une fois que vous avez un abonnement et le logiciel VPN, vous vous connectez d’abord à votre FAI et ensuite, vous lancez la connexion VPN.

Le serveur de VPN accède au site web que vous voulez visiter et le retourne à l’utilisateur via le tunnel sécurisé. Cela permet de protéger les données de l’utilisateur sur internet.

A digital render of a circuit board with a stylized glowing lock in the centre. The lock is in a locked position and the circuit is situated on a reflective surface with random encoded text. The image can represent abstract concepts in the digital world, like encryption, information accessibility and security.

Comment fonctionne le chiffrement d’un VPN ?

Le protocole VPN est une panoplie d’outils pour l’envoi, la réception et le chiffrement des données. Une grande partie des entreprises de VPN proposent plusieurs protocoles VPN.

Les protocoles VPNs les plus populaires sont  le PPTP pour le Point Tunnelling Protocol, le L2TP pour Layer Two Tunnelling Protocol qui est plus sécurisé que le PPTP si vous l’utilisez avec le IPSec pour Internet Protocol Security et enfin, le meilleur protocole VPN est l’OpenVPN.

Pour comprendre la sécurité des VPN, on a besoin de détailler le processus de chiffrement. Le Réseau Privé Virtuel utilise une technique appelé chiffrement qui va transformer vos informations lisibles (en texte clair) en un charabia incompréhensible pour quelqu’un qui tenterait de les intercepter quand elles sont transmises sur internet.

Un Cipher, qu’on connaît aussi comme un algorithme, détermine comment le chiffrement et le déchiffrement va se mettre en place avec les protocoles VPN. Les protocoles VPN utilisent ces algorithmes de chiffrement sur vos données pour protéger votre anonymat et votre vie privée.

Les protocoles de VPN, qui sont disponibles sur le marché, possèdent ses avantages et inconvénients selon l’algorithme de chiffrement qu’il utilise.

Certains fournisseur comme Hidemyass, VyprVPN, NordVPN permet de choisir entre différents ciphers. Le Cipher est classé en 3 catégories, à savoir, symétrique, asymétrique ou un algorithme de Hashing.

Un chiffrement symétrique utilise ce qu’on appelle une première clé pour chiffrer et une seconde pour déverouiller (déchiffrer).

Un chiffrement en mode asymétrique utilise 2 clés, la première pour chiffrer et l’autre pour déchiffrer les données. Ci-dessous, on propose une comparaison des chiffrements symétriques et asymétriques.

  • Clés
    • Symétrique : Une clé est répartie par plusieurs entités
    • Asymétrique : Une première entité possède la clé publique et la seconde entité possède la clé privée
  • Échange de clés
    • Symétrique : Va utiliser une approche sécurisée pour l’envoi et la réception des clés
    • Asymétrique : Vous avez une clé qui est privée et qui est uniquement connue du propriétaire et la seconde va servir d’adresse public,
  • Vitesse
    • Symétrique : Plus rapide, mais c’est moins complexe
    • Asymétrique : Plus complexe, mais beaucoup plus lent
  • Robustesse
    • Symétrique : Robuste, mais on peut le casser
    • Asymétrique : Généralement très difficile à casser
  • Flexibilité
    • Symétrique : Une bonne flexibilité
    • Asymétrique : Une flexibilité maximale
  • Utilisation
    • Symétrique : Un chiffrement pour tout
    • Asymétrique : Concerne uniquement la répartition des clés et les signatures
  • Sécurité offerte par le service
    • Symétrique : La confidentialité
    • Asymétrique : La confidentialité, l’authentification et la non-révocation
  • Exemples
    • Symétrique : DES, AES, Triple DES, IDEA, Blowfish, RC4, RSA, RC5, RC6
    • Asymétrique : RSA, DSA, ECC et Diffie-Hellman

Le chiffrement asymétrique est la solution pour des limitations inhérentes au chiffrement symétrique. Martin Hellman et Whitfield Diffie ont été les premiers à proposer des solutions à ces limitations en proposant le chiffrement Diffie-Hellman.

Ce dernier est essentiel pour la sécurité des VPN et de nombreux protocoles VPN telle que le SSH, le HTTPS, l’OpenVPN et l’IPsec.

Cet algorithme permet à 2 entités, qui ne se connaissent pas, de gérer la négociation d’une clé secrète même quand ils se connectent sur des transmissions non sécurisées comme c’est le cas sur internet,

Le Hachage (hashing) est un chiffrement à sens unique (irréversible) qu’on va utiliser pour garantir l’intégrité et la transmission des données.

Une grande partie des VPN comme ceux de Hidemyass, VyprVPN, NordVPN utilisent des outils de hachage pour assurer l’authenticité des informations envoyées via le VPN. On peut citer le SHA-1, le MD5 ou encore le SHA-2. On estime que le SHA-1 et le MD5 ne sont pas sécurisés.

On le voit, on peut pirater un VPN, mais cela reste très difficile. Et surtout, vous avez beaucoup plus de risques de vous faire pirater sans un VPN.

The concept of an encrypted Internet connection.

Est-ce que quelqu’un peut pirater un VPN ?

Le VPN reste l’un des meilleurs moyens pour protéger sa vie privée en ligne. Cependant, on doit comprendre qu’on peut pirater n’importe qui, notamment si vous êtes une très belle cible et que vos ennemis aient suffisamment de ressources, de temps et de fonds.

La bonne nouvelle est que la plupart des gens ne sont pas les cibles à haut risque pour le gouvernement et donc, un VPN standard comme celui de Hidemyass, VyprVPN, NordVPN va les protéger de manière optimale.

Si on veut pirater une connexion VPN, il faudra soit casser le chiffrement en exploitant des failles connues ou en volant la clé via le phishing.

Les attaques contre le chiffrement sont utilisées par les pirates pour décoder le charabia incompréhensible en un texte lisible sans la clé.

Mais le fait de casser un chiffrement nécessite une grande puissance de calcul et beaucoup de temps, en fait, cela peut prendre des dizaines d’années pour compromettre la sécurité des VPN.

De ce fait, les pirates se heurtent à un mur infranchissable quand ils tentent d’utiliser une attaque par brute force et ils préfèrent voler les clés.

C’est ce que font les agences comme la NSA. Ils n’utilisent pas les mathématiques pour décocher le chiffrement, mais des astuces techniques, de la puissance de calcul, des injonctions de justice et des backdoors qui sont des entrées cachées dans les logiciels.

Le Backdoor est leur principale arme. Vous pouvez avoir une maison avec des portes et des fenêtres blindées, mais c’est inutile si l’architecte de la maison a laissé des trappes cachées pour permettre aux voleurs d’entrer.

Les failles existantes sur le VPN

Des chercheurs de sécurité et des lanceurs d’alerte comme Edward Snowden ont révélé que la NSA avait cassé le chiffrement qui sécurise la majorité du trafic sur internet incluant les VPN.

Les documents de Snowden ont montré que l’infrastructure pour compromettre la sécurité des VPN implique l’interception du trafic chiffré pour le passer à des supercalculateurs qui révèlent ensuite la clé.

Nadia Heninger et Alex Halderman, des chercheurs en sécurité, ont également présenté des preuves qui suggèrent que la NSA peut déchiffrer le trafic sous SSH, HTTPS et VPN dans une faille nommée LogJam sur des implémentations de l’algorithme de Diffie-Hellman.

La faille se base sur l’exploitation d’une faille dans l’implémentation de cet algorithme. Et la principale cause est que le programme de chiffrement utilisé un nombre premier dans une forme normalisée dans son intégration.

Selon les chercheurs, il faudrait environ 1 an et 100 millions de dollars pour construire un ordinateur suffisamment puissance pour casser un seul nombre premier basé sur le chiffrement Diffie-Hellman en 1024 bits. La NSA est capable de financer un tel ordinateur.

Malheureusement, le problème est que seuls quelques nombres premiers (inférieurs à 1024 bits) sont fréquemment utilisés dans les logiciels qu’on utilise comme les VPN.

Et donc, le piratage est beaucoup plus facile. Selon Bruce Schneier, un célèbre chercheur de sécurité informatique, les mathématiques sont robustes, mais ils n’ont pas d’agence. Le code en a une et ce code a été perverti.

Est-ce que vous devez toujours utiliser un VPN ?

Pour les fournisseurs de services, il est recommandé des clés de chiffrement de Diffie-Hellman en 2048 bits ou supérieur et ils doivent également publier un guide pour son déploiement en TLS.

L’IETF (Internet Engineering Task Force) recommande également d’utiliser des protocoles qui se basent sur les nombres premiers les plus longs.

Les agences gouvernementales peuvent craquer des clés de Diffie-Hellman jusqu’à 1024 bits (soit une longueur de 309 chiffres). Mais les clés en 2048 bits  vont leur donner une sacrée migraine signifiant que les agences devront attendre des décennies avant de pouvoir les casser.

Ces recommandations sont pour les fournisseurs et les entreprises. Mais pour les utilisateurs lambda, les VPN actuels comme ceux de Hidemyass, VyprVPN, NordVPN fournissent une excellente protection, surtout s’ils n’utilisent aucun outil de chiffrement de donnée.

Même si certains protocoles possèdent des failles, l’objectif n’est pas de viser une sécurité absolue, mais que tout le monde puisse bénéficier d’une certaine sécurité des VPN pour que les agences comme la NSA sachent qu’il leur sera difficile d’espionner tout le monde en même temps.

Cependant, il y a des VPN que vous devez éviter. Par exemple, les protocoles comme PPTP sont à proscrire, mais également le SHA1 et le MD5. Privilégiez toujours l’OpenVPN et ce dernier ne cesse de s’améliorer sur le Desktop ou le mobile.

À la limite, vous pouvez utiliser le protocole L2TP/IPSec pour des connexions non critiques. Votre logiciel VPN doit toujours afficher le protocole qu’il utilise et si c’est nécessaire, contactez votre fournisseur VPN.

Le VPN est votre ami, les lois mathématiques vous protégeront toujours contre les lois des gouvernements qui veulent vous espionner.

Faites confiance aux mathématiques, utilisez constamment le VPN que ce soit chez vous ou dans vos déplacements. Sécurisez au maximum vos points d’entrée et vous verrez que vous serez protégé même si on découvre des failles dans les VPN à l’avenir.