Les VPN peuvent-ils être piratés ? Analyse en profondeur
Qu’est-ce qu’un VPN ?
Un réseau privé virtuel (VPN, ou Virtual Private Network) vous permet de créer un tunnel virtuel sécurisé via Internet vers un autre réseau ou périphérique. Si vous accédez à Internet à partir de ce tunnel virtuel, il est difficile pour quiconque - y compris votre FAI (Fournisseur d’accès à Internet) - d'espionner vos activités de navigation.
Les VPN vous aident également à dissimuler votre position n'importe où dans le monde et à débloquer des services restreints géographiquement. Un VPN protège la confidentialité (les données restent secrètes) et l'intégrité (les données restent inaltérées) des messages qui circulent sur l'Internet public.
L'établissement de l'une de ces connexions sécurisées est relativement facile. L'utilisateur se connecte d'abord à Internet via un FAI, puis initie une connexion VPN avec le serveur VPN par le biais d'un logiciel client (installé localement). Le serveur VPN récupère les pages Web demandées et les renvoie à l'utilisateur via le tunnel sécurisé, conservant ainsi la sécurité et la confidentialité des données de l'utilisateur sur Internet.
Comment fonctionne le cryptage VPN ?
Le protocole VPN est un ensemble de règles convenu pour la transmission et le cryptage des données. La plupart des fournisseurs VPN offrent aux utilisateurs la possibilité de choisir parmi plusieurs protocoles VPN. Certains des protocoles les plus utilisés sont : Point to Point Tunneling Protocol (PPTP), Layer Two Tunneling Protocol (L2TP), Internet Protocol Security (IPSec) et OpenVPN (SSL/TLS).
Afin de bien comprendre la façon dont un VPN protège votre confidentialité, il convient d’approfondir la science du cryptage. Un VPN utilise une technique appelée « cryptage » pour rendre vos données lisibles (message en clair ou plaintext) complètement illisibles (texte chiffré, crypté ou encodé) pour toute personne les interceptant lors de son parcours sur Internet. Un algorithme ou un chiffrement dicte le déroulement du processus de chiffrement et de décryptage au sein des protocoles VPN. Les protocoles VPN utilisent ces algorithmes cryptographiques pour masquer vos données afin de conserver vos activités de navigation privées et confidentielles.
Chacun de ces protocoles VPN présente des forces et faiblesses en fonction de son algorithme cryptographique. Certains fournisseurs VPN offrent aux utilisateurs la possibilité de choisir parmi différents chiffrements. L'algorithme, ou le chiffrement, peut se baser sur l'une de ces trois classifications : symétrique, asymétrique et algorithme de hachage.
Le cryptage symétrique utilise une clé pour verrouiller (crypter) et une autre pour déverrouiller (décrypter) les données. Le chiffrement asymétrique utilise deux clés, l'une pour le verrouillage (cryptage) et l'autre pour le déverrouillage (décryptage) des données. Le tableau ci-dessous présente une comparaison récapitulative entre le cryptage symétrique et asymétrique.
Attribut | Symétrique | Asymétrique |
Clés | Une clé est partagée entre plusieurs entités | Une entité a la clé publique, l'autre a la clé privée |
Échange de clés | Nécessite un mécanisme sécurisé pour envoyer et recevoir des clés | La clé privée est gardée secrète par le propriétaire tandis que la clé publique est accessible à tous |
Vitesse | Moins complexe et plus rapide | Plus complexe et plus lent |
Force | Moins difficile à décrypter | Plus difficile à décrypter |
Flexibilité | Bonne flexibilité | Meilleure flexibilité |
Utilisation | Cryptage en masse, c'est-à-dire de la totalité | Uniquement la distribution des clés et les signatures numériques |
Service de sécurité offert | Confidentialité | Confidentialité, authentification et non-répudiation |
Exemples | DES, Tipple DES, AES, Blowfish, IDEA, RC4, RC5 et RC6 | RSA, ECC, DSA et Diffie-Hellman |
La cryptographie asymétrique est la solution aux limitations inhérentes à la cryptographie symétrique (comme le montre le tableau ci-dessus). Whitfield Diffie et Martin Hellman faisaient partie du premier groupe qui tenta de remédier à ces lacunes en développant un algorithme asymétrique appelé Diffie-Hellman.
Il s’agit d’un populaire algorithme cryptographique essentiel pour de nombreux protocoles VPN, y compris HTTPS, SSH, IPsec et OpenVPN. L'algorithme permet à deux parties qui ne se sont jamais rencontrées de négocier une clé secrète même lorsqu'elles communiquent sur un canal public non sécurisé tel qu'Internet.
Le hachage est un cryptage unidirectionnel (irréversible) utilisé pour protéger l'intégrité des données transmises. La plupart des protocoles VPN utilisent des algorithmes de hachage pour vérifier l'authenticité des messages envoyés via le VPN. Les exemples incluent MD5, SHA-1 et SHA-2. MD5 et SHA-1 ne sont plus considérés comme sécurisés.
Les VPN peuvent être piratés, mais c’est une tâche difficile. Les possibilités d'être piraté sans VPN sont considérablement plus élevées qu’avec un VPN.
Quelqu’un peut-il réellement pirater un VPN ?
Les VPN restent l'un des moyens les plus efficaces de conserver la confidentialité en ligne. Toutefois, il est important de noter que pratiquement n’importe quoi peut être piraté, en particulier si vous représentez une cible de grande valeur et que votre adversaire dispose de suffisamment de temps, de fonds et de ressources. La bonne nouvelle est que la plupart des utilisateurs ne se trouvent pas dans la catégorie « grande valeur », et sont donc peu susceptibles d'être remarqués.
Le piratage d'une connexion VPN implique soit de décrypter le chiffrement en profitant des vulnérabilités connues, soit de dérober la clé par des moyens malhonnêtes. Les attaques cryptographiques sont utilisées par les pirates et les cryptanalystes pour récupérer des messages en clair (plaintext) à partir de leurs versions cryptées sans la clé. Cependant, le décryptage requiert un niveau d’informatique élevé et beaucoup de temps, parfois jusqu’à plusieurs années.
La plupart des efforts sont généralement consacrés au vol des clés, ce qui est bien plus facile que le décryptage. C'est ce que font généralement les agences d'espionnage lorsqu'elles sont confrontées à de tels défis. Leur succès n'est pas attribuable aux mathématiques, mais à une combinaison de prouesses techniques, de capacités informatiques, de tricherie, de décisions judiciaires et de persuasion en coulisse (illégale). Les mathématiques derrière le cryptage sont incroyablement puissantes et complexes en termes d’informatique.
Les vulnérabilités et exploitations VPN existantes
Les dernières révélations du dénonciateur américain Edward Snowden et des chercheurs en sécurité ont prouvé que l'agence d'espionnage américaine (NSA) avait réussi à décrypter le chiffrement du gigantesque volume potentiel de trafic Internet, y compris les VPN. Les documents de Snowden révèlent que l'infrastructure de décryptage VPN de la NSA consiste à intercepter le trafic crypté et à transmettre certaines données à des ordinateurs puissants, qui renvoient ensuite la clé.
Les chercheurs en sécurité Alex Halderman et Nadia Heninger ont également présenté une recherche convaincante suggérant que la NSA a en effet développé la capacité de déchiffrer un grand nombre de HTTPS, SSH et de trafic VPN dans une attaque connue sous le nom de Logjam sur les implémentations communes de l'algorithme Diffie-Hellman.
Leur succès était basé sur l'exploitation d’une faiblesse dans l'implémentation de l'algorithme Diffie-Hellman. La cause principale de cette faiblesse réside dans le fait que le logiciel de cryptage utilise un nombre premier standardisé dans son implémentation. Les chercheurs ont estimé qu'il faudrait environ un an et quelques centaines de millions de dollars pour concevoir un ordinateur puissant capable de décrypter un seul premier Diffie-Hellman de 1024 bit (un montant parfaitement couvert par le budget annuel de la NSA).
Malheureusement, seuls quelques nombres premiers (moins de 1024 bits) sont couramment utilisés dans des applications de cryptage réelles telles que les VPN, ce qui les rend encore plus facile à décrypter. Selon Bruce Schneier, « les mathématiques sont bonnes, mais les maths n'ont pas d'agence. Le code a agence, et le code a été corrompu. »
Devez-vous tout de même utiliser un VPN ?
En ce qui concerne les fournisseurs de services, l'équipe de recherche recommande l'utilisation de clés Diffie-Hellman de 2048 bits ou plus, et a également publié un guide sur son déploiement pour TLS. L'IETF (Internet Engineering Task Force, ou Groupe de travail en ingénierie Internet) recommande également l'utilisation des dernières révisions de protocoles qui requièrent des nombres premiers plus longs.
Les espions sont capables de décrypter des nombres premiers couramment utilisés dans les clés Diffie-Hellman jusqu'à 1024 bits (environ 309 chiffres) de long. Les premiers dans les clés de 2048 bits vont représenter un vrai casse-tête pour eux, ce qui signifie que les espions ne seront pas en mesure de décrypter les données sécurisées utilisant ces clés pendant un bon bout de temps.
En ce qui concerne les utilisateurs, s'il est vrai que les agences d'espionnage attaquent les VPN et autres protocoles de chiffrement utilisés pour cibler le trafic chiffré, vous bénéficiez tout de même d’une bien meilleure protection que si vous communiquiez en messages en clair. Bien que votre ordinateur puisse être compromis, cela leur coûterait une dépense considérable de temps et d'argent. Moins vous vous faites remarquer, plus vous êtes en sécurité.
Selon Edward Snowden, « Le cryptage fonctionne. Correctement mis en place, les systèmes cryptographiques solides sont l'une des rares choses sur lesquelles vous « pouvez compter. » Dans la mesure du possible, évitez les VPN basés principalement sur des algorithmes de hachage MD5 ou SHA-1 et des protocoles PPTP ou L2TP/IPSec. Privilégiez ceux qui supportent les versions actuelles d'OpenVPN (considéré comme extrêmement sécurisé) et SHA-2. En cas de doute sur l'algorithme utilisé par votre VPN, consultez la documentation VPN ou contactez le support technique.
Les VPN sont vos amis. Faites confiance au cryptage, faites confiance aux mathématiques. Optimisez leur utilisation et essayez de vous assurer que votre extrémité est également protégée. Vous pourrez ainsi rester en sécurité, même face à la répression contre les connexions cryptées.
Dites-nous comment améliorer cet article dans les commentaires. Votre avis nous importe !