On me pose souvent la question suivante : « Les réseaux privés virtuels (RPV ou VPN en anglais) sont-ils sécuritaires pour les entreprises? » La réponse courte : oui! Maintenant, voici la réponse longue :
Les VPN utilisent le chiffrement pour créer une connexion sécurisée sur une infrastructure internet non sécurisée. Si les VPN offrent une sécurité et un anonymat solides, ils ne sont pas à toute épreuve. Tout comme les mots de passe, ils peuvent être piratés. Cependant, il y a certaines choses que toutes les organisations devraient faire pour accroître leur protection. Voici 10 éléments à considérer :
1. Utilisez l'authentification à 2 facteurs/multifacteur
Il arrive qu’un mot de passe soit compromis ou que les certificats des clients du VPN et les témoins d'authentification soient utilisés pour contourner l'authentification. Dans ces cas, l’authentification à deux facteurs (A2F) ou multifacteur (MFA) sur votre VPN peut être votre dernière et meilleure ligne de défense. Bien sûr, il va sans dire (mais je le mentionne quand même juste au cas où) qu'il est essentiel de mettre en place une bonne politique de mots de passe dans votre organisation.
2. Utilisez le protocole OpenVPN
Les VPN prennent en charge différents protocoles qui offrent différents niveaux de sécurité. Les trois protocoles les plus courants sont PPTP, L2TP et OpenVPN :
-
Le PPTP est le protocole le plus faible. Il utilise un chiffrement de 128 bits, et le processus d'authentification et de connexion peut être intercepté par des pirates informatiques - ce qui entraînerait le décryptage et la compromission des données. Le PPTP est cependant l'un des protocoles les plus rapides, justement parce qu'il est le moins chiffré.
-
Le protocole L2TP est plus sûr que le PPTP, mais il est assez lent et peut augmenter considérablement les coûts d'exploitation.
-
OpenVPN offre le plus haut niveau de sécurité et de confidentialité. Il est relativement rapide et la récupération après une perte de connexion se fait aussi rapidement. Nous recommandons fortement aux organisations d'utiliser uniquement une solution VPN qui prend en charge OpenVPN.
3. Bloquez les fuites de DNS
Une fuite de DNS est une faille de sécurité qui permet aux requêtes DNS d'être révélées aux serveurs DNS des fournisseurs d'accès à Internet, même si le service VPN tente de les dissimuler. Si ça se produit dans votre organisation, contactez votre fournisseur de VPN et voyez s'il offre une protection contre les fuites de DNS. Si ce n'est pas le cas, il est probablement nécessaire de commencer à chercher une autre solution.
4. Utilisez un bouton d’arrêt
Dans le cas peu probable où votre connexion VPN tomberait en panne, vous risqueriez d'utiliser une connexion ordinaire non protégée gérée par votre fournisseur d'accès Internet. Un bouton d’arrêt virtuel (mieux connu sous le nom Kill Switch) permet d'éviter ça en fermant les applications et en empêchant l'accès aux sites Web dès que la connexion est perdue.
5. Utilisez le verrouillage du réseau
Si votre réseau Wi-Fi est interrompu, un verrou de réseau bloque automatiquement l'accès de votre ordinateur à l'Internet. Ça permet de sécuriser et de protéger les informations pendant la reconfiguration du VPN.
6. Bloquez les fuites d'IPv6
IPv6 est une version du protocole Internet qui vous permet d'accéder à plus d'adresses Internet qu'IPv4. Le problème avec l'IPv6 est qu'il fonctionne en dehors du territoire du VPN et qu'un pirate informatique pourrait l'utiliser pour voir qui vous êtes. Je vous recommande de faire un test rapide ici pour vérifier si vous êtes en sécurité. Sinon, vous pouvez désactiver IPv6 manuellement en exécutant la commande suivante sous Windows :
netsh interface teredo set state disabled
7. Bloquez les fuites de WebRTC
WebRTC (Web Real-Time Communication) est un projet à code source ouvert qui permet à deux appareils de communiquer entre eux en diffusant leurs adresses IP respectives. Il est utilisé par la plupart des navigateurs (par exemple Chrome, Firefox, Safari, Edge et les navigateurs mobiles pour Android et iOS) pour diverses applications d'appels vocaux et vidéo (comme Google Hangouts, Skype for Web, Discord, etc.).
Le problème? Chaque fois qu'un utilisateur se connecte à un site dont le WebRTC est activé, celui-ci peut transmettre des données en dehors du tunnel chiffré du VPN. Ça permet de connaître l'adresse IP réelle de l'utilisateur et sa localisation. Comment pouvez-vous savoir si ça se produit? Faites ce test : désactivez votre VPN et connectez-vous à un site qui utilise le WebRTC. Regardez vos informations de connexion et notez l'adresse IP. Ensuite, lancez votre VPN. Si votre adresse IP change pour celle du VPN ou disparaît, il n'y a pas de fuite de WebRTC. Si votre adresse IP reste la même, alors il y a une fuite.
Dans ce cas, la meilleure solution est de choisir un autre service VPN qui bloque le trafic WebRTC pour qu'il ne soit pas transmis en dehors du tunnel VPN chiffré. Si le changement de VPN n'est pas pratique ou financièrement faisable à l'heure actuelle, vous pouvez le bloquer manuellement dans votre navigateur. Pour les étapes et les captures d'écran sur la façon de procéder, je vous recommande cet excellent article sur Comparitech.com.
8. Limitez l’accès au VPN
Limiter l'accès au VPN à des utilisateurs autorisés spécifiques, et uniquement pour la durée requise. N'oubliez pas qu'une connexion VPN est une porte vers votre réseau local.
9. Utilisez un Intranet ou un Extranet au lieu d'un VPN
Il peut être prudent de permettre aux utilisateurs d'accéder à certains documents via un site web HTTPS sécurisé avec une authentification A2F ou MFA plutôt que via un VPN. Dans cette configuration, une violation n'exposera que des documents sélectionnés sur un seul serveur comparativement à l'ensemble du réseau.
10. Sécurisez les réseaux sans fil distants
Les routeurs sans fil sont étonnamment peu sûrs par défaut et ces vulnérabilités peuvent nuire à la sécurité des VPN. Il y a beaucoup de choses que les utilisateurs finaux peuvent faire (ou qui peuvent être faites en leur nom par l’équipe TI) pour corriger le tir. Plutôt que de toutes les énumérer ici, je vous encourage à lire et à partager notre article « 9 conseils pour rendre votre réseau sans fil domestique plus sécuritaire ». Et bien sûr, ces conseils s'appliquent également à la sécurisation des réseaux sans fil d'entreprise!
En bref
La mise en œuvre de tous les conseils ci-dessus rendra-t-elle votre VPN absolument, catégoriquement et sans équivoque impénétrable? Malheureusement, non. Cependant, ça améliorera considérablement la sécurité des données et réduira la probabilité et la gravité d'une faille. C'est pourquoi je vous invite fortement à en faire une priorité absolue.
Si vous n'êtes pas satisfait de votre VPN actuel ou si vous souhaitez explorer ce qui est disponible sur le marché, alors je vous invite à consulter notre comparaison de 8 VPN populaires. Et si vous avez d'autres conseils ou astuces pour sécuriser les VPN, commentez ci-dessous pour qu’on puisse tous bénéficier de vos connaissances et de votre expérience!