Protocoles VPN : Lequel Favoriser ?

Les protocoles VPN peuvent sembler difficiles à comprendre, mais ne vous en faites pas, tout est expliqué en détail dans ce guide. Apprenez tout sur les avantages et les inconvénients des protocoles VPN PPTP, L2TP, OpenVPN, SSTP et IKEv2 !

À présent, il est clair que beaucoup des technologies de cryptage des VPNs sont certifiées et développées par l’Institut Nationale des Standards et de la Technologie.

Mais après les révélations choquantes d’Edward Snowden, on sait maintenant que la NSA travaille depuis des années pour renverser et cracker ces technologies. Une question surgit alors : Ces technologies sont-elles réellement sûres ?

Commençons par discuter des principaux protocoles VPN et comment affectent-ils les utilisateurs. Suivant cela, parlons d’abord des concepts de la cryptographie puis de l’impact des attaques de la NSA sur les millions d’utilisateurs de VPN dans le monde.

Cela est fortement utile pour les clients de NordVPN, Hidemyass et de VyprVPN.

PPTP OpenVPN IKEV2 L2TP SSTP
Avantages
  • Rapide.
  • Client intégré à presque toutes les plateformes.
  • Facile à mettre en place.
  • A la possibilité d’outrepasser les pare-feux.
  • Extrêmement configurable.
  • Open Source.
  • Compatible avec une variété d’algorithmes de cryptage.
  • Hautement sécurisé.
  • Extrêmement sécurisé. Compatible avec une variété d’algorithmes de cryptage comme 3DES, AES, AES 256.
  • Disponible avec un support pour les appareils BlackBerry.
  • Stable, surtout après une perte de connexion ou après un changement de réseau.
  • Facile à configurer depuis la plateforme des utilisateurs.
  • Relativement plus rapide à PPTP, SSTP et L2TP.
  • Considéré comme sécurisé.
  • Disponible sur tous les appareils modernes et systèmes d’opération.
  • Facile à configurer.
  • A la possibilité d’outrepasser la plupart des pare-feux.
  • Le niveau de sécurité dépend des algorithmes de chiffrement, mais il est la plupart du temps sûr.
  • Entièrement intégré à Windows.
  • Support Microsoft.
Inconvénients
  • Compromis par la NSA.
  • N’est pas totalement sûr.
  • Peut être un tant soit peu difficile à configurer.
  • A besoin de logiciels tiers.
  • Le logiciel aurait besoin d’amélioration pour ses versions mobiles.
  • Disponible sur peu de plateformes.
  • Le port UDP 500 utilisé est facile à bloquer comparé aux solutions basées sur le SSL comme les protocoles VPN que sont le SSTP ou l’OpenVPN.
  • Implémentation non-open source.
  • Installer IKEv2 sur le serveur est ardu, ce qui pourrait causer quelques problèmes.
  • Moins rapide qu’OpenVPN.
  • Pourrait être compromis par la NSA.
  • Peut être problématique si utilisé avec des pare-feux contraignants.
  • La NSA pourrait avoir délibérément affaibli le protocole.
  • Puisque le protocole VPN est la propriété de Microsoft, il ne peut être approuvé pour les backdoors.
  • Ne fonctionne que sur les plateformes Windows.

Computer security concept with a closed padlock on the keyboard

PPTP

Développé par un consortium fondé par Microsoft Corporation, le Point-à-Point tunneling crée un Réseau Privé Virtuel sur les réseaux commutés.

Il est devenu le protocole VPN standard sur tous les services depuis ses débuts. PPTP, le premier protocole VPN à être compatible avec Windows, fournit une sécurité en se basant sur une variété de méthodes d’authentification comme le MS_CHAP v2.

Chaque plateforme ou appareil compatible VPN a le PPTP disponible de façon standard. Puisque son installation est plutôt facile, il devient le choix premier pour non seulement les fournisseurs de VPN comme NordVPN, Hidemyass et VyprVPN, mais également pour les business et particuliers.

De plus, son implémentation est peu coûteuse en temps, ce qui le rend l’un des protocoles VPN les plus rapides du marché.

Toutefois, même lorsque le protocole utilise un chiffrement à 128 bits, il demeure de nombreuses vulnérabilités, avec la possibilité d’une authentification MS_CHAP v2 non encapsulée comme étant la plus grave.

En raison de cela, PPTP peut être cracké en 2 jours. Malgré que le problème a été patché par Microsoft, le géant du high-tech lui-même recommande les utilisateurs de VPN d’utiliser SSTP ou L2TP à la place.

Avec PPTP étant si peu sûr, il est fort probable que la NSA parvient à décrypter aisément le chiffrement des communications du protocole VPN PTP.

Ce qui est le plus inquiétant est en train de décrypter une taille énorme de données anciennes qui ont été chiffrées à l’époque où PPTP était considéré comme sûr par les experts de la sécurité informatique.

Avantages Inconvénients
Rapide Compromis par la NSA
Client disponible sur presque toutes les plateformes N’est pas totalement sûr
Facile à Configurer //

OpenVPN

Une ingénierie open source relativement récente, OpenVPN utilise la bibliothèque OpenSSL et protocole le SSLv3/TLSv1 et , avec un assemblage d’autres technologies, pour fournir aux utilisateurs un VPN puissant et fiable.

Le protocole est hautement configurable et marche mieux sur un port UDP, mais peut s’exécuter sur n’importe quel autre port ; ce qui rend la tâche à Google, ou autre service similaire, extrêmement difficile pour le bloquer.

Un autre point positif du protocole est que sa bibliothèque OpenSSL supporte une variété d’algorithmes cryptographiques, comme le 3DES, l’AES, Camellia, CAST-128, Blowfish, bien que Blowfish et AES sont exclusivement utilisés par les VPN.

OpenVPN arrive avec un chiffrement Blowfish à 128 bits intégré. Bien qu’il soit l’un des protocoles VPN les plus sécurisés, il a tout de même quelques faiblesses.

Lorsqu’on parle de chiffrement, AES est la plus récente technologie disponible et est considérée ‘’ L’étalon d’or ‘’ Puisqu’elle n’a aucune faiblesse connue.

La technologie AES a été adoptée par le gouvernement des États-Unis et les agences pour rendre les données sûres. Elle peut prendre en main de gros fichiers comparativement mieux que Blowfish grâce aux 128 bits de taille de bloc comparés aux maigres 64 bits de Blowfish.

Mais, les 2 sont certifiés par la INST comme étant des algorithmes de cryptage, et bien que ces problèmes que nous allons exposer plus bas ne sont pas reconnus mondialement, il est important de les connaître.

D’abord, la vitesse d’exécution du protocole OpenVPN dépend du niveau de chiffrement ; mais c’est en réalitéplus rapide qu’IPsec.

Même s’il est maintenant la connexion par défaut de la plupart des VPNs, il n’est pas encore supporté sur quelques plateformes. Toutefois, il est supporté sur beaucoup de logiciels tiers, cela inclut Android et iOS.

Venons-en à l’installation, c’est un peu délicat comparé à L2TP/IPsec et PPTP, surtout lorsque le logiciel OpenVPN de base est utilisé.

Vous devez non seulement télécharger puis installer le client, mais des fichiers de paramétrages en plus pour que tout marche à la perfection, et encore.

Plusieurs fournisseurs de VPN font face à ce problème de configuration à cause de la provision de clients VPN personnalisés.

Cependant, si l’on prend compte de toutes les données et considère l’information fournie par Snowden, il s’avère qu’OpenVPN n’a ni été fragilisé ni compromis par la NSA.

Le protocole est considéré intouchable par les attaques de la NSA grâce à ses clés de cryptage éphémères.

Sans nul doute, personne ne sait de quoi est capable la NSA, toutefois, les mathématiques et les évidences indiquent fortement qu’OpenVPN, combiné à un puissant algorithme de cryptage, est le seul protocole VPN qui peut être considéré sécurisé.

Avantages Inconvénients
Peut outrepasser la plupart des pare-feux Difficile à mettre en place
Open Source A besoin de logiciels tiers
Compatible avec une variété de méthodes de cryptage Versions mobiles ont besoin d’être améliorées
Hautement sécurisé


IKEv2

Un protocole de tunneling basé sur IPsec, Internel Key Exchange Version 2 (Échange de Clé Interne) A été développé à la fois par Cisco et Microsoft.

Construit sur les versions 7 et supérieures à la plateforme Windows. Livré avec des implémentations compatibles et développées en open source pour Linux et d’autres plateformes. Supporté également par les appareils BlackBerry.

Mentionné comme VPN Connect par Microsoft Corporation, il est parfait pour rétablir les connexions VPN automatiquement lorsque la connexion internet a été perdue temporairement.

Les utilisateurs mobiles bénéficient le plus d’IKEv2 grâce à la mobilité et le protocole Multi-Homing offerts de façon standard, ce qui rend le changement de réseaux extrêmement flexibles.

C’est également génial pour les utilisateurs BlackBerry, puisque’IKEv2 fait partie seuls peu nombreux protocoles VPN compatibles avec les appareils BlackBerry.

Bien qu’IKEv2 est disponible sur moins de plateformes comparé à IPsec, il est considéré tout autant bien en termes de stabilité, sécurité et performance.

Avantages Inconvénients
Extrêmement sécurisé. Supporte 3DES, AES, AES 256 Disponible sur peu de plateformes
Compatible BlackBerry Le port UDP 500 est facile à bloquer
Facile à installer N’est pas Open Source
Relativement plus rapide que L2TP, PPTP et SSTP Difficile à mettre en place au niveau du serveur

L2TP et L2TP/IPsec

Layer 2 Tunnel Protocol (Protocole Tunnel à Couche 2), contrairement aux autres protocoles VPN, ne fournit aucune privacité ou chiffrement du trafic qui circule dessus.

À de cela, il est typiquement implémenté avec une suite de protocoles VPN connus comme étant IPsec pour crypter les données avant la transmission, ce qui fournit aux utilisateurs de la sécurité et un respect de leurs vies privées.

Tous les appareils compatibles avec les VPNs modernes comme NordVPN, Hidemyass et VyprVPN et les systèmes d’opération ont L2TP/IPsec d’implémenté par défaut. L’installation est aussi rapide et facile que PPTP, mais il peut y avoir quelques problèmes puisque le protocole utilise le port UDP 55 ; une cible facile à bloquer par les pare-feux NAT.

Par conséquent, rediriger certains ports est obligatoire si vous utilisez en même temps un pare-feu.

Il n’y a pas de grandes vulnérabilités associées avec le cryptage IPsec, et si proprement implémenté, il reste très sécurisé. Néanmoins, les révélations d’Edward Snowden indiquent fortement que le protocole est compromis par la NSA.

John Gilmore, membre fondateur et spécialiste de la sécurité d’Elctric Frontier Foundation, déclare que le protocole est délibérément affaibli par la NSA.

De plus, depuis que le protocole LT29/Ipsec encapsule à 2 reprises les données, ce n’est pas aussi efficace que les solutions basées sur le SSL, et est donc à moindres mesures, un peu plus lentes que les autres protocoles VPN.

Avantages Inconvénients
Considéré comme étant sûr Moins rapide qu’OpenVPN
Disponible sur tous les appareils et systèmes d’opération modernes Pourrait être compromis par la NSA
Facile à configurer Problématique avec les pare-feux
// Délibérément affaibli par la NSA


SSTP

Introduit par Microsoft Corporation dans le premier service Windows Vista, Secure Socket Tunneling Protocol est maintenant disponible pour SEIL, Linux et RouterOS, mais est encore une fortement une plateforme Windows uniquement.

Depuis, le protocole utilise SSL v3, ce qui fournit de nombreux avantages similaires à ceux d’OpenVPN comme la possibilité de prévenir les problèmes de pare-feu NAT. SSTP est un protocole VPN stable et plus facile à utiliser, particulièrement car, il est intégré à Windows.

Toutefois, il est la propriété de Windows. Le géant de l’industrie technologique est connu pour avoir coopéré avec la NSA et il y a quelques spéculations à propos de quelques backdoors implémentés originalement dans le système d’opération Windows. C’est donc une solution assez risquée.

Avantages Inconvénients
A la possibilité d’outrepasser les pare-feux Impossible d’être protégé des backdoors à cause de Windows
Le niveau de sécurité dépend de l’algorithme utilisé, mais est généralement sécurisé Fonctionne sur Windows seulement
Entièrement intégré à Windows //
Support Windows //

Mise au Point

Pour saisir toutes les notions du cryptage, on se doit d’avoir quelques concepts clés que nous allons développer plus bas.

Taille de la Clé de Cryptage

La manière la plus directe de connaître le temps de décryptage d’un algorithme de chiffrement est de connaître la taille de la clé ; les 1 et les 0 qui y sont utilisés.

De la même façon, une recherche exhaustive de la clé (Ou une attaque brute) Est l’attaque la plus directe sur une méthode de cryptage.

Cette approche implique d’essayer toutes les possibilités de combinaisons probables jusqu’à obtenir la bonne. En termes de taille de clé, le niveau de chiffrement utilisé par les services de VPN comme NordVPN, Hidemyass et VyprVPN varient de 128 à 256 bits.

Des niveaux plus grands sont mis en place pour l’authentification de données et les handshakes, comment savoir si le cryptage à 256 bits est meilleur que celui à 128 bits ?

Pour en avoir le cœur net, faisons des maths :

  • Pour déchiffrer une clé de cryptage à 128 bits, il faut 3,4 x 10^38 combinaisons.
  • Quant aux clés à 256 bits, il en faut 2^128 fois la première.
  • Forcer brutalement un algorithme de cryptage à 256 bits requiert un nombre d’opération égal à 3,31 x 10^65 ; presque équivalent aux nombres d’atomes dans l’univers.
  • Fujitsu K, le superordinateur le plus rapide de 2011, avait une vitesse Rmax pouvant aller jusqu’à 10,51 pétaflops. En considérant ce dernier cas de figure, il faudra à cet ordinateur approximativement 1 milliard d’année pour cracker brutalement une clé AES à 128-bit.
  • Même NUDT Tianhe-2, le plus puissant superordinateur au monde pour l’année 2013, dont la vitesse dépasse les 33 pétaflops, soit plus de 3 fois la vitesse de Fujitsu K, aurait besoin d’un tiers de milliards d’années pour débloquer le chiffrement AES 128 bits.

Avant les nouvelles révélations d’Edward Snowden, on croyait largement que le cryptage à 128 bits était inébranlable, et il le demeurerait ainsi pour encore une centaine d’années ou plus.

Toutefois, avec les vastes moyens de la NSA, plusieurs administrateurs système et experts dans le monde entier ont amélioré les longueurs de leurs clés de chiffrement.

Il est bon de mentionner que le gouvernement des États-Unis utilise un chiffrement à 256 bits pour les données sensibles (Le 128 bits est utilisé pour le chiffrement de routine). Toutefois, même l’AES, peut causer quelques problèmes.

Algorithme de Cryptage

Les algorithmes de cryptage, connus sous le nom de Cipher en anglais, sont des algorithmes essentiellement mathématiques utilisés durant le chiffrement, car, les algorithmes normaux sont vulnérables aux hackers, qui leur permettent de déchiffrer aisément le cryptage.

De loin, AES et Blowfish sont les méthodes de cryptage les plus utilisées par les VPNs. RSA est utilisé pour le chiffrement et le déchiffrement des clés pour ces méthodes, alors que le SHA-2 et SHA-1 sont utilisés pour l’authentification des données comme une fonction de hachage.

Cependant, maintenant que l’AES est considéré mondialement comme un algorithme de cryptage sécurisé pour les VPNs, au point où même les plus hauts gouvernements l’utilisent, il y a eu une augmentation substantielle de sa fiabilité et sa popularité perçues.

Toutefois, il y a certaines raisons de penser que ce sentiment de confiance pourrait être mal placée.

INST

AES, RSA, SHA-2, et SHA-1 ont été certifiés ou développés par l’Institut Nationale des Standards et de la Technologie des États-Unis (INST) ; une organisation qui travaille avec la NSA pour le développement de ses méthodes de cryptage.

Puisque dorénavant nous connaissons les efforts systématiques faits par la NSA pour bâtir ou fragiliser les portes-dérobées dans les standards de chiffrement, on pourrait soulever quelques questions sur l’intégrité des algorithmes de l’INST.

L’INST a toujours renié tout méfait (Comme le fait de délibérément débiliter les standards cryptographiques) Et a essayé de booster la confiance des gens en les invitant à participer dans leurs prochains standards de cryptage.

Mais, la NSA a été signalée par le journal New York Times de mettre en échec les standards approuvés de l’INST, soit en perturbant le procédé de développement du public, soit en introduisant des backdoors indétectables pour fragiliser les algorithmes.

Mi-septembre 2013, le fossé de la méfiance s’est creusé encore plus. Des clients ont été avertis en privé par la RSA Security de ne plus faire confiance un algorithme de chiffrement particulier, puisque ce dernier contient une faille intentionnellement mise.

En plus de cela, Dual EC DRBG, un standard de cryptage créé par l’INST, semble être peu sûr depuis plusieurs années années. Tellement que même l’Université des Technologie aux Pays-Bas l’avait noté en 2006.

Malgré ces inquiétudes, l’INST est suivie par toute l’industrie, principalement parce que se conformer aux standards de l’INST est requis pour obtenir des contrats du gouvernement américain.

Les standards de l’INST sont omniprésents, à travers tous les business et industries qui sont liés à la privacité, comme pour les VPNs que sont NordVPN, Hidemyass et VyprVPN.

Puisque beaucoup reposent sur ces standards, des experts dans le domaine du chiffrement et de la cryptographie n’ont pas voulu s’occuper du problème.

Silent Circle, la seule compagnie ayant osé faire face au géant, a choisi de fermer son service Silent Mail plutôt que de le voir compromis par la NSA. La compagnie a ensuite annoncé s’être détournée des standards de l’INST en novembre 2013.

Grâce à la popularité de cette nouvelle, le petit, mais innovant, serveur de VPN, LiquidVPN, a débuté ses tests et expérimente des algorithmes de cryptages non-INST.

Mais il est le seul VPN a se diriger de la sorte, du moins, le seul que nous connaissons. Donc, jusqu’à ce que l’expérimentation soit conclue, vous allez devoir tirer le meilleur parti du cryptage AES à 256 bits ; couramment le meilleur standard de chiffrement disponible.

La NSA s’Attaque aux Clés de Chiffrement RSA

L’une des révélations d’Edward Snowden sur les protocoles VPN indique qu’un programme nommé ‘’ Cheesy Name ‘’ A été développé.

Son but : Distinguer et sélectionner les clés pour le chiffrement, appelées ‘’ Certificats ‘’, qui pourraient être à risque de se faire crackées par les superordinateurs de la GCHQ.

Cela signifie alors que ces clés, ou certificats, qui sont généralement protégées par 1024 bits, sont plus faibles que ce que nous pensions, et peuvent être facilement décryptés, plus rapidement que ce qui était prévu par la GHCQ ou la NSA.

Dès qu’ils sont déchiffrés, tous les anciens et futurs échanges seront compromis par l’utilisation d’une clé privée permanente pour décrypter les données.

Par conséquent, de nombreux types de chiffrement qui reposent sur des clés et certificats éphémères devraient être considérés comme ruinés, sont inclus SSL et TLS.

Cela a un énorme effet sur tout le réseau HTTPS. Toutefois, il y a quelques bonnes news. OpenVPN, utilisant des changements de clés éphémères, ne serait pas affecté par cela.

Pourquoi ? Car une nouvelle et unique clé est générée pour chaque échange, ce qui ne permet pas aux certificats d’opportunité pour établir un lien sécurisé.

Même si une personne pouvait obtenir la clé privée, déchiffrer la communication ne pourrait tout simplement pas être possible. Avec ‘’ Man in the Middle (MitM) ‘’, cibler une connexion OpenVPN pourrait être possible, mais il faudrait la cibler spécifiquement et la clé privée devra être compromise. Depuis que le monde entier connait les capacités de la NSA et de la GHCQ de pouvoir cracker un cryptage 1024 bits, plusieurs fou

rnisseurs de VPN ont augmenté leurs chiffrements jusqu’à 2048 bits, parfois même 4096 bits.

Perfect Forward Secrecy

Encore quelques bonnes nouvelles : La solution à ce problème, même pour les connexions TLS et SSL n’est pas si compliquée si les sites web commencent à implémenter les systèmes du Perfect Forward Secrecy (Parfaite Confidentialité Directe).

Ici, une nouvelle et unique clé de cryptage privée est créée pour chaque session. Malheureusement, la seule grande compagnie internet à implémenter un système Perfect Forward Secrecy est Google.

Conclusion

Pour conclure notre article, nous vous encourageons à suivre les sages mots d’Edward Snowden : Les travaux de chiffrement et les systèmes crypto devraient être implémentés pour améliorer la sécurité.

Alors, que devriez-vous retenir de cet article ? C’est simple ! OpenVPN est le protocole le plus sécurisé qui existe et les fournisseurs de VPN devraient continuer à travailler durement pour renforcer son implémentation.

Cela serait juste génial si les fournisseurs commençaient également à ne plus utiliser les standards de l’INST, mais c’est une chose qui devra attendre.

  • PPTP est extrêmement faillible. La NSA l’a déjà compromis et ébranlé, même Microsoft l’a abandonné, ce qui est une raison suffisante pour totalement l’éviter. Bien que sa compatibilité multiplateformes et aisance d’installation peuvent sembler attrayantes, souvenez-vous que ses utilisateurs peuvent gagner beaucoup de ces avantages et un niveau de sécurité considérablement meilleur en utilisant L2TP/IPsec.

  • Malgré le besoin de télécharger et d’installer des logiciels tiers sur toutes les plateformes, OpenVPN est sans nul doute la meilleure solution de protocoles VPN VPN pour tous les besoins. C’est l’un des protocoles VPN des plus rapides, sécurisés, fiables et bien que l’installation et la configuration puissent prendre quelque temps, cela vaut la peine en vue de la sécurité et de la privacité Premium que vous gagnez en surfant sur le net.

  • IKEv2 est également un protocole rapide et sécurisé si utilisé avec des implémentations open source. Particulièrement pour les utilisateurs mobiles grâce à sa possibilité de se reconnecter automatiquement après une perte de connexion à internet. De plus, c’est l’un des quelques protocoles VPN qui supportent les appareils BlackBerry. Pour ces derniers, c’est la seule option concrète.

  • Lorsqu’on parle d’utilisation lambda, L2TP/IPsec est la bonne solution de protocoles VPN pour vous. Même si cette dernière a été fragilisée et compromise par la NSA. Si vous êtes à la recherche d’un VPN rapide à installer qui ne requiert aucun logiciel en plus. L2TP/IPsec reste très utile, surtout pour les utilisateurs de mobiles où le support d’OpenVPN demeure inconsistant.

  • SSTP fournit à ses utilisateurs à peu près les mêmes avantages qu’une connexion OpenVPN, toutefois, uniquement sur les plateformes Windows. Par conséquent, vous le trouverez intégré dans les systèmes d’opération Windows bien mieux que d’autres protocoles VPN. Cependant, peu de fournisseurs VPN l’utilisent à cause de cette limitation. Et comme Microsoft a une bonne et longue histoire de coopération avec la NSA, SSTP est à éviter..

En clair, vous devriez toujours utiliser OpenVPN dès que possible, pour les appareils mobiles, IKEv2 est une bonne option. Pour une solution rapide, L2TP prouve son efficacité.

Mais en considérant l’augmentation de la disponibilité des applications mobiles OpenVPN, nous préférons utiliser OpenVPN.

Voici le meilleur VPN de l'année 2018:

Meilleur VPN 2018

[ P2P autorisé • Bitcoins acceptés • Politique d'absence de journaux • Onion over VPN ]

Visitez le site

Garantie satisfait our remboursé dans les 30 jours

Lisez le test
["; color: #fff; }html div#om-rpvgsdma7phmtl9wqvfm .indianapolis .pop_wrap ul::after { content: "]
["; color: #fff; }html div#om-rpvgsdma7phmtl9wqvfm .indianapolis .pop_wrap ul::after { content: "]