Pourquoi privilégier les VPN IPsec par rapport aux VPN SSL/TLS ?
Publié le 16/11/2021
Auteur : Arnaud Dufournet, Chief Marketing Officer
Les clients nous demandent souvent pourquoi il faut privilégier les VPN IPsec par rapport aux VPN SSL/TLS. Pourtant ces derniers sont les plus répandus et les deux technologies offrent l’une et l’autre des mécanismes de confidentialité, d’intégrité et d’authentification. Pour répondre à la question et assurer la meilleure protection des données, il est nécessaire de bien comprendre ce qui différencie les deux protocoles.
Une différence majeure qui change tout !
Commençons par un petit rappel historique. SSL (Secure Socket Layer) et TLS (Transport Layer Security) sont deux protocoles cryptographiques qui permettent l’authentification, et le chiffrement des données qui transitent entre des serveurs, des machines et des applications en réseau (en particulier quand un client se connecte à un serveur via HTTPS). SSL est antérieur au TLS. Les nouvelles versions de ces protocoles se sont succédées pour faire face aux vulnérabilités et renforcer les algorithmes de chiffrement afin d’offrir davantage de sécurité. En 1994, Netscape développe une première version SSL 1.0 qui ne verra jamais le jour, puis sort en 1995 une version SSL 2.0. La découverte de plusieurs vulnérabilités en 1996 précipite le remplacement de la version 2.0 par le SSL 3.0. Basé sur le SSL 3.0, le TLS 1.0 est lancé en janvier 1999 comme la nouvelle version du SSL. TLS est jugé aujourd’hui plus sûr que le protocole SSL, la version 2.0 présentant des failles de sécurité connues.
De son côté, IPsec (Internet Protocol Security) a été normalisé en 1995 par l’IETF (Internet Engineering Task Force), l’organisme qui élabore et promeut des standards Internet, notamment les standards composant la suite de protocoles Internet (TCP/IP).
IPsec regroupe un ensemble de protocoles de communication sécurisée conçue pour la protection des flux réseaux et en particulier pour établir une communication privée (un tunnel) entre des entités distantes, séparées par un réseau réputé non sûr ou public comme Internet.
La grande différence entre IPsec et SSL/TLS se situe au niveau des couches réseaux dans lesquelles s’effectuent les étapes d’authentification et de chiffrement. Par encapsulation, IPsec garantit la confidentialité et l’intégrité d’un flux au niveau de la couche réseau (couche « Internet » de la pile TCP/IP ou couche 3 « réseau » du modèle OSI). SSL/TLS agit lui beaucoup plus haut dans la pile réseau qu’IPsec, en se plaçant au-dessus de la couche transport réalisée par TCP. C’est un protocole conçu pour garantir la sécurité des communications Web sur Internet en fournissant un « socket sécurisé » pour protéger les paquets IP entre le navigateur et le serveur Web lorsque le flux de données transmis via HTTP nécessite d’être chiffré.
Niveau de sécurité : avantage IPsec
Cette différence majeure étant expliquée, quelles sont les conséquences pratiques lorsqu’il s’agit de déployer des VPN IPsec ou bien des VPN SSL/TLS ?
Tout d’abord, le client VPN IPsec requiert une compatibilité logicielle et matérielle (passerelle VPN) des deux extrémités du tunnel. Certains clients nous ont par exemple remonté des problèmes avec la FreeBox pour monter des tunnels IPsec. À l’origine centrés sur la mobilité, les VPN SSL ont pour principale vocation de protéger le trafic web. Considérés comme plus simples à déployer, ils ont donc logiquement été massivement utilisés pendant la crise sanitaire par les entreprises soucieuses de protéger les connexions de leurs collaborateurs en télétravail.
Pourtant, si vous recherchez un haut niveau de sécurité, c’est vers le VPN IPsec qu’il faut vous orienter, comme le recommande l’ANSSI depuis plusieurs années. En 2015, elle publiait déjà des recommandations de sécurité relatives à IPsec. Dans ses recommandations sur le nomadisme numérique publiée en octobre 2018, l’ANSSI préconise clairement « l’utilisation du protocole IPsec plutôt que TLS pour la mise en place du tunnel VPN entre l’équipement d’accès et l’équipement de terminaison VPN ». Les raisons qu’elle met en avant sont :
- Surface d’attaque d’IPsec plus réduite*. Les opérations de sécurité critiques (comme les fonctions utilisant les clés) d’IPsec se font en environnement cloisonné, au sein du noyau du système d’exploitation, tandis que TLS s’exécute généralement dans l’espace utilisateur, depuis la couche applicative.
- Mécanismes de choix initial des algorithmes* entre le client et le serveur plus robustes en IPsec qu’en TLS.
- Gestion par défaut des autorités de certification autorisées*. Elle est plus permissive dans les différentes implémentations de TLS que dans celles d’IPsec.
- Majorité des vulnérabilités récentes concerne les implémentations des protocoles SSL et TLS* (POODLE, BEAST, CRIME, FREAK, Heartbleed, etc.).
La démonstration de ces risques a été faite en 2020 avec le déploiement massif de VPN SSL pour répondre à l’enjeu du télétravail. Trois vulnérabilités présentées par ce type VPN, figurent dans le Top 10 des vulnérabilités les plus marquantes de 2020 révélé en février 2021. Et l’exploitation des failles se poursuit sur 2021. En septembre nous apprenions que près de 500 000 identifiants de connexion FortiGate SSL-VPN ont été divulgués sur un forum de hackers.
Recommandé par la NSA et la CISA
C’est désormais au tour de la National Security Agency (NSA) et la Cybersecurity and Infrastructure Security Agency (CISA) de recommander les VPN IPsec. Fin septembre, les deux agences américaines ont publié ensemble une note d’information sur la cybersécurité. Intitulé « Selecting and Hardening Remote Access VPN Solutions« , le guide définit les recommandations que les organisations et les entreprises doivent suivre lorsqu’elles choisissent un VPN pour sécuriser les accès à leurs systèmes. Il observe aussi que les VPN sont des cibles intéressantes pour les hackers pour s’infiltrer dans les réseaux. Les vulnérabilités que certains offrent, permettent notamment de mener des attaques de type « APT » (Advanced Persistent Threats). Le guide rappelle les conséquences de l’exploitation des vulnérabilités par des pirates à savoir :
- Vols d’identifiants
- Exécution à distance de codes malicieux
- Affaiblissement des algorithmes de chiffrement
- Piratage ou détournement de trafic chiffré
- Récupération et la lecture de données sensibles
Pour se prémunir au maximum des risques, le guide donne des conseils pour choisir son VPN. Il recommande notamment de sélectionner des fournisseurs réputés pour corriger rapidement les vulnérabilités connues et pour suivre les meilleures pratiques en termes d’authentification. Il liste également des fonctionnalités clés dont il faut disposer et qu’il faut configurer avant toute utilisation :
- Tester le VPN avant le déploiement
- Utiliser le protocole IKE/IPsec et non le SSL/TLS
- Utiliser le MFA (Authentification à facteurs multiples)
- Réduire les fonctionnalités VPN à leur strict minimum pour réduire la surface d’attaque
- Protéger et surveiller les accès à partir du VPN et vers le VPN
TheGreenBow propose depuis longtemps une gamme complète de clients VPN IPsec qui suivent les recommandations de l’ANSSI et du NIST (National Institute of Standards and Technology) et répondent aux exigences des grandes organisations, OIV, OSE et administrations. Les Clients VPN Windows et Linux proposent de nombreuses fonctionnalités, activables par l’administrateur conformément aux exigences du responsable de la sécurité (RSSI), et sont compatibles MFA, grâce à la prise en charges des tokens et cartes à puces. Autre exemple : le mode filtrant du Client Windows qui permet de protéger les accès à partir du VPN et vers le VPN. Enfin quel que soit le système d’exploitation, vous pouvez tester nos clients VPN afin de valider qu’ils s’intègrent bien dans votre architecture de sécurité.
* Source : Guide de recommandation sur le nomadisme numérique, ANSSI 2018
