Accueil > Protégez Votre Vie Privée > Solutions > VPN > Guide du chiffrement VPN pour les débutants

Guide du chiffrement VPN pour les débutants

  • Pypo 

Le chiffrement est au cœur même de la technologie VPN. Dans ce guide, nous expliquons comment fonctionne le chiffrement VPN et comment il vous protège.

Qu’est-ce que le cryptage ou chiffrement ?

Le chiffrement est le processus de codification des données de sorte que seules les personnes ayant les moyens de les ramener à leur état d’origine peuvent y accéder et être en mesure de les lire, empêchant ainsi toute autre personne de le faire.

C’est un processus qui implique la substitution de lettres et de chiffres, faisant passer les messages pour du charabia à moins que vous n’appliquiez le bon processus pour les décoder. Ce procédé est connu sous le nom de “chiffrement”. Étant donné la puissance de traitement des ordinateurs modernes, n’importe quel chiffrement qu’un humain pourrait trouver serait beaucoup trop facile à déchiffrer.

De puissants algorithmes mathématiques sont maintenant utilisés pour créer différentes méthodes de cryptage, plus les chiffrements secrets nécessaires pour les décrypter.

Les services VPN utilisent le chiffrement pour créer une connexion sécurisée (le tunnel VPN) entre votre appareil et un serveur VPN, gardant vos données Internet privées, à l’abri de votre FAI, des pirates et de tout autre tiers espionnant.

Dans ce guide, vous apprendrez tout sur les algorithmes de chiffrement et les protocoles VPN, et découvrirez lesquels sont les meilleurs et les plus sûrs à utiliser.

Nous allons tout décomposer en langage simple et expliquer tout le jargon en termes simples afin que vous puissiez mieux comprendre le chiffrement VPN et tout ce qu’il implique.

Glossaire du chiffrement

Commençons par définir certains des termes importants que nous utilisons lorsque nous parlons de chiffrement.

TermeDéfinition
AlgorithmeEnsemble d’instructions qui doivent être suivies (par le logiciel) pour résoudre un problème. Un chiffrement est un algorithme de cryptage ou de décryptage
AuthentificationProcessus permettant de s’assurer et de confirmer l’identité d’un utilisateur
BitChiffre binaire, c’est la plus petite unité de données dans un ordinateur
BlocGroupe de bits de longueur fixe (par ex. 64 bits)
Taille du blocLongueur maximale d’un groupe de bits
Attaque par Force BruteMéthode pour essayer de deviner un secret en essayant toutes les combinaisons possibles de caractères. Il s’agit d’un effort grossier et exhaustif pour casser un code. Imaginez que vous ne pouvez pas ouvrir le cadenas de votre casier. Plutôt que d’essayer de vous rappeler le code, vous essayez simplement chaque combinaison de 000 à 999 jusqu’à ce qu’il s’ouvre
ChiffrementAlgorithme de cryptage et de décryptage
CryptographieL’activité d’écrire et de résoudre des codes pour créer des messages sécurisés, conçus pour que seules les parties visées puissent les traiter et les lire
CryptageProcessus de conversion des données en un code afin d’empêcher l’accès non autorisé à ces données
Pare-feuLogiciel qui surveille et contrôle les paquets de données entrant ou sortant d’un réseau. Vous connaissez probablement celui qui se trouve sur votre ordinateur, qui est conçu pour détecter les pirates informatiques et les virus
Poignée de mainsProcessus qui initialise la connexion entre deux ordinateurs. Comme son nom l’indique, c’est un message d’accueil qui établit les règles de communication
HTTPSHypertext Transfer Protocol Secure. Il s’agit d’une version sécurisée de HTTP, le protocole qui est la base du Web, et est utilisé pour assurer que la communication entre les appareils et les sites Web reste authentifiée, privée et sécurisée
NoyauLe cœur d’un système d’exploitation. Dans un ordinateur, il contrôle le fonctionnement de l’ordinateur et de son matériel
CléChaîne de bits utilisée par un chiffrement pour convertir du “texte brut” (information non chiffrée) en information chiffrée, et vice versa. La longueur d’une clé peut varier. Généralement, plus elle est longue, plus il faut du temps pour la briser
PaquetUn paquet est une unité de données acheminée entre une origine et une destination sur un réseau, et composée d’un en-tête, de vos données, et d’autres éléments propres au réseau. Lorsque des données doivent être envoyées sur un réseau, si elles sont plus volumineuses qu’un paquet, il peut être nécessaire de les décomposer en plusieurs paquets de données, qui sont ensuite envoyés individuellement et les données sont rassemblées à leur destination
PortTout comme un bateau accoste à un port physique, les ports informatiques représentent le “point final” de la communication. Toute information atteignant votre appareil le fait via un port.
ProtocoleEnsemble de règles utilisées pour négocier une connexion entre un client VPN et un serveur VPN. Certains sont plus complexes ou plus sûrs que d’autres. OpenVPN et IKEv2 sont des choix populaires

Maintenant que nous savons ce que les termes signifient, il est temps d’expliquer ce qu’est le chiffrement et ce qu’il fait plus en profondeur.

Types de chiffrement

Il existe deux types de chiffrement : symétrique et asymétrique.

Chiffrement à clé symétrique

Le chiffrement à clé symétrique est le chiffrement où une seule clé est utilisée pour traiter à la fois le chiffrement et le déchiffrement des données. Les deux parties ont besoin de la même clé pour communiquer. C’est le type de chiffrement utilisé dans la technologie VPN.

La puissance des ordinateurs modernes fait que les clés ont dû être de plus en plus longues pour prévenir les attaques par force brute, c’est à dire essayer chaque combinaison pour trouver la bonne clé.

Le standard aujourd’hui est la clé de 256 bits, qui ne peut être forcée à la force brute, car il faudrait des milliards d’années pour parcourir toutes les combinaisons possibles à l’aide des ordinateurs disponibles aujourd’hui.

Chiffrement à clé asymétrique

Avec la cryptographie asymétrique (ou cryptographie à clé publique), chaque participant qui souhaite communiquer en toute sécurité utilise un logiciel pour générer une clé publique et une clé privée correspondante.

Prenons l’exemple de deux personnes : Personne A et Personne B

Lorsque la personne A veut envoyer un message sécurisé à la personne B, la clé publique de la personne B est utilisée dans un chiffrement pour convertir le message en texte clair en message chiffré. Bien que le message chiffré puisse passer de A à B par l’intermédiaire de diverses autres personnes (personnes C, D, E et F), toute personne qui tente de lire le message ne verra que le texte chiffré. Lorsque la personne B reçoit le message chiffré , elle utilise sa clé privée pour décoder le message chiffré en texte clair.

Ce système est de plus en plus utilisé par les journalistes, par exemple, qui publient leur clé publique sur leurs profils de médias sociaux pour que les sources leur envoient des messages qui ne peuvent être déchiffrés qu’avec la clé privée du journaliste.

Le système le plus connu est Pretty Good Privacy (PGP). Il existe de nombreux outils logiciels différents qui utilisent OpenPGP, la version open source du standard.

Le chiffrement à clé publique est utilisé lors d’une poignée de main TLS afin de partager en toute sécurité une clé symétrique entre le client et le serveur.

SSL ET TLS

TLS/SSL est le chiffrement que la plupart d’entre nous ont expérimenté en naviguant sur le Web sur un site sécurisé qui utilise HTTPS. Vous saurez quand un site Web utilise HTTPS par le symbole du cadenas dans la barre d’adresse du navigateur.

Le protocole de sécurité généralement utilisé est TLS (Transport Layer Security), qui est basé sur son prédécesseur Secure Sockets Layer (SSL Version 3.0). TLS utilise une combinaison de chiffrement à clé publique et de chiffrement symétrique pour protéger vos données.

Pendant la poignée de main TLS, votre navigateur utilise un chiffrement asymétrique pour communiquer avec le serveur de la page sécurisée et générer en toute sécurité une clé symétrique. Celle-ci est ensuite utilisée pour chiffrer les données transférées entre votre navigateur et le serveur.

La génération d’une clé symétrique est beaucoup plus efficace que l’utilisation de clés asymétriques pour tous les transferts de données. En effet, le chiffrement asymétrique nécessite une puissance de calcul incroyablement supérieure pour chiffrer et déchiffrer toutes les données nécessaires par rapport à l’utilisation d’une clé symétrique.

On peut donc dire que le chiffrement par clé symétrique est la méthode de chiffrement la plus rapide.

Bien que ce qui précède soit bon et génère un chiffrement sécurisé, chaque session sécurisée générée par le serveur peut être déchiffrée avec la clé privée du serveur. Si jamais cette clé privée devait être compromise, la clé privée volée peut alors être utilisée pour déchiffrer toute session sécurisée sur ce serveur, passée ou présente.

Pour éviter cela, les connexions HTTPS et OpenVPN sont maintenant couramment établies à l’aide de Perfect Forward Secrecy, utilisant un algorithme appelé Diffie-Hellman Key Exchange qui génère la clé symétrique.

Cela peut sembler déroutant, mais tout ce que vous devez vraiment comprendre, c’est que c’est la façon la plus sûre de procéder car la clé symétrique n’est jamais échangée sur la connexion, mais générée indépendamment à la fois par le serveur et le navigateur Web.

Le navigateur génère une clé privée temporaire et une clé publique correspondante.

La clé symétrique de la session TLS est basée sur la sortie d’un algorithme qui fonctionne sur une clé privée du périphérique (par exemple un serveur) et sur la clé publique de l’autre périphérique (par exemple votre navigateur).

En raison des propriétés mathématiques fantaisistes de cet algorithme et d’une certaine magie technique, la clé générée par ce processus correspondra à la fois sur le serveur et sur le navigateur. Cela signifie que si une tierce partie, comme votre fournisseur de services Internet ou le gouvernement, stocke vos données chiffrées des sessions précédentes et que la clé privée est compromise ou volée, elle ne sera pas en mesure de déchiffrer ces données.

ExpressVPN illustre comment l’application utilise les clés publiques

ExpressVPN est un service VPN qui utilise PFS, et négocie une nouvelle clé privée chaque fois que vous vous connectez, et toutes les 60 minutes lorsqu’une connexion VPN est utilisée. L’illustration ExpressVPN ci-dessus montre comment l’application VPN utilise la clé publique du serveur pour produire une paire de clés symétriques en utilisant un chiffrement asymétrique.

Maintenant que nous avons expliqué les différentes méthodes de chiffrement disponibles, parlons des différents protocoles VPN disponibles.

Protocoles VPN

Qu’est-ce qu’un protocole VPN ?

Les protocoles VPN représentent les processus et les ensembles d’instructions (ou de règles) sur lesquels les clients VPN s’appuient pour établir des connexions sécurisées entre un périphérique et un serveur VPN afin de transmettre des données. Les protocoles VPN sont formés d’une combinaison de protocoles de transmission et de normes de chiffrement.

Quels protocoles VPN sont actuellement disponibles ?

Voici les principaux protocoles VPN que vous devez connaître :

OpenVPN – Très sécurisé et rapide

OpenVPN est le protocole VPN standard de l’industrie et nous vous recommandons de l’utiliser quand vous le pouvez. C’est l’un des protocoles VPN les plus sûrs et les plus sécurisés, et surtout, il est open-source, ce qui signifie qu’il est totalement transparent et continue à être testé et amélioré publiquement.

OpenVPN est très configurable et, bien qu’il ne soit supporté nativement par aucune plate-forme, la plupart des fournisseurs VPN offrent des applications gratuites qui le supportent. Ces applications VPN personnalisées sont disponibles sur la plupart des plateformes majeures comme Microsoft Windows, Apple MacOS, Android, Linux et iOS.

Certains fournisseurs proposent également des fichiers de configuration OpenVPN, ce qui signifie que vous pouvez télécharger le client OpenVPN original pour votre système d’exploitation et l’utiliser pour vous connecter au service VPN de votre choix.

OpenVPN fonctionne à la fois sur UDP et TCP, qui sont des types de protocoles de communication.

TCP (Transmission Control Protocol) est le protocole de connexion le plus utilisé sur Internet. Les données qui sont envoyées sont transférées en morceaux, généralement composés de plusieurs paquets. TCP est conçu pour livrer les données transférées au client OpenVPN dans l’ordre dans lequel elles ont été envoyées par le serveur OpenVPN (par exemple, les paquets 1, 2, 3, 4 et 5 envoyés par OpenVPN sont reçus par le client OpenVPN dans le même ordre 1, 2, 3, 4 et 5).

Pour ce faire, TCP peut retarder la livraison des paquets qu’il a reçus sur le réseau au client OpenVPN jusqu’à ce qu’il ait reçu tous les paquets attendus et qu’il ait réarrangé les paquets dans l’ordre. TCP redemandera (et attendra ensuite de recevoir) les paquets qui ont pu être perdus lors de la transmission entre le serveur et le client.

Ce temps de traitement et d’attente ajoute de la latence à la connexion VPN, rendant la connexion plus lente que UDP mais cela fait de TCP un protocole de communication très sécurisé.

UDP (User Datagram Protocol) transmet simplement les paquets de données sans avoir besoin de confirmation d’arrivée, et les paquets UDP sont plus petits que TCP.

En utilisant OpenVPN UDP, la taille réduite des paquets, l’absence de contrôles et la réorganisation permettent une connexion plus rapide (mais légèrement moins sécurisée).

Donc, qu’est-ce qui est le mieux : TCP ou UDP ?

En fait, cela dépend du résultat recherché. Si vous utilisez un VPN pour jouer, streamer Netflix ou utiliser des services VoIP, alors UDP est votre meilleur choix, car il est plus rapide que TCP.

L’inconvénient est que vous risquez d’avoir des paquets perdus, ce qui peut signifier par exemple que sur un appel VOIP, vous entendez la voix de la personne à qui vous parlez, qui est coupée pendant une fraction de seconde en cours de conversation.

Toutefois, si vous rencontrez des problèmes de connexion, vous devez passer en TCP. Le port TCP 443 est également utile pour contourner la censure, car ce port est le port par défaut pour HTTPS, et est donc moins susceptible d’être bloqué par les pare-feu.

Pour le chiffrement, OpenVPN utilise la bibliothèque OpenSSL, qui prend en charge une gamme de chiffrement. Le chiffrement OpenVPN est composé de plusieurs éléments : canal de données, canal de contrôle, authentification du serveur et authentification HMAC :

  • Les fonctions d’authentification du serveur sont les mêmes que TLS ou HTTPS. OpenVPN peut utiliser des certificats pour vérifier que le serveur auquel vous parlez a une confiance cryptographique.
  • Le canal de contrôle est utilisé dans la phase initiale, effectuant la poignée de mains TLS pour convenir des paramètres de chiffrement afin de transmettre les données en toute sécurité, et authentifiant le client au serveur.
  • Le canal de données est la couche qui transmet les informations entre votre appareil et le serveur OpenVPN. Cette couche est chiffrée à l’aide d’un schéma de chiffrement symétrique, dont la clé a été obtenue via le canal de contrôle.
  • L’authentification HMAC est utilisée pour s’assurer que les paquets envoyés n’ont pas été altérés en transmission par un attaquant intermédiaire qui a la capacité de lire ou de modifier les données en temps réel.

Sachez que certains services VPN n’utilisent pas le même niveau de chiffrement sur les deux canaux. L’utilisation d’un chiffrement plus faible sur le canal de données peut être un raccourci bon marché vers une connexion plus rapide car une meilleure sécurité se fait au détriment de la vitesse.

Malheureusement, un VPN n’est aussi sûr que son élément le plus faible, vous devriez donc rechercher un VPN qui est aussi fort que possible dans son chiffrement des deux canaux.

Nous y reviendrons plus en détail dans les sections ci-dessous sur les chiffrements et les poignées de main.

Maintenant que vous savez quel est le protocole VPN le plus sûr, vous devriez savoir ce que sont les autres, plus celui à éviter à tout prix.

PPTP – Faible sécurité, à éviter

Le protocole PPTP (Point-to-Point Tunneling Protocol) est l’un des plus anciens protocoles VPN encore utilisés aujourd’hui. Il a été développé par une équipe financée par Microsoft et publié en 1999.

Bien qu’obsolète, PPTP a quelques avantages : il est compatible avec pratiquement tout, il n’a pas besoin de logiciel supplémentaire car il est inclus dans les systèmes d’exploitation modernes, et il est très rapide.

Le problème majeur est qu’il s’est avéré être peu sûr et facile à casser (une attaque prend généralement entre une minute et 24 heures). PPTP est également simple à bloquer car il s’appuie sur le protocole GRE, qui est facilement protégé par un pare-feu.

Vous devriez éviter d’utiliser ce protocole à moins qu’il ne soit absolument nécessaire de changer votre adresse IP pour des raisons non sensibles. Nous considérons que le PPTP n’est pas sûr.

L2TP/IPsec – Sécurisé, mais peut être lent

Le protocole LT2P (Layer 2 Tunneling Protocol) prend les meilleures caractéristiques du protocole PPTP (Point-to-Point Tunneling Protocol) de Microsoft et du protocole L2F (L2F) de Cisco et est utilisé pour créer un tunnel entre un périphérique client et un serveur sur le réseau.

L2TP peut gérer l’authentification, mais ne fournit aucune capacité de chiffrement. Par conséquent, L2TP est généralement implémenté avec l’IPsec (Internet Protocol Security) pour créer des paquets sécurisés qui assurent l’authentification, l’intégrité et le chiffrement des données.

Ceci est plus communément connu sous le nom de L2TP/IPsec, et les données sont généralement chiffrées à l’aide du chiffrement AES, dont vous pouvez en savoir plus, plus bas dans cet article.

Lors de la connexion à un serveur VPN avec L2TP/IPsec, IPsec est utilisé pour créer un canal de contrôle sécurisé entre client et serveur. Les paquets de données provenant de l’application de votre appareil (comme votre navigateur Web, par exemple) sont encapsulés par L2TP. IPSec chiffre ensuite ces données L2TP et les envoie au serveur, qui effectue ensuite le processus inverse, décryptant et décapsulant les données.

En termes de vitesse, la double encapsulation de L2TP/IPsec (essentiellement un tunnel dans un tunnel) devrait le rendre plus lent que OpenVPN. Cependant, il est théoriquement plus rapide parce que le chiffrement et le décryptage ont lieu dans le noyau, qui peut traiter efficacement les paquets avec un minimum de surcharge.

L2TP/IPsec est généralement considéré comme sûr lorsqu’il est utilisé avec le chiffrement AES. Mais il a été suggéré que le protocole a été compromis par la NSA et que l’IPsec a été délibérément affaibli lors de sa création. Il n’y a pas eu de confirmation officielle à ce sujet, cependant.

Le principal problème avec L2TP/IPsec et son utilisation dans les services VPN réside dans les services qui utilisent des clés pré-partagées (également connues sous le nom de secret partagé) qui peuvent être téléchargées depuis les sites Web des services VPN et sont donc accessibles à tous.

Bien que ces clés ne servent qu’à authentifier la connexion avec les serveurs VPN et que les données elles-mêmes restent cryptées via une clé séparée, elles ouvrent la porte à des attaques MITM (Attaque de l’homme au milieu) potentielles. C’est là que l’attaquant se fait passer pour un serveur VPN afin de décrypter le trafic et écouter la connexion.

L2TP/IPsec utilise également un nombre limité de ports fixes, ce qui le rend relativement facile à bloquer. Malgré ces problèmes, LT2P/IPsec est un choix solide étant donné qu’il est supporté nativement par de nombreuses plateformes tant que les clés pré-partagées ne sont pas utilisées.

SSTP – Source fermée avec risques potentiels

Secure Socket Tunneling Protocol (SSTP) est un protocole propriétaire de Microsoft basé sur SSL 3.0, ce qui signifie que, comme OpenVPN, il peut utiliser le port TCP 443.

Comme le SSTP n’est pas open-source, il est impossible de réfuter les suggestions de portes dérobées ou d’autres vulnérabilités présentes dans le protocole. Ce risque l’emporte de loin sur les avantages d’une intégration étroite avec Windows.

Un autre signal d’alarme est que SSL 3.0 est vulnérable à une attaque d’homme au milieu, connue sous le nom de POODLE. Il n’a pas été confirmé si le SSTP est touché, mais à notre avis, le risque n’en vaut pas la peine.

IKEv2/IPSec – Très rapide, sécurisé et stable

Internet Key Exchange version 2 (IKEv2) est un protocole VPN plus récent et un autre standard fermé développé en collaboration entre Microsoft et Cisco. IKEv2 est supporté nativement par iOS, BlackBerry, et Windows versions 7 et ultérieures.

Cependant, il existe des versions open-source d’IKEv2 développées pour Linux qui n’ont pas les mêmes problèmes de confiance que la version propriétaire.

Comme L2TP/IPsec, IKEv2 est utilisé avec IPsec lorsqu’il fait partie d’une solution VPN, mais offre plus de fonctionnalités. IKEv2/IPSec peut gérer le changement de réseau grâce au protocole MOBIKE, utile pour les utilisateurs mobiles qui sont enclins à perdre leur connexion, et plus rapide car programmé pour faire un meilleur usage de la bande passante.

IKEv2/IPSec prend également en charge une plus large gamme de chiffrement que L2TP/IPSec.

IKEv2 n’est souvent pas suffisant lorsque vous essayez de vous connecter à partir d’un pays fortement censuré, cependant. C’est parce que IKEv2 utilise des ports spécifiés qui sont très faciles à bloquer pour le grand pare-feu.

WireGuard – Nouveau protocole prometteur

Wireguard est un nouveau protocole de tunneling qui vise à être plus rapide et plus performant que le protocole actuel le plus populaire, OpenVPN.

WireGuard vise à résoudre les problèmes souvent associés à OpenVPN et IPsec : à savoir la configuration compliquée, plus les déconnexions (sans configuration supplémentaire) et les longs temps de reconnexion qui en découlent.

Alors que OpenVPN+OpenSSL et IPsec disposent d’une large base de code (~100.000 lignes de code pour OpenVPN et 500.000 pour SSL) et IPsec (400.000 lignes de code), ce qui rend difficile la recherche de bugs, Wireguard pèse actuellement moins de 5.000 lignes. Mais Wireguard est encore en développement.

THREEMA et SIGNAL (Jaune Warning)

Bien que les benchmarks de Wireguard montrent qu’il est très rapide, il y a des problèmes dans la mise en œuvre qui peuvent le rendre impropre à l’utilisation par un fournisseur VPN commercial.

L’un d’entre eux est qu’il exige qu’une adresse IP non publique soit assignée à chaque utilisateur, ce qui ajoute un élément d’enregistrement avec lequel tout utilisateur VPN sérieux serait mal à l’aise.

Pourquoi ? Parce que cette adresse IP non publique peut être utilisée pour vous identifier.

Des travaux sont toutefois en cours pour régler ce problème. WireGuard n’en est encore qu’à ses débuts et n’a pas encore fait ses preuves. Cependant, un nombre croissant de fournisseurs de VPN l’ajoutent à leurs clients à des fins de test uniquement, notamment IVPN et AzireVPN.

Les protocoles VPN fournissent le cadre à un chiffrement sécurisé, voyons maintenant quel est le rôle des chiffrements et quelles sont les variétés de chiffrements disponibles.

Chiffrements

Un chiffrement est essentiellement un algorithme de chiffrement et de décryptage des données. Les protocoles VPN utilisent une variété de chiffrements, et les suivants sont les plus couramment utilisés :

AES

L’Advanced Encryption Standard (AES) est un chiffrement à clé symétrique établi par le National Institute of Standards and Technology (NIST) des États-Unis en 2001.

C’est la norme d’excellence pour les protocoles de chiffrement en ligne, et elle est largement utilisée par l’industrie VPN. AES est considéré comme l’un des cryptogrammes les plus sûrs à utiliser.

AES a une taille de bloc de 128 bits, ce qui signifie qu’AES peut traiter des fichiers de plus grande taille que les autres chiffrements, comme Blowfish qui a une taille de bloc de 64 bits.

AES peut être utilisé avec différentes longueurs de clé. Bien que l’AES-128 soit toujours considéré comme sécuritaire, l’AES-256 est préférable car il offre une meilleure protection. AES-192 est également disponible.

Lorsque vous lisez sur le site Web d’un service VPN à propos du chiffrement de niveau militaire ou de niveau bancaire, il fait généralement référence à AES-256, qui est utilisé par le gouvernement américain pour les données Top Secret.

Blowfish

Blowfish est un autre chiffrement à clé symétrique, conçu en 1993 par le cryptographe américain Bruce Schneier. Blowfish était le chiffrement par défaut utilisé dans OpenVPN, mais il a été largement remplacé par AES-256.

Lorsque Blowfish est utilisé, vous le verrez généralement utilisé avec une longueur de clé de 128 bits, bien qu’il puisse varier de 32 bits à 448 bits.

Le “poisson lune” a néanmoins quelques faiblesses, y compris sa vulnérabilité aux “attaques d’anniversaire“, ce qui signifie qu’il ne devrait vraiment être utilisé qu’en tant que solution de repli à l’AES-256.

Camellia

Camellia est également un chiffrement à clé symétrique, et il est très similaire à AES en termes de sécurité et de vitesse. La principale différence est que Camellia n’est pas certifié par le NIST, l’organisme américain qui a créé AES.

Bien qu’il y ait un argument en faveur de l’utilisation d’un chiffrement qui n’est pas associé au gouvernement américain, il est rarement disponible dans les logiciels VPN, et il n’a pas été testé aussi minutieusement que AES.

Poignée de main VPN

Comme pour l’ouverture d’une session sécurisée sur un site Web HTTPS, la connexion sécurisée à un serveur VPN nécessite l’utilisation d’un chiffrement à clé publique (généralement à l’aide du système de chiffrement RSA) via une poignée de mains TLS.

Le chiffrement RSA a été la base de la sécurité Internet au cours des deux dernières décennies, mais malheureusement, il semble maintenant probable que la version la plus faible, la RSA-1024, a été piratée par la NSA.

Bien que la plupart des services VPN se soient éloignés du RSA-1024, une minorité continue de l’utiliser et devrait donc être évitée. Recherchez RSA-2048, qui est toujours considéré comme sûr.

Idéalement, un chiffrement supplémentaire sera utilisé pour créer Perfect Forward Secrecy. Généralement, cela se fera par l’échange de clés Diffie-Hellman (DH) ou de Diffie-Hellman courbe elliptique Diffie-Hellman (ECDH).

Alors que l’ECDH peut être utilisé seul pour créer une poignée de main sécurisée, la DH seule doit être évitée car elle est vulnérable aux fissures. Ce n’est pas un problème lorsqu’il est utilisé avec RSA.

Authentification SHA

Les algorithmes SHA (Secure Hash Algorithms) sont utilisés pour garantir l’intégrité des données transmises et des connexions SSL/TLS, telles que les connexions OpenVPN, afin de s’assurer que les informations n’ont pas été modifiées en transmission entre la source et la destination.

Les algorithmes Secure Hash fonctionnent en transformant les données source à l’aide de ce que l’on appelle une fonction de hachage cryptographique, par laquelle le message source original est exécuté par un algorithme et le résultat est une chaîne de caractères de longueur fixe qui ne ressemble en rien à l’original, la “valeur de hachage”.

Il s’agit d’une fonction unidirectionnelle c’est à dire que vous ne pouvez pas exécuter un processus de “dés-hachage” pour déterminer le message original à partir de la valeur de hachage. Le hachage est utile parce que le changement d’un seul caractère des données source d’entrée changera totalement la valeur de hachage qui est sortie de la fonction hachage.

Un client VPN exécutera les données reçues du serveur, combinées avec la clé secrète, via la fonction de hachage convenue lors de la poignée de main VPN. Si la valeur de hachage générée par le client diffère de la valeur de hachage du message, les données seront rejetées car le message a été altéré.

L’authentification par hachage SHA prévient les attaques d’homme au milieu en étant capable de détecter toute altération d’un certificat TLS valide.

Sans cela, un pirate informatique pourrait usurper l’identité du serveur légitime et vous inciter à vous connecter à un serveur non sécurisé, où votre activité pourrait être surveillée.

Il est recommandé d’utiliser SHA-2 (ou une version supérieure) pour améliorer la sécurité, car SHA-1 a démontré des faiblesses qui peuvent compromettre la sécurité.

Qu’est-ce qu’un VPN ? Schéma explicatif par NordVPN

Nous avons parcouru beaucoup de choses dans ce guide sur le chiffrement, mais vous avez peut-être encore des questions plus générales sur les VPN et les protocoles qui nécessitent une réponse.

Voici les questions les plus courantes que nous entendons.

Questions les plus Fréquentes

Quel est le protocole VPN le plus sûr ?

OpenVPN utilisé avec le chiffrement AES-256 est généralement considéré comme le meilleur et le plus sûr protocole VPN. OpenVPN est open-source et a été publiquement testé pour ses faiblesses.

OpenVPN offre un grand équilibre entre confidentialité et performance, et est compatible avec de nombreuses plates-formes populaires. De nombreux services VPN commerciaux utilisent OpenVPN par défaut.

IKEv2 est une bonne option pour les appareils mobiles car il gère les changements de réseau plus efficacement, en restaurant automatiquement les connexions supprimées avec facilité et rapidité.

Comment modifier le protocole VPN ?

Certains services VPN, comme ExpressVPN, vous permettent de modifier le protocole VPN dans le menu des paramètres de l’application VPN.

Si c’est le cas, ouvrez simplement le menu Paramètres et sélectionnez le protocole VPN que vous souhaitez utiliser.

Menu des paramètres du protocole ExpressVPN

S’il n’y a pas de sélection de protocole VPN dans l’application personnalisée, vous pouvez installer d’autres protocoles en utilisant la configuration manuelle.

NordVPN est un exemple de service VPN qui fonctionne sur OpenVPN mais permet l’installation manuelle d’IKEv2.

Si votre service VPN prend en charge la configuration de protocoles alternatifs, assurez-vous de suivre attentivement les instructions données sur son site Web.

Est-ce que tous les VPN chiffrent les données ?

De par leur nature même, les VPN chiffrent les données, mais il existe des services qui prétendent être des VPN sans fournir de chiffrement. Hola Free VPN est l’un d’entre eux, et vous devriez éviter à tout prix des produits comme celui-ci.

Les extensions de navigateur VPN sont un autre produit dont il faut se méfier. Les extensions de navigateur sont des services proxy plutôt que des services VPN, et bien que certains fournissent le chiffrement, d’autres ne le font pas.

Les extensions de navigateur qui fournissent le chiffrement ne protégeront que le trafic du navigateur Web dans lequel il fonctionne, vous devrez donc utiliser un VPN complet pour chiffrer toutes les autres applications présentes dans votre ordinateur.

Tous les VPN sont-ils sûrs ?

Non, tous les VPN ne sont pas sûrs à utiliser. C’est pourquoi, nos sommes là pour vous aider à faire le bon choix.

Il peut même arriver que ceux utilisant les meilleurs protocoles VPN et de chiffrement mettent vos données personnelles en danger tout simplement en enregistrant vos activités en ligne.

C’est la raison pour laquelle, vous devriez rechercher un VPN avec une politique de journalisation respectueuse de la vie privée, en plus de prendre en charge les protocoles et les chiffrements VPN les plus sûrs.

Pour vous faciliter la tâche, pourquoi ne pas jeter un coup d’œil à nos VPN les plus recommandés, ce sont les plus sûrs qui existent.

Cet article vous a t-il été utile ?

Pypo

Nous avons créé ce site Web pour vous fournir des informations honnêtes, utiles et à jour sur les solutions existantes de confidentialité et de sécurité en ligne. Les guides et outils présents vous aideront à contrecarrer les plans de toutes les entreprises et entités gouvernementales qui pillent vos données personnelles et foulent votre vie privée. Nous suivre sur Mastodon