🛡️ VPN – Tunnels Sécurisés (IPsec, SSL, OpenVPN)

Virtual Private Network

Un VPN (Réseau Privé Virtuel) est une technologie qui crée une connexion sécurisée et cryptée ("tunnel") par-dessus un réseau public non-fiable (comme Internet).

Il permet à des appareils distants (ou des réseaux entiers) de communiquer comme s'ils étaient connectés au même réseau local (LAN) privé, en garantissant la confidentialité et l'intégrité des données.

Schéma de Tunneling

[ LAN A (Privé) ]                                   [ LAN B (Privé) ]
  192.168.1.50                                        10.0.0.100
       │                                                 │
   [ Routeur A ]                                     [ Routeur B ]
       │ (IP Publique 80.1.2.3)                          │ (IP Publique 90.4.5.6)
       │                                                 │
       ╞═════════════════════════════════════════════════╡
       │           [ TUNNEL VPN CRYPTÉ (IPsec/SSL) ]     │
       │ (Paquets 192.168.1.50 -> 10.0.0.100 encapsulés) │
       ╞═════════════════════════════════════════════════╡
       │                                                 │
 ( Paquets 80.1.2.3 -> 90.4.5.6 voyagent sur Internet )
       │                                                 │
<────────────────────── [ INTERNET (Public / Non-fiable) ] ──────────────────────>

Un VPN applique les principes de la Triade CIA (Confidentialité, Intégrité, Disponibilité) au trafic réseau.

La Clé Unique (Rapide)

Le chiffrement symétrique utilise une seule et même clé (un secret partagé) pour chiffrer ET déchiffrer les données.

Data + Clé_Secrète -> (Chiffrement) -> Données_Chiffrées
Données_Chiffrées + Clé_Secrète -> (Déchiffrement) -> Data

• Avantage : Extrêmement rapide. Idéal pour chiffrer de grands volumes de données (le "vrai" trafic du tunnel).
• Inconvénient : Le "problème de l'œuf et de la poule" : comment les deux parties s'échangent-elles la Clé_Secrète de manière sécurisée ? (Réponse : via la crypto Asymétrique).
• Algorithmes : AES (128, 192, 256 bits - Standard moderne), 3DES (Obsolète), ChaCha20.

La Paire de Clés (Lente)

Le chiffrement asymétrique (ou à clé publique) utilise une paire de clés mathématiquement liées :

• Clé Publique : Peut être partagée avec tout le monde. Sert à chiffrer.
• Clé Privée : Doit rester secrète. Sert à déchiffrer.

Data + Clé_Publique_Bob -> (Chiffrement) -> Données_Chiffrées
Données_Chiffrées + Clé_Privée_Bob -> (Déchiffrement) -> Data

• Avantage : Permet un échange sécurisé sans secret partagé au préalable.
• Inconvénient : Extrêmement lent (x1000+).
• Usage VPN : Pas pour le trafic, mais pour l'échange de clés (protocole Diffie-Hellman - DH) ou l'authentification (Certificats RSA) lors de l'établissement du tunnel (IKE).

L'Empreinte Numérique

Une fonction de hachage (ex: SHA-256) prend des données (de n'importe quelle taille) et produit une empreinte de taille fixe (ex: 256 bits). C'est une fonction à sens unique (non réversible).

Objectif : Vérifier l'Intégrité (que les données n'ont pas changé).

A) Émetteur: Calcule HASH(Data) -> "ABCDE"
   (Envoie [Data] + [HASH("ABCDE")])

B) Récepteur: Reçoit [Data] + [HASH("ABCDE")]
   Il recalcule HASH(Data_Reçue) -> "ABCDE"
   Compare les deux hashs. S'ils sont identiques,
   les données sont intègres.

HMAC (Authenticité)

Un HMAC (Hash-based Message Authentication Code) combine un hash avec une clé secrète partagée. Cela garantit à la fois l'Intégrité ET l'Authenticité (prouve que l'émetteur possédait la clé secrète).

IPsec n'est pas un seul protocole, mais un framework (cadre) de protocoles standards (IETF) conçu pour sécuriser les communications à la Couche 3 (Réseau).

Il peut chiffrer tout le trafic IP (TCP, UDP, ICMP...), ce qui le rend très puissant et transparent pour les applications.

C'est le standard historique pour les VPN Site-to-Site (S2S).

Composants Clés

• AH / ESP : Les protocoles qui transportent les données (voir 3.2).
• IKE (Internet Key Exchange) : Le protocole (sur UDP 500) qui négocie et établit le tunnel (voir 4.1/4.2).
• Authentification : PSK (Pre-Shared Key) ou Certificats RSA.
• Chiffrement : AES, 3DES.
• Intégrité : SHA, MD5.

IPsec utilise deux protocoles principaux pour "transporter" les données sécurisées. ESP est utilisé dans 99% des cas.

IPsec encapsule les paquets IP originaux de deux manières différentes.

[ Nouvel En-tête IP | En-tête ESP | (En-tête IP Original | Data) ]

[ En-tête IP Original | En-tête ESP | (Data) ]

IKE (Internet Key Exchange) est le protocole de négociation (sur UDP 500) qui établit le VPN. Il se déroule en deux phases.

IKE Phase 1 (ISAKMP)

Objectif : Créer un canal de gestion sécurisé (appelé ISAKMP Tunnel ou IKE SA) entre les deux routeurs. C'est le tunnel qui servira à négocier le "vrai" tunnel (Phase 2).

Processus de Négociation (HAGLE)

Les deux routeurs doivent être d'accord sur exactement les mêmes paramètres (HAGLE) :

• Hash : (Intégrité) - ex: SHA-256.
• Authentication : (Qui es-tu ?) - ex: Pre-Shared Key (PSK) ou Certificats RSA.
• Group : (Groupe Diffie-Hellman) - (Robustesse de l'échange de clé, ex: DH Group 14).
• Lifetime : (Durée de vie) - (Combien de temps ce tunnel P1 est valide, ex: 86400 sec).
• Encryption : (Chiffrement) - (ex: AES-256).

Une fois la Phase 1 (Tunnel de gestion) établie et sécurisée, la Phase 2 commence (à l'intérieur de la Phase 1).

IKE Phase 2 (Quick Mode)

Objectif : Négocier les paramètres du "vrai" tunnel de données (le "IPsec SA") qui transportera le trafic des utilisateurs.

Paramètres Négociés (Transform Set)

• Protocole : (ex: ESP).
• Chiffrement : (ex: AES-256).
• Intégrité : (ex: SHA-256).
• Lifetime : (Durée de vie, ex: 3600 sec).
• Traffic Selectors (Proxy ID) : La partie la plus importante. Définit quel trafic est autorisé à passer dans le tunnel (ex: Source: 192.168.1.0/24 -> Dest: 10.0.0.0/24).

Le Problème : Le protocole ESP (Protocole IP 50) n'est ni TCP (6) ni UDP (17). La plupart des routeurs domestiques (Box Internet) qui font du NAT (PAT) ne savent pas comment "translater" le trafic ESP et jettent (drop) les paquets. Le VPN IPsec ne fonctionne pas si un client est derrière un NAT.

La Solution : NAT-Traversal

NAT-T est une fonction (négociée lors de IKE P1) qui encapsule les paquets ESP (normalement L3) à l'intérieur de paquets UDP (Couche 4).

Paquet Original (Bloqué par NAT) :
[ En-tête IP Public ] [ ESP ] [ Data Cryptée ]

Paquet avec NAT-T (OK) :
[ En-tête IP Public ] [ UDP (Port 4500) ] [ ESP ] [ Data Cryptée ]

Le routeur NAT voit un simple paquet UDP (Port 4500) et le laisse passer.

Le VPN SSL (un abus de langage, car il utilise TLS, le successeur de SSL) est le type de VPN dominant pour l'accès distant (Client-to-Site).

Le "VPN du Port 443"

Son avantage majeur est qu'il utilise le protocole TLS (Couche 7), le même que HTTPS. Il fonctionne donc (presque toujours) sur le port TCP 443.

Avantages sur IPsec

• Contourne les Firewalls : (Contrairement à IPsec qui utilise UDP 500/4500, souvent bloqués), le port 443 (HTTPS) est toujours ouvert (hôtels, aéroports, entreprises).
• Simplicité : Pas de négociation IKE P1/P2 complexe.

C'est le cas d'usage le plus fréquent pour le télétravail.

Fonctionnement

1. L'utilisateur installe un logiciel client (ex: Cisco AnyConnect, FortiClient, OpenVPN).
2. L'utilisateur s'authentifie (Login/Mdp + MFA) auprès du Firewall/Concentrateur VPN.
3. Le logiciel client crée une Interface Réseau Virtuelle (TUN) sur le PC.
4. Le client établit un tunnel TLS (sur 443) vers le firewall.
5. Le firewall assigne une IP (ex: 192.168.100.5) à l'interface virtuelle.

Résultat : Le PC du télétravailleur a (virtuellement) une IP du réseau interne et peut accéder aux serveurs comme s'il était au bureau.

Le mode "Clientless" (Sans Client) ne nécessite aucun logiciel sur le poste client, juste un navigateur web.

Fonctionnement (Reverse Proxy)

1. L'utilisateur se connecte (en HTTPS) à un portail web exposé par le firewall (ex: vpn.entreprise.com).
2. Il s'authentifie (Login/Mdp).
3. Le firewall lui présente une page "portail" avec des liens (bookmarks) vers les applications internes (ex: "Intranet SharePoint", "Outil RH").
4. L'utilisateur clique sur "Intranet".
5. Le firewall agit comme un Reverse Proxy : il récupère la page de l'intranet (en interne) et la retransmet à l'utilisateur (dans le tunnel HTTPS).

Inconvénient : Ne fonctionne que pour les applications Web (HTTP/HTTPS). Ne permet pas d'accéder à un partage de fichier (SMB) ou SSH.

OpenVPN est une solution VPN open-source extrêmement populaire et flexible. C'est devenu le standard *de facto* pour de nombreux services VPN (commerciaux et d'entreprise).

Caractéristiques

• Basé sur SSL/TLS : Utilise la bibliothèque OpenSSL pour le chiffrement et l'authentification (similaire aux VPN SSL).
• Flexible (Port) : Peut tourner sur n'importe quel port TCP ou UDP (le défaut est UDP 1194). (On peut le mettre sur TCP 443 pour contourner les firewalls).
• Flexible (Transport) : Peut utiliser TCP (fiable, mais lent -> "TCP-over-TCP") ou UDP (rapide, recommandé).
• Cross-Platform : Clients disponibles pour tous les OS.
• Authentification : Très robuste, basée sur Certificats (PKI) ou PSK.

L'implémentation standard d'OpenVPN repose sur une PKI (Public Key Infrastructure) pour l'authentification mutuelle (M-TLS).

Composants (Générés avec Easy-RSA)

• CA (Certificate Authority) : Le "Dieu" de la confiance. C'est un certificat (ca.crt) que vous générez et gardez secret. Il est utilisé pour signer (approuver) les certificats du serveur et des clients.
• Certificat Serveur : (server.crt + server.key) Prouve l'identité du serveur au client.
• Certificats Clients : (ex: bob.crt + bob.key) Un certificat unique est généré pour chaque client (utilisateur).

Processus d'Authentification

1. Client "Bob" se connecte au serveur OpenVPN.
2. Serveur : "Voici mon certificat (server.crt), signé par la CA."
3. Client (vérifie) : "OK, je fais confiance à cette CA."
4. Client : "Voici mon certificat (bob.crt), signé par la même CA."
5. Serveur (vérifie) : "OK, Bob est autorisé." (Le tunnel s'établit).

OpenVPN (et d'autres VPN Linux) crée une "interface virtuelle". Il en existe deux types :

L2TP (Layer 2 Tunneling Protocol) est un protocole de tunneling (Couche 2) qui, par lui-même, n'offre aucun chiffrement.

Pour être sécurisé, il est toujours implémenté par-dessus IPsec. Le résultat est "L2TP/IPsec".

Historique : C'était le "concurrent" de PPTP, et il était très populaire car intégré nativement dans Windows et d'autres OS (avant l'ère OpenVPN/SSL).

Usage (L2TP sur IPsec)

• L2TP crée le tunnel (similaire au mode TAP, il gère la connexion L2).
• IPsec (Mode Transport) est utilisé pour chiffrer les paquets L2TP.

Statut : Considéré comme "legacy" (ancien). Plus lent et plus complexe à configurer qu'OpenVPN ou WireGuard.

WireGuard est un protocole VPN moderne, open-source, qui révolutionne le domaine par sa simplicité et sa vitesse.

Caractéristiques Clés

• Simple : La base de code est minuscule (~4000 lignes) comparée à IPsec/OpenVPN (des centaines de milliers). Moins de surface d'attaque.
• Rapide : Opère (sur Linux) directement dans le Noyau (Kernel), le rendant beaucoup plus rapide (débit, latence) qu'OpenVPN (qui tourne en User-space).
• Crypto Moderne : N'utilise que des algorithmes modernes (ex: ChaCha20, Curve25519). (Non négociable).
• Configuration : Très simple, basée sur un échange de clés publiques (similaire à SSH).

(Exemple de config)

[Interface]
PrivateKey = [Clé privée A]
Address = 10.0.0.1/24

[Peer]
PublicKey = [Clé publique B]
Endpoint = 90.4.5.6:51820
AllowedIPs = 10.0.0.2/32