Comment fonctionne un VPN ?

Un VPN (réseau privé virtuel) crypte votre connexion Internet et redirige vos données via un serveur distant. Cela préserve votre vie privée en ligne, modifie votre adresse IP et votre localisation, et vous protège sur les réseaux Wi-Fi publics.

Mais comment fonctionnent réellement les VPN ? Comprendre ce qui se passe lorsque vous vous connectez à un serveur VPN vous permettra de tirer le meilleur parti de cet outil puissant et facile à utiliser.

Ce processus permet à un VPN de masquer votre adresse IP et votre localisation aux sites web que vous visitez, tout en protégeant votre activité en ligne des regards de votre FAI, de l’administrateur de votre réseau Wi-Fi ou de toute autre personne surveillant votre connexion.

C’est tout ce qu’il faut savoir pour commencer à bénéficier des avantages d’un VPN. Poursuivez votre lecture si vous souhaitez comprendre comment fonctionne réellement un VPN et tirer pleinement parti de ce logiciel.

Le diagramme ci-dessous illustre la manière dont une connexion VPN typique gère votre trafic web :

Vous pouvez voir les différentes étapes de ce processus dans l’ordre ci-dessous. Les étapes 1 à 3 représentent la « poignée de main VPN », tandis que les étapes 8 à 10 se déroulent tout au long de la session VPN.

Ces étapes offrent un aperçu général du fonctionnement d’un VPN. Cependant, leur mise en œuvre varie selon le protocole VPN et la configuration du réseau par le fournisseur.

Utilisez les liens ou poursuivez votre lecture pour explorer chaque étape de la connexion VPN en détail.

Contact initial client-serveur VPN

L’étape du contact initial se déroule comme suit :

Une fois ces étapes complétées, la poignée de main pour établir le chiffrement peut maintenant se dérouler. Voici comment les principaux protocoles VPN gèrent les premiers échanges :

• OpenVPN, SSL/TLS, SSTP :
  • Le client envoie un paquet Client Hello.
  • Le serveur répond par un paquet Server Hello.
• WireGuard :
  • Le client et le serveur échangent des messages d’initiation et de réponse à la poignée de main.
  • Ces messages comprennent des clés publiques éphémères et des paramètres cryptographiques.
• L2TP/IPSec et IKEv2 :
  • Le client et le serveur échangent des paquets d’initiation IKE (Internet Key Exchange) IKE_SA_INIT.

De nombreux VPN de premier plan proposent leurs propres protocoles, souvent basés sur des versions modifiées de WireGuard ou d’OpenVPN, et utilisant des processus d’initiation similaires à ceux de leurs protocoles de base.

Voici un exemple d’un paquet de contact initial d’OpenVPN :

^{Retour à l’aperçu des étapes de la connexion VPN ↩}

Authentification client-serveur VPN

L’authentification garantit que les clients se connectent uniquement à de vrais serveurs VPN. Les méthodes d’authentification varient en complexité et en sécurité, combinant souvent plusieurs techniques pour assurer une connexion fiable.

Les protocoles VPN comme OpenVPN et IPSec offrent une grande flexibilité, mais la plupart des processus d’authentification utilisent une combinaison de certificats, de clés pré-partagées (PSK) et de vérification par nom d’utilisateur et mot de passe.

Protocole VPN	Méthodes d’authentification primaire	Principales fonctionnalités
OpenVPN	Authentification par certificat, nom d’utilisateur et mot de passe	Utilisation de HMAC pour l’authentification des paquets, création d’un canal de contrôle TLS distinct pour l’authentification de la session en cours
WireGuard	Cryptographie à clé publique	Pas de processus traditionnel de poignée de main, l’authentification se produit avec le premier paquet envoyé, utilise des clés privées et publiques pré-partagées pour chaque pair
IKEv2	Clés pré-partagées (PSK), certificats numériques X.509, authentification basée sur l’utilisateur via EAP (Extensible Authentication Protocol)	Prise en charge de l’authentification séquentielle pour une sécurité accrue, utilisation de paquets IKE_AUTH chiffrés pour la confidentialité
L2TP/IPSec	Authentification en deux phases : L2TP authentifie les points d’extrémité du VPN, IPSec authentifie l’utilisateur	L2TP utilise des méthodes PPP (Point-to-point Protocol) (par exemple PAP, CHAP, MS-CHAP), IPSec établit un tunnel chiffré avant l’authentification L2TP, ce qui garantit la sécurité globale

^{Retour à l’aperçu des étapes de la connexion VPN ↩}

Échange de clés VPN

L’échange de clés est un processus cryptographique permettant à deux parties d’établir en toute sécurité une clé secrète partagée via un canal de communication non sécurisé, sans transmettre la clé elle-même.

Cette clé permet le chiffrement symétrique des communications ultérieures, créant ainsi un tunnel VPN sécurisé entre le client et le serveur.

Pour en savoir plus sur les différentes méthodes d’échange de clés, consultez la section dédiée aux poignées de main VPN.

Nous nous intéresserons ici à la manière dont les protocoles VPN les plus populaires gèrent l’échange de clés :

Les méthodes d’échange de clés diffèrent largement d’un protocole à l’autre, que ce soit en termes de complexité, de performance ou, surtout, de sécurité.

Cette flexibilité permet d’adapter les VPN à divers cas d’utilisation. Cependant, une telle complexité peut conduire à des erreurs de configuration chez des développeurs moins expérimentés, exposant ainsi à des failles de sécurité.

Pour de nombreux exemples, consultez notre enquête sur les failles de sécurité des VPN Android gratuits.

^{Retour à l’aperçu des étapes de la connexion VPN ↩}

Création d’un tunnel VPN

Une fois la poignée de main VPN terminée, un tunnel sécurisé est établi entre le client et le serveur.

Pour plus de détails sur les tunnels VPN, consultez la section dédiée. Nous allons ici nous concentrer sur le processus général de création d’un tunnel et sur la gestion de celui-ci par les différents protocoles.

Voici comment les principaux protocoles VPN gèrent la création de tunnels VPN :

• OpenVPN :
  • Utilise une interface réseau virtuelle tun/tap, configurable pour les modes IP ou Ethernet (couche 2).
  • Échange des adresses IP, des itinéraires et d’autres paramètres réseau.
  • Active le tunnel VPN et achemine le trafic via l’interface virtuelle.
  • Configure des fonctionnalités supplémentaires telles que la compression ou la fragmentation, si elles sont configurées.
• WireGuard :
  • Utilise une configuration de tunnel minimaliste axée sur les performances, avec une faible surcharge par rapport à d’autres protocoles.
  • Il crée une interface réseau virtuelle simple, généralement appelée wg0.
  • Peut envoyer des paquets keepalive persistants pour maintenir la connexion.
• L2TP/IPSec :
  • La couche IPSec crée le tunnel pour les paquets L2TP.
  • Établit une connexion de contrôle L2TP dans le tunnel IPSec.
  • Crée une session L2TP pour le transfert de données.
  • Active le tunnel VPN, acheminant le trafic à travers le tunnel L2TP protégé par IPSec.
• IKEv2 :
  • Établit un tunnel IPSec.
  • Peut acheminer différents flux de trafic par l’intermédiaire d’autres SA IPSec Child.

^{Retour à l’aperçu des étapes de la connexion VPN ↩}

Attribution d’IP

L’attribution d’une nouvelle adresse IP VPN est une étape essentielle lors de la connexion. Pour un aperçu général du masquage d’IP, consultez la section sur le fonctionnement d’un VPN pour dissimuler votre adresse IP.

Chaque protocole VPN attribue les adresses IP de manière différente. Voici comment les principaux protocoles gèrent ce processus :

La table de routage de votre appareil est mise à jour pour acheminer le trafic entre celui-ci et le serveur VPN via votre connexion Internet habituelle. De nouvelles règles sont ajoutées pour faire passer tout le reste du trafic Internet par le tunnel VPN vers sa destination.

Si le split-tunneling est disponible et activé dans le client, d’autres règles seront ajoutées à la table de routage pour diriger le trafic des applications que vous avez sélectionnées en dehors du tunnel, utilisant ainsi votre connexion Internet normale.

^{Retour à l’aperçu des étapes de la connexion VPN ↩}

Résolution DNS

Pour garantir la confidentialité de votre activité en ligne, les VPN acheminent généralement vos requêtes DNS à travers le tunnel chiffré avec le reste de votre trafic. Idéalement, le fournisseur utilise ses propres serveurs DNS, plutôt que ceux de votre FAI ou de tiers.

En cas contraire, on parle de fuite DNS, ce qui compromet votre vie privée.

Voici comment les principaux protocoles VPN protègent la résolution DNS :

Le choix du protocole VPN a un impact majeur sur le traitement du DNS, tant sur le plan de la sécurité que de la fonctionnalité.

Les protocoles VPN modernes offrent une protection DNS solide, mais les administrateurs moins expérimentés peuvent facilement les mal configurer.

De plus, de nombreux fournisseurs de VPN, en particulier les services gratuits, ne disposent pas de leurs propres serveurs DNS. Ainsi, même si les requêtes DNS passent par le tunnel, elles peuvent être enregistrées par des serveurs DNS tiers.

D’après nos recherches récentes, plus de 80 % des VPN Android gratuits laissent filtrer les requêtes DNS d’une manière ou d’une autre.

^{Retour à l’aperçu des étapes de la connexion VPN ↩}

Transmission de données, chiffrement et déchiffrement

Une fois la connexion VPN sécurisée établie, le client chiffre vos données et les envoie via le tunnel au serveur VPN. Celui-ci déchiffre les données et les transmet à leur destination, que ce soit un site web ou une application.

Les réponses des serveurs de destination sont ensuite chiffrées par le serveur VPN et renvoyées à travers le tunnel pour être déchiffrées par le client.

L’algorithme de chiffrement utilisé, ainsi que la structure et le traitement des paquets, dépendent du protocole VPN employé. Pour un aperçu général du chiffrement VPN, consultez la section sur le fonctionnement du chiffrement VPN.

Le tableau ci-dessous compare comment les protocoles VPN les plus courants gèrent la transmission des données ainsi que le chiffrement et le déchiffrement. Cliquez sur le bouton pour le développer, puis faites défiler pour découvrir comment chaque protocole traite les différents aspects du processus.

Sans VPN, votre appareil se connecte directement au serveur d’un site web, qui a besoin de votre adresse IP pour vous renvoyer du contenu.

Votre adresse IP est votre identifiant Internet unique, comme un passeport numérique, et elle indique aux autres ordinateurs où envoyer les informations.

Elle révèle des données personnelles, notamment votre localisation et vos activités en ligne. Pour protéger ces informations, de nombreuses personnes utilisent des VPN.

Lorsqu’un VPN est actif, votre connexion est redirigée vers un serveur distant avant d’accéder aux sites web. Votre véritable adresse IP est masquée, car les sites interagissent uniquement avec l’adresse IP du serveur VPN. Les informations sont envoyées au serveur VPN, qui les transmet ensuite à votre appareil.

Les avantages de masquer votre adresse IP sont :

• Empêcher les sites web et les annonceurs de suivre vos activités en ligne.
• Débloquer du contenu géo-restreint en faisant croire que vous naviguez depuis un autre pays.
• Rendre plus difficile la tâche des acteurs malveillants pour cibler votre appareil ou votre réseau.

Un tunnel VPN est un canal sécurisé entre votre appareil et le serveur VPN, permettant un accès privé à travers Internet.

On l’appelle tunnel car votre trafic est chiffré et enveloppé dans une couche non chiffrée.

C’est comme glisser une enveloppe scellée dans une autre, ce qui cache votre message original et le rend illisible pour quiconque pourrait l’intercepter.

Ce processus, connu sous le nom d’encapsulation, est assuré par des protocoles de tunnelisation.

Algorithmes de chiffrement VPN

Le chiffrement transforme les données en clair en un code secret, les rendant illisibles pour quiconque ne possède pas la clé de déchiffrement.

Les VPN utilisent le chiffrement pour dissimuler votre activité de navigation entre votre appareil et le serveur VPN, vous protégeant ainsi de diverses formes de surveillance.

Grâce à des algorithmes de chiffrement, les VPN convertissent votre activité en ligne en un code illisible. Ce processus repose sur un algorithme mathématique qui chiffre et déchiffre les données, souvent associé à une longueur de clé spécifique.

La clé est une chaîne de caractères permettant de modifier les données chiffrées. Seule une personne possédant la même clé peut déchiffrer ces données.

En général, des clés plus longues offrent une sécurité accrue. Par exemple, l’AES-256 est jugé plus sûr que l’AES-128.

Certains protocoles VPN utilisent des clés statiques, destinées à un usage à long terme, tandis que d’autres emploient des clés éphémères qui expirent après une seule session ou transaction.

Voici comment fonctionnent les algorithmes de chiffrement :

1. L’algorithme de chiffrement utilise une clé pour chiffrer les données avant de les envoyer.
2. La même clé ou une clé apparentée est utilisée pour décrypter les données à la réception.
3. Seules les personnes possédant la bonne clé peuvent décrypter et lire les informations.

Le chiffrement d’un VPN dépend souvent de l’accent mis par ses développeurs sur la sécurité plutôt que sur les performances, les algorithmes plus puissants demandant généralement plus de ressources.

De nouveaux algorithmes de chiffrement émergent régulièrement et sont intégrés par des services de qualité supérieure.

Les algorithmes de chiffrement les plus couramment utilisés dans les services VPN sont les suivants :

• Norme de chiffrement avancée (AES)
  • Norme de référence pour le chiffrement en ligne
  • Disponible avec des longueurs de clé de 128 bits et 256 bits
  • AES-256 est préféré pour une protection plus forte
  • Considéré comme résistant au quantum
• Blowfish
  • Conçu en 1993, largement remplacé par l’AES-256
  • Longueur de clé de 128 bits (32 à 448 bits possibles)
  • Présente des faiblesses connues
  • Utilisé comme solution de rechange à l’AES-256
• ChaCha20
  • Un nouveau système de chiffrement qui gagne en popularité
  • Longueur de clé de 256 bits
  • Sécurité comparable à celle de l’AES-256
  • Performances plus rapides, en particulier sur les appareils mobiles
• Camellia
  • Développé en 2000
  • Sécurité et rapidité comparables à celles de l’AES
  • Non certifié par le NIST
  • Disponibilité limitée dans les services VPN

Les modes de chiffrement définissent comment des algorithmes comme AES protègent les données. Ils sont essentiels pour la sécurité d’un VPN, car ils influencent à la fois la confidentialité et les performances. Voici les modes les plus courants utilisés dans les VPN :

• CBC (Cipher Block Chaining)
  • Mode traditionnel
  • Crée une chaîne de blocs dépendants
  • Peut être plus lent que les modes plus récents
  • Nécessite des mesures de sécurité supplémentaires
• GCM (Galois/Counter Mode)
  • Assure le chiffrement et l’authentification
  • Plus rapide que le CBC
  • Considéré comme très sûr
  • Largement utilisé dans les VPN modernes
• CTR (Counter)
  • Transforme le chiffrement par blocs en chiffrement de flux
  • Rapide et permettant le traitement en parallèle
  • Ne fournit pas d’authentification seule
  • Utilisé par ChaCha20
• OCB (Offset Codebook Mode)
  • Permet un chiffrement authentifié en un seul passage
  • Très efficace
  • Adoption limitée en raison de problèmes de brevets

Certains modes de chiffrement doivent être évités dans les VPN. Par exemple, l’ECB (Electronic Codebook) est trop basique pour garantir la sécurité, tandis que le CFB (Cipher Feedback) et l’OFB sont sujets à des erreurs de configuration en raison de leur complexité et sont considérés comme obsolètes. De plus, tout mode sans contrôle d’intégrité doit être écarté, sauf s’il est associé à un mécanisme d’authentification distinct.

La plupart des VPN de qualité utilisent désormais le mode GCM avec AES ou la combinaison ChaCha20-Poly1305, qui offrent un bon équilibre entre sécurité et performance. Lors de l’évaluation des VPN, nous privilégions ces modes de chiffrement modernes et authentifiés.

Protocoles VPN

Les protocoles VPN sont des ensembles de règles permettant d’établir des connexions sécurisées entre votre appareil et le serveur VPN. Ils définissent comment le tunnel VPN est créé et géré, tandis que les algorithmes de chiffrement protègent les données à l’intérieur de ce tunnel.

Chaque protocole propose un équilibre unique entre vitesse, sécurité et compatibilité. La plupart des services VPN utilisent par défaut un protocole spécifique, mais vous pouvez le modifier dans les paramètres de l’application.

Poignée de main VPN

La poignée de main VPN est essentielle pour établir des connexions sécurisées. Ce processus comprend :

1. L’authentification : Vérification de l’identité du client VPN et du serveur.
2. L’échange de clés : Partage sécurisé des clés de chiffrement.
3. La négociation des paramètres : Accord sur les règles de communication et les algorithmes de chiffrement.

Lors d’une connexion VPN, votre appareil et le serveur VPN échangent des informations pour établir un canal sécurisé. Cet échange génère une clé secrète partagée, utilisée pour chiffrer et déchiffrer les données pendant toute la session VPN.

Les poignées de main VPN utilisent généralement l’algorithme RSA (Rivest-Shamir-Adleman) . L’algorithme RSA est à la base de la sécurité Internet depuis une vingtaine d’années. Cependant, la longueur de la clé est essentielle.

Pour garantir une sécurité optimale, optez pour des services VPN utilisant RSA-2048 ou RSA-4096. RSA-1024 n’est plus jugé sécurisé en raison des avancées en puissance de calcul.

Bien que le processus d’échange soit généralement sécurisé, il génère une « clé principale » qui pourrait déchiffrer toutes les sessions sur le serveur en cas de compromission.

Dans ce scénario, un pirate pourrait s’introduire dans le serveur VPN et accéder à toutes les données circulant dans le tunnel VPN.

Pour limiter ce risque, nous recommandons d’utiliser des services VPN offrant une confidentialité persistante.

Confidentialité persistante parfaite

La confidentialité persistante parfaite (PFS) est une fonctionnalité de sécurité essentielle dans les protocoles VPN modernes. Elle utilise les algorithmes Diffie-Hellman (DH) ou Elliptic Curve Diffie-Hellman (ECDH) pour générer des clés de session temporaires uniques.

La confidentialité persistante parfaite garantit que les clés de chiffrement ne sont jamais échangées au cours de la connexion.

Les principaux avantages de la PFS sont les suivants :

1. Génération indépendante de la clé : Le serveur VPN et le client obtiennent indépendamment la même clé de chiffrement sans l’échanger.
2. Isolation de la session : Chaque connexion utilise une clé unique, ce qui limite les dommages potentiels d’une seule session compromise..
3. Sécurité temporelle : Les clés sont temporaires et supprimées après utilisation, ce qui empêche tout déchiffrement ultérieur des données capturées.

Bien que l’algorithme RSA soit essentiel pour l’authentification, il ne suffit pas à garantir la sécurité des services publics. L’implémentation de la PFS nécessite d’inclure DH ou ECDH dans la suite de chiffrement. ECDH assure une sécurité robuste pour les échanges, tandis que DH doit être utilisé avec précaution en raison de ses vulnérabilités potentielles.

Nous recommandons OpenVPN et WireGuard, deux protocoles VPN qui prennent en charge la confidentialité persistante parfaite.

Hash Authentication

Les algorithmes de hachage sécurisés (SHA) jouent un rôle essentiel dans la sécurité du VPN en :

1. Vérifiant l’intégrité des données pendant la transmission
2. Authentifiant les connexions client-serveur
3. Empêchant la manipulation non autorisée des données

Les SHA utilisent une fonction de hachage pour transformer les données sources en une chaîne de caractères de longueur fixe, appelée « valeur de hachage ». Ce processus est irréversible : modifier un seul caractère dans les données d’entrée change complètement la sortie.

C’est ainsi que cela fonctionne dans les communications VPN :

1. L’expéditeur applique une fonction de hachage convenue aux données.
2. Le destinataire génère un hachage à partir des données reçues en utilisant la même fonction.
3. Si le hachage généré correspond au hachage transmis, l’intégrité des données est confirmée.
4. Des hachages non concordants indiquent une altération potentielle, et les données sont rejetées.

L’authentification par hachage SHA protège contre les attaques de type « homme du milieu » en détectant la falsification des certificats, empêchant ainsi les pirates de se faire passer pour des serveurs VPN légitimes.

Pour une sécurité optimale, nous recommandons aux services VPN d’utiliser SHA-2 ou une version supérieure, car SHA-1 présente des faiblesses connues pouvant compromettre la sécurité.