Le chiffrement est au cœur même de la technologie VPN. Dans ce guide, nous décrivons le fonctionnement du cryptage VPN et comment il vous protège.

Guide de cryptage VPN

Qu'est-ce que le cryptage?

Le cryptage est le processus de codage des données afin que seuls les utilisateurs autorisés puissent y accéder, empêchant quiconque de le faire.

C'est un processus qui implique la substitution de lettres et de chiffres, ce qui fait ressembler les messages à du charabia à moins que vous n'appliquiez le processus correct pour le décoder - ce processus est connu sous le nom de «chiffrement».

Étant donné la puissance de traitement des ordinateurs modernes, tout chiffre qu'un humain pourrait trouver serait trop facile à casser.

De puissants algorithmes mathématiques sont désormais utilisés pour créer différentes méthodes de chiffrement, ainsi que les chiffres secrets nécessaires pour les déchiffrer.

Les services VPN utilisent le cryptage pour créer une connexion sécurisée (le tunnel VPN) entre votre appareil et un serveur VPN, gardant vos données Internet privées de votre FAI, des pirates et de tout autre tiers espionnant.

Dans ce guide, vous apprendrez tout sur les chiffrements et les protocoles VPN, et découvrirez lesquels sont les meilleurs et les plus sûrs à utiliser.

Nous allons tout décomposer en anglais simple et expliquer tout le jargon en termes simples afin que vous puissiez mieux comprendre le cryptage VPN et tout ce qu'il implique.

Glossaire de chiffrement

Capture d'écran de données cryptées sur fond noir

Commençons par définir certains des termes importants que nous utilisons lorsque nous parlons de chiffrement:

Terme
Définition
Algorithme Un ensemble d'instructions à suivre (par logiciel) pour résoudre un problème. Un chiffrement est un algorithme pour effectuer le chiffrement ou le déchiffrement.
Authentification Un processus pour garantir et confirmer l'identité d'un utilisateur.
Bit Abréviation de «chiffre binaire», c'est la plus petite unité de données dans un ordinateur.
Bloquer Un groupe de bits de longueur fixe (par exemple 64 bits)
Taille de bloc La longueur maximale d'un groupe de bits.
Attaque de force brute Une méthode pour essayer de deviner un secret en essayant toutes les combinaisons possibles de caractères. C’est un effort grossier et exhaustif plutôt que plus compliqué ou stratégique. Imaginez que vous ne pouvez pas ouvrir le cadenas de votre casier - plutôt que d'essayer de vous souvenir du code, en le forçant brutalement, vous essayez simplement toutes les combinaisons de 000 à 999 jusqu'à ce qu'il s'ouvre.
Chiffrer Un algorithme pour effectuer le chiffrement et le déchiffrement.
Cryptographie L'art d'écrire et de résoudre des codes pour créer une messagerie sécurisée, conçue pour que seules les parties concernées puissent la traiter et la lire.
Chiffrement Processus de conversion des données en code afin d'empêcher tout accès non autorisé à celles-ci.
Pare-feu Logiciel qui surveille et contrôle les paquets de données entrants ou sortants d'un réseau. Vous connaissez probablement celui de votre ordinateur de bureau ou portable, qui est conçu pour faire attention aux pirates et aux virus..
Poignée de main Un processus qui initialise la connexion entre deux ordinateurs - comme son nom l'indique, c'est un message d'accueil qui établit les règles de communication.
HTTPS Il signifie «Hypertext Transfer Protocol Secure», mais personne ne l’appelle jamais ainsi. Il s'agit d'une version sécurisée de HTTP, le protocole qui est le fondement du Web, et est utilisé pour garantir que la communication entre les appareils et les sites Web reste authentifiée, privée et sécurisée..
Noyau Le cœur d'un système d'exploitation. Dans un ordinateur, il contrôle le fonctionnement de l'ordinateur et de son matériel.
Clé Chaîne de bits utilisée par un chiffrement pour convertir le «texte brut» (informations non chiffrées) en texte chiffré (informations chiffrées), et vice versa. Une clé peut varier en longueur - généralement, plus elle est longue, plus il faudrait du temps pour la casser.
Paquet Un paquet est une unité de données acheminée entre une origine et une destination sur un réseau, et composée d'un en-tête, de la charge utile (vos données) et de la remorque, et normalement d'une taille définie spécifique, qui correspond à la MTU du réseau (Maximum Unité de transmission) taille. Lorsque des données doivent être envoyées sur un réseau, si elles sont plus volumineuses qu'un paquet, elles peuvent avoir besoin d'être décomposées en plusieurs paquets de données, qui sont ensuite envoyés individuellement et les données réassemblées à la destination.
Port Tout comme un bateau accoste à un port physique, les ports informatiques représentent le «point final» de la communication. Toute information atteignant votre appareil le fait via un port.
Protocole Un ensemble de règles utilisées pour négocier une connexion entre un client VPN et un serveur VPN. Certains sont plus complexes ou sécurisés que d'autres - OpenVPN et IKEv2 sont des choix populaires.

Glossaire de chiffrement

Maintenant que nous savons ce que signifient les termes, il est temps d'expliquer ce qu'est le cryptage et de le faire plus en profondeur.

Types de cryptage

Illustration de deux touches, l'une sur l'autre sur un fond bleu pâle

Il existe deux types de cryptage: symétrique et asymétrique.

Cryptage à clé symétrique

Le chiffrement à clé symétrique est le cas où une seule clé est utilisée pour gérer à la fois le chiffrement et le déchiffrement des données.

Les deux parties ont besoin de la même clé pour communiquer. C'est le type de cryptage utilisé dans la technologie VPN.

La puissance des ordinateurs modernes signifie que les clés ont dû devenir de plus en plus longues pour empêcher les attaques par force brute (en essayant chaque combinaison pour trouver la bonne clé).

L'étalon-or actuel est la clé 256 bits, qui ne peut pas être forcée brutalement car il faudrait des milliards d'années pour parcourir toutes les combinaisons possibles à l'aide des ordinateurs disponibles aujourd'hui.

Cryptage asymétrique

Avec la cryptographie asymétrique (ou cryptographie à clé publique), chaque participant qui souhaite communiquer en toute sécurité utilise un logiciel pour générer une clé publique et la clé privée correspondante.

Par exemple, prenons deux personnes: la personne A et la personne B

Lorsque la personne A souhaite envoyer un message sécurisé à la personne B, la clé publique de la personne B est utilisée dans un chiffrement pour convertir le message en texte brut en un message chiffré.

Bien que le message crypté puisse voyager de A à B via diverses autres parties (personnes C, D, E et F), toute personne qui essaie de lire le message ne verra que le texte crypté.

Lorsque la personne B reçoit le message crypté, elle utilise sa clé privée pour décoder le message crypté en texte brut.

Ce système est de plus en plus utilisé par les journalistes, par exemple, qui publient leur clé publique sur leurs profils de médias sociaux pour que les sources leur envoient des messages qui ne peuvent être décryptés qu'avec la clé privée du journaliste.

Le système le plus connu est Pretty Good Privacy (PGP). Il existe de nombreux outils logiciels différents qui utilisent OpenPGP, la version open source de la norme.

Le chiffrement à clé publique est utilisé lors d'une négociation TLS afin de partager en toute sécurité une clé symétrique entre le client et le serveur.

SSL & TLS

TLS / SSL est le cryptage que la plupart d'entre nous ont connu lors de la navigation sur le Web sur un site Web sécurisé qui utilise HTTPS.

Vous saurez quand un site Web utilise HTTPS par le symbole du cadenas dans la barre d'adresse du navigateur.

Le protocole de sécurité utilisé ici est TLS (Transport Layer Security), qui est basé sur son prédécesseur Secure Sockets Layer (SSL version 3.0).

TLS utilise une combinaison de cryptage à clé publique et symétrique pour protéger vos données.

Pendant la négociation TLS, votre navigateur utilise un cryptage asymétrique pour communiquer avec le serveur de la page sécurisée et générer en toute sécurité une clé symétrique.

Il est ensuite utilisé pour crypter les données transférées entre votre navigateur et le serveur.

La génération d'une clé symétrique à utiliser est beaucoup plus efficace que l'utilisation de clés asymétriques pour tous les transferts de données.

En effet, le chiffrement asymétrique nécessite une quantité incroyable de puissance de calcul supplémentaire pour chiffrer et déchiffrer toutes les données nécessaires par rapport à l'utilisation d'une clé symétrique.

On peut donc dire que le cryptage à clé symétrique est la méthode de cryptage la plus rapide.

Bien que ce qui précède soit bon et génère un chiffrement sécurisé, chaque session sécurisée générée par le serveur est déchiffrable avec la clé privée du serveur.

Si cette clé privée venait à être compromise, la clé privée volée peut alors être utilisée pour décrypter toute session sécurisée sur ce serveur, passée ou présente.

Pour éviter cela, les connexions HTTPS et OpenVPN sont désormais couramment configurées à l'aide de Perfect Forward Secrecy, en utilisant un algorithme appelé Diffie-Hellman Key Exchange qui génère la clé symétrique.

Cela peut sembler déroutant, mais tout ce que vous devez vraiment comprendre, c'est que c'est la façon la plus sûre de procéder, car la clé symétrique n'est jamais échangée via la connexion, mais générée indépendamment par le serveur et le navigateur Web..

Le navigateur génère une clé privée temporaire et une clé publique correspondante.

La clé symétrique pour la session TLS est basée sur la sortie d'un algorithme qui fonctionne sur une clé privée de l'appareil (par exemple un serveur) et la clé publique de l'autre appareil (par exemple votre navigateur).

En raison des propriétés mathématiques sophistiquées de cet algorithme et de la magie technique, la clé générée par ce processus correspondra à la fois sur le serveur et le navigateur.

Cela signifie que si un tiers tel que votre FAI ou le gouvernement stocke vos données chiffrées des sessions précédentes et que la clé privée est par ailleurs compromise ou volée, il ne pourra pas déchiffrer ces données..

ExpressVPN est un service VPN qui utilise Perfect Forward Secrecy, négociant une nouvelle clé privée chaque fois que vous vous connectez, et toutes les 60 minutes lorsqu'une connexion VPN est utilisée.

ExpressVPN illustrant comment l'application utilise des clés publiques

Cette illustration ExpressVPN montre comment l'application VPN utilise la clé publique du serveur pour produire une paire de clés symétriques, à l'aide d'un chiffrement asymétrique.

Maintenant que nous avons expliqué les différentes méthodes de cryptage disponibles, parlons des différents protocoles VPN disponibles.

Protocoles VPN

Qu'est-ce qu'un protocole VPN?

Les protocoles VPN représentent les processus et les ensembles d'instructions (ou règles) sur lesquels les clients VPN s'appuient pour établir des connexions sécurisées entre un appareil et un serveur VPN afin de transmettre des données.

Les protocoles VPN sont formés à partir d'une combinaison de protocoles de transmission et de normes de chiffrement.

Quels protocoles VPN sont actuellement disponibles?

Voici les principaux protocoles de tunneling VPN que vous devez connaître:

OpenVPN - Très sécurisé et rapide

Logo OpenVPN

OpenVPN est le protocole VPN standard de l'industrie et nous vous recommandons de l'utiliser chaque fois que vous le pouvez.

Il s'agit de l'un des protocoles VPN les plus sûrs et sécurisés, et surtout, il est open-source, ce qui signifie qu'il est complètement transparent et continue d'être testé et amélioré publiquement.

OpenVPN est très configurable et, bien qu'il ne soit pris en charge nativement par aucune plate-forme, la plupart des fournisseurs VPN proposent des applications gratuites qui le prennent en charge.

Ces applications VPN personnalisées sont disponibles sur la plupart des plates-formes majeures comme Microsoft Windows, Apple MacOS, Android, Linux et iOS.

Certains fournisseurs proposent également des fichiers de configuration OpenVPN, ce qui signifie que vous pouvez télécharger le client OpenVPN d'origine pour votre plateforme à partir de https://openvpn.net/ et l'utiliser pour vous connecter à votre service VPN choisi.

OpenVPN fonctionne à la fois sur UDP et TCP, qui sont des types de protocoles de communication.

TCP (Transmission Control Protocol) est le protocole de connexion le plus utilisé sur Internet. Les données envoyées sont transférées en morceaux, généralement composés de plusieurs paquets.

TCP est conçu pour livrer les données transférées au client OpenVPN dans l'ordre où elles ont été envoyées depuis le serveur OpenVPN (par exemple, les paquets 1, 2, 3, 4 et 5 envoyés depuis OpenVPN sont reçus par le client OpenVPN dans le même ordre - 1 , 2, 3, 4, 5).

Pour ce faire, TCP peut retarder la livraison des paquets qu'il a reçus sur le réseau au client OpenVPN jusqu'à ce qu'il ait reçu tous les paquets attendus et réorganisé tous les paquets hors service en place.

TCP demandera à nouveau (et attendra ensuite de recevoir) les paquets qui peuvent également avoir été perdus lors de la transmission entre le serveur et le client.

Ce temps de traitement et d'attente ajoute de la latence à la connexion VPN, ce qui rend la connexion plus lente que UDP.

UDP (User Datagram Protocol) transmet simplement les paquets de données sans nécessiter de confirmation d'arrivée, et les tailles de paquets UDP sont plus petites que TCP.

En utilisant OpenVPN UDP, la plus petite taille de paquet, le manque de vérifications et la réorganisation se traduisent par une connexion plus rapide.

Alors, ce qui est mieux: TCP ou UDP?

Cela dépend du résultat souhaité.

Si vous utilisez un VPN pour jouer, diffuser ou utiliser des services VoIP, alors UDP est votre meilleur pari, car il est plus rapide que TCP.

L'inconvénient est que vous pouvez rencontrer des paquets perdus, ce qui pourrait signifier, par exemple, lors d'un appel VOIP, vous entendez la voix de la personne à qui vous parlez pendant une fraction de seconde au milieu de la parole.

Cependant, vous devez basculer vers TCP si vous rencontrez des problèmes de connexion. Le port TCP 443 est également utile pour contourner la censure, car ce port est le port par défaut pour HTTPS, et est donc moins susceptible d'être bloqué par des pare-feu.

Pour le chiffrement, OpenVPN utilise la bibliothèque OpenSSL, qui prend en charge une gamme de chiffrements.

Le cryptage OpenVPN est composé de plusieurs éléments: canal de données, canal de contrôle, authentification du serveur et authentification HMAC:

  • Authentification du serveur fonctions dans le même était que TLS ou HTTPS. OpenVPN peut utiliser des certificats pour vérifier que le serveur auquel vous parlez est de confiance cryptographiquement.
  • le canal de contrôle est utilisé dans la phase initiale, effectuant la négociation TLS pour convenir des paramètres de chiffrement pour transmettre les données en toute sécurité, et authentifiant le client sur le serveur.
  • le canal de données est la couche qui transmet les informations entre votre appareil et le serveur OpenVPN. Cette couche est chiffrée à l'aide d'un schéma de chiffrement symétrique pour les performances, dont la clé a été obtenue via le canal de contrôle.
  • Authentification HMAC est utilisé pour s'assurer que les paquets envoyés n'ont pas été altérés en transit par un attaquant du milieu qui a la capacité de lire ou de modifier les données en temps réel.

Sachez que certains services VPN n'utilisent pas près du même niveau de cryptage sur les deux canaux.

L'utilisation d'un cryptage plus faible sur le canal de données peut être un raccourci bon marché vers une connexion plus rapide, car une meilleure sécurité se fait au détriment de la vitesse.

Malheureusement, un VPN n'est aussi sécurisé que son élément le plus faible, vous devez donc rechercher un VPN aussi fort que possible dans son cryptage des deux canaux..

Nous verrons plus en détail à ce sujet dans les sections ci-dessous sur les chiffres et les poignées de main.

Maintenant que vous savez quel est le protocole VPN le plus sûr, vous devez savoir ce que sont les autres - plus celui à éviter à tout prix.

PPTP - Sécurité faible, éviter

Le protocole de tunnelage point à point (PPTP), l'un des plus anciens protocoles VPN encore en usage aujourd'hui. Il a été développé par une équipe financée par Microsoft et publié en 1999.

En dépit d'être obsolète, PPTP a quelques points positifs: il est compatible avec à peu près tout, il n'a pas besoin de logiciel supplémentaire car il est inclus dans les systèmes d'exploitation modernes, et il est très rapide.

Le problème majeur est qu’il s’est avéré peu sûr et facile à casser (une attaque prend généralement entre une minute et 24 heures).

Illustration de pirates informatiques volant une carte de crédit et une pièce d'identité, avec un cadenas déverrouillé sur l'écran de l'ordinateur

PPTP est également simple à bloquer car il repose sur le protocole GRE, qui est facilement pare-feu.

Vous devez éviter d'utiliser ce protocole sauf en cas d'absolue nécessité de modifier votre adresse IP pour des raisons non sensibles. Nous considérons que PPTP n'est pas sûr.

L2TP / IPsec - Sécurisé, mais peut être lent

Le protocole de tunneling de couche 2 (LT2P) reprend les meilleures fonctionnalités du protocole de tunneling point à point (PPTP) de Microsoft et du protocole de transfert de couche 2 de Cisco (L2F) et est utilisé pour créer un tunnel entre un périphérique client et un serveur sur le réseau.

L2TP peut gérer l'authentification, mais ne fournit aucune capacité de cryptage.

Par conséquent, L2TP est généralement implémenté avec Internet Protocol Security (IPsec) pour créer des paquets sécurisés qui fournissent l'authentification, l'intégrité et le chiffrement des données.

Ceci est plus communément appelé L2TP / IPsec, et les données sont généralement cryptées à l'aide du chiffrement AES, que vous pouvez consulter ici.

Lors de la connexion à un serveur VPN avec L2TP / IPsec, IPsec est utilisé pour créer un canal de contrôle sécurisé entre le client et le serveur.

Les paquets de données de l'application de votre appareil (comme votre navigateur Web, par exemple) sont encapsulés par L2TP. IPSec crypte ensuite ces données L2TP et les envoie au serveur, qui effectue ensuite le processus inverse, déchiffrant et décapsulant les données.

En termes de vitesse, la double encapsulation de L2TP / IPsec (essentiellement un tunnel dans un tunnel) devrait la ralentir par rapport à OpenVPN.

Cependant, il est théoriquement plus rapide car le chiffrement et le déchiffrement ont lieu dans le noyau, qui peut traiter efficacement les paquets avec un minimum de surcharge.

L2TP / IPsec est généralement considéré comme sûr lorsqu'il est utilisé avec le chiffrement AES.

Mais il a été suggéré que le protocole a été compromis par la NSA et que IPsec a été délibérément affaibli lors de sa création..

Il n'y a pas eu de confirmation officielle de cela, cependant.

Le principal problème avec L2TP / IPsec et son utilisation dans les services VPN réside dans les services qui utilisent des clés pré-partagées (également connues sous le nom de secret partagé) qui peuvent être téléchargées à partir des sites Web des services VPN et sont donc accessibles à tous..

Bien que ces clés ne soient utilisées que pour authentifier la connexion avec les serveurs VPN et que les données elles-mêmes restent chiffrées via une clé distincte, elles ouvrent la porte à des attaques potentielles MITM (Man in-the-middle).

C'est là que l'attaquant usurpe l'identité d'un serveur VPN afin de déchiffrer le trafic et d'écouter la connexion.

L2TP / IPsec utilise également un nombre limité de ports fixes, ce qui le rend relativement facile à bloquer.

Malgré ces problèmes, LT2P / IPsec est un choix solide étant donné qu'il est pris en charge en mode natif par autant de plateformes tant que les clés pré-partagées ne sont pas utilisées.

SSTP - Source fermée avec risques potentiels

Le protocole SSTP (Secure Socket Tunneling Protocol) est un protocole propriétaire appartenant à Microsoft qui est basé sur SSL 3.0, ce qui signifie que, comme OpenVPN, il peut utiliser le port TCP 443.

Comme SSTP n'est pas open-source, il est impossible de réfuter les suggestions de backdoors ou d'autres vulnérabilités présentes dans le protocole.

Ce risque dépasse de loin les avantages de son intégration étroite avec Windows.

Un autre drapeau rouge est que SSL 3.0 est vulnérable à une attaque d'homme au milieu connue sous le nom de POODLE.

Il n'a pas été confirmé si le SSTP est affecté, mais à notre avis, cela ne vaut pas le risque.

IKEv2 / IPSec - Très rapide, sécurisé et stable

Internet Key Exchange version 2 (IKEv2) est un protocole VPN plus récent et une autre norme de source fermée développée en collaboration entre Microsoft et Cisco.

IKEv2 est nativement pris en charge par iOS, BlackBerry et Windows versions 7 et ultérieures.

Cependant, il existe des versions open source de IKEv2 développées pour Linux qui ne présentent pas les mêmes problèmes de confiance que la version propriétaire.

De manière similaire à L2TP / IPsec, IKEv2 est utilisé aux côtés d'IPsec lorsqu'il fait partie d'une solution VPN, mais offre plus de fonctionnalités.

IKEv2 / IPSec peut gérer le changement de réseaux via ce que l'on appelle le protocole MOBIKE - utile pour les utilisateurs mobiles qui sont sujets à la perte de leur connexion, et est plus rapide en raison de sa programmation pour mieux utiliser la bande passante.

IKEv2 / IPSec prend également en charge une plus large gamme de chiffrements de chiffrement que L2TP / IPSec.

Cependant, IKEv2 ne le coupera pas lorsque vous essayez de vous connecter hors d'un pays hautement censuré. En effet, IKEv2 utilise des ports spécifiés qui sont très faciles à bloquer par le Great Firewall..

WireGuard - Nouveau protocole prometteur

Logo WireGuard

Wireguard est un nouveau protocole de tunneling qui vise à être plus rapide et plus performant que le protocole le plus populaire actuel, OpenVPN.

WireGuard vise à résoudre les problèmes souvent associés à OpenVPN et IPsec: à savoir une configuration compliquée, plus les déconnexions (sans configuration supplémentaire) et les longs temps de reconnexion associés qui suivent.

Alors qu'OpenVPN + OpenSSL et IPsec ont une grande base de code (~ 100 000 lignes de code pour OpenVPN et 500 000 pour SSL) et IPsec (400 000 lignes de code), ce qui rend difficile la recherche de bogues, Wireguard pèse actuellement moins de 5 000 lignes dans Taille.

Mais Wireguard est toujours en développement.

Bien que les benchmarks Wireguard montrent qu'il est très rapide, il existe des problèmes dans la mise en œuvre qui peuvent le rendre impropre à l'utilisation par un fournisseur VPN commercial.

L'un d'eux est qu'il nécessite qu'une adresse IP non publique soit attribuée à chaque utilisateur, ce qui ajoute un élément de journalisation à tout utilisateur VPN sérieux serait mal à l'aise avec.

Pourquoi?

Parce que cette adresse IP non publique peut être utilisée pour vous identifier.

Des travaux sont en cours pour.

WireGuard n'en est encore qu'à ses débuts et n'a pas encore fait ses preuves - cependant, un nombre croissant de fournisseurs de VPN l'ajoutent à leurs clients à des fins de test uniquement, notamment IVPN et AzireVPN..

Promotion sur le site Web d'IVPN concernant sa mise en œuvre de WireGuard

Les protocoles VPN fournissent le cadre pour le chiffrement sécurisé. Voyons maintenant quel rôle les chiffrements jouent et les variétés de chiffrements disponibles.

Chiffres

Un chiffrement est essentiellement un algorithme de chiffrement et de déchiffrement de données. Les protocoles VPN utilisent une variété de chiffrements, et les suivants sont les plus couramment utilisés:

AES

Advanced Encryption Standard (AES) est un chiffrement à clé symétrique établi par le National Institute of Standards and Technology (NIST) des États-Unis en 2001..

Il s'agit de la norme de référence pour les protocoles de chiffrement en ligne et est largement utilisé par l'industrie du VPN. AES est considéré comme l'un des chiffrements les plus sûrs à utiliser.

AES a une taille de bloc de 128 bits, ce qui signifie que AES peut gérer des fichiers plus volumineux que d'autres chiffrements, tels que Blowfish qui a une taille de bloc de 64 bits.

AES peut être utilisé avec différentes longueurs de clé. Alors que l'AES-128 est toujours considéré comme sécurisé, AES-256 est préféré car il offre une meilleure protection. AES-192 est également disponible.

Illustration d'un coffre-fort bancaire sur fond bleu

Lorsque vous lisez le chiffrement de niveau militaire ou de niveau bancaire sur le site Web d'un service VPN, il fait généralement référence à AES-256, qui est utilisé par le gouvernement américain pour les données Top Secret..

Blowfish

Blowfish est un autre chiffrement à clé symétrique, conçu en 1993 par le cryptographe américain Bruce Schneier.

Blowfish était le chiffre par défaut utilisé dans OpenVPN, mais a été largement remplacé par AES-256.

Lorsque Blowfish est utilisé, vous le verrez généralement utilisé avec une longueur de clé de 128 bits, bien qu'il puisse aller de 32 bits à 448 bits..

Blowfish a quelques faiblesses, y compris sa vulnérabilité aux «attaques d'anniversaire», ce qui signifie qu'il ne devrait vraiment être utilisé que comme solution de rechange à AES-256.

Camélia

Camellia est également un chiffrement à clé symétrique, et il est très similaire à AES en termes de sécurité et de vitesse.

La principale différence est que Camellia n'est pas certifié par le NIST, l'organisation américaine qui a créé AES.

Bien qu'il y ait un argument pour utiliser un chiffrement non associé au gouvernement américain, il est rarement disponible dans les logiciels VPN, et il n'a pas été aussi minutieusement testé que AES.

Prise de contact VPN

Illustration de deux mains tremblant

Tout comme avec le lancement d'une session sécurisée sur un site Web HTTPS, la connexion sécurisée à un serveur VPN nécessite l'utilisation d'un chiffrement à clé publique (généralement à l'aide du cryptosystème RSA) via une négociation TLS.

RSA a été la base de la sécurité Internet au cours des deux dernières décennies, mais malheureusement, il semble maintenant probable que la version plus faible, RSA-1024, ait été piratée par la NSA..

Bien que la plupart des services VPN se soient éloignés du RSA-1024, une minorité continue de l'utiliser et doit donc être évitée. Recherchez RSA-2048, qui est toujours considéré comme sécurisé.

Idéalement, un chiffrement supplémentaire sera utilisé pour créer Perfect Forward Secrecy. Généralement, cela se fera via l'inclusion de l'échange de clés Diffie-Hellman (DH) ou à courbe elliptique Diffie-Hellman (ECDH).

Alors que l'ECDH peut être utilisé seul pour créer une poignée de main sécurisée, la DH seule doit être évitée car elle est vulnérable à la fissuration. Ce n'est pas un problème lorsqu'il est utilisé avec RSA.

Authentification par hachage SHA

Les algorithmes de hachage sécurisé (SHA) sont utilisés pour garantir l'intégrité des données transmises et des connexions SSL / TLS, telles que les connexions OpenVPN, pour garantir que les informations n'ont pas été modifiées pendant le transit entre la source et la destination.

Les algorithmes de hachage sécurisé fonctionnent en transformant les données source à l'aide de ce que l'on appelle une fonction de hachage, grâce à quoi le message source d'origine est exécuté via un algorithme et le résultat est une chaîne de caractères de longueur fixe qui ne ressemble en rien à l'original - la «valeur de hachage».

Il s'agit d'une fonction à sens unique - vous ne pouvez pas exécuter un processus de déshachage pour déterminer le message d'origine à partir de la valeur de hachage.

Le hachage est utile car la modification d'un seul caractère des données source d'entrée modifie totalement la valeur de hachage qui est sortie de la fonction de hachage.

Un client VPN exécutera les données reçues du serveur, combinées à la clé secrète, via la fonction de hachage convenue lors de la négociation VPN.

Si la valeur de hachage générée par le client diffère de la valeur de hachage dans le message, les données seront supprimées car le message a été falsifié..

L'authentification par hachage SHA empêche les attaques de l'homme du milieu en pouvant détecter toute falsification d'un certificat TLS valide.

Sans cela, un pirate pourrait se faire passer pour le serveur légitime et vous inciter à vous connecter à un serveur dangereux, où votre activité pourrait être surveillée.

Il est recommandé d'utiliser SHA-2 (ou supérieur) pour améliorer la sécurité, car SHA-1 présente des faiblesses éprouvées pouvant compromettre la sécurité..

Qu'est-ce qu'un VPN? Diagramme d'explication

Nous avons couvert beaucoup de terrain dans ce guide sur le chiffrement, mais vous pouvez toujours avoir des questions plus générales liées aux VPN et aux protocoles qui nécessitent une réponse.

Voici les questions les plus courantes que nous entendons:

Quel est le protocole VPN le plus sûr?

OpenVPN utilisé avec le chiffrement AES-256 est généralement considéré comme le protocole VPN le meilleur et le plus sûr. OpenVPN est open-source et a été testé publiquement pour les faiblesses.

OpenVPN offre un excellent équilibre entre confidentialité et performances, et est compatible avec de nombreuses plates-formes populaires. De nombreux services VPN commerciaux utilisent OpenVPN par défaut.

IKEv2 est une bonne option pour les appareils mobiles car il gère plus efficacement les changements de réseau, restaurant automatiquement les connexions interrompues avec facilité et rapidité.

Comment changer le protocole VPN?

Certains services VPN, comme ExpressVPN, vous permettent de modifier le protocole VPN dans le menu des paramètres de l'application VPN.

Si c'est le cas, ouvrez simplement le menu des paramètres et sélectionnez le protocole VPN que vous souhaitez utiliser.

Capture d'écran du menu des paramètres du protocole ExpressVPN

S'il n'y a pas de sélection de protocole VPN dans l'application personnalisée, vous pourrez peut-être installer des protocoles alternatifs à l'aide d'une configuration manuelle.

NordVPN est un exemple de service VPN qui fonctionne sur OpenVPN mais permet une installation manuelle d'IKEv2.

Si votre service VPN prend en charge une configuration de protocole alternative, assurez-vous de suivre attentivement les instructions données sur son site Web..

Tous les VPN chiffrent-ils les données?

Les VPN, de par leur nature même, chiffrent les données, mais certains services prétendent être des VPN sans fournir de chiffrement. Hola Free VPN est l'un d'entre eux, et vous devriez éviter à tout prix les produits comme celui-ci.

Les extensions de navigateur VPN sont un autre produit dont il faut se méfier un peu. Les extensions de navigateur sont des services proxy plutôt que des services VPN, et bien que certains fournissent un cryptage, d'autres ne le font pas.

Les extensions de navigateur qui fournissent le cryptage ne protégeront que le trafic de votre navigateur dans le navigateur Web dans lequel il s'exécute, vous devrez donc utiliser un VPN complet pour crypter toutes vos autres applications.

Tous les VPN sont-ils sûrs à utiliser?

Oui - si vous faites le bon choix.

Tous les VPN ne sont pas sûrs à utiliser. Même ceux qui utilisent les meilleurs protocoles et chiffrements VPN peuvent mettre vos données personnelles en danger en enregistrant vos activités en ligne.

Vous devez rechercher un VPN avec une politique de journalisation respectueuse de la confidentialité, ainsi que celui qui prend en charge les protocoles VPN et les chiffrements les plus sûrs.

Pour vous faciliter la tâche, pourquoi ne pas jeter un œil à nos VPN les plus recommandés - ce sont les plus sûrs du monde.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me