Un VPN (Virtual Private Network) partout dans le monde ou RPV (Réseau Privé Virtuel) au Québec, est un système informatique, donc purement logiciel qui permet de créer un lien direct entre des ordinateurs distants ou des ordinateurs et un serveur (Nota: un serveur est un ordinateur en général plus puissant avec de très bonnes connexions réseau, il peut gérer et servir de multiples accès utilisateur).

Nous utiliserons le terme VPN pour décrire ce type de liaison et à la fin de cet article vous trouverez un glossaire pour certains termes utilisés.

On utilise beaucoup ce vocable dans le cadre du travail à distance, d’entités de petites tailles déportées du réseau central d’entreprise ainsi que pour l’accès à des structures de type cloud computing (informatique nuagique).

Ce système informatique permet de créer sur une liaison Internet publique une sorte de tunnel de communication isolé des autres liens qui transitent sur cette liaison. C’est l’une des principales notions impliquées par les adjectifs virtuel et privé.

Ce type de liens s’apparente aux liens dont on pouvait disposer dans les années 70-80 que l’on appelait ”lignes spécialisées”, elles étaient constituées de connexions physiques non commutées dans les centraux téléphoniques à relais mécaniques ou électroniques. Depuis nous sommes passé au tout électronique et au tout numérique.

Création d’un VPN :

Pour créer un VPN, il faut :

• soit deux ordinateurs,
• soit un ordinateur et un serveur,
• soit un ordinateur et un routeur,
• soit deux serveurs,
• soit deux routeurs.

Chaque équipement doit être capable d’utiliser un navigateur compatible ou exécuter un logiciel client ou serveur VPN. On peut ainsi créer un lien entre un ordinateur et un autre ordinateur, un ordinateur et un serveur, un ordinateur et un réseau complet ou deux réseaux complets. Les deux éléments se retrouvent alors sur le même réseau virtuel ce qui permet de s’affranchir des restrictions dues aux parefeux (Firewall). Dans le schéma suivant, les Site A et B distants peuvent partager le même réseau privé sans que de étrangers puissent s’y accrocher.

VPN de site à site

La communication via une liaison VPN est encapsulée, c’est à dire que les paquets d’informations transportés sont formatés différemment de ceux natifs du protocole IP, ils sont enrobés dans les paquets un autre protocole . Cela permet aussi de passer dans ce type de flux des protocoles de communication multiples.

On utilise couramment deux types d’encapsulation : le VPN TLS/SSL et le VPN IPSec.

L’encapsulation TLS/SSL :

Transport Layer Security (TLS), et son prédécesseur Secure Sockets Layer (SSL), sont des protocoles de sécurisation des échanges sur Internet. Le protocole SSL a été développé à l’origine par Netscape. L’IETF, en a poursuivi le développement en le rebaptisant Transport Layer Security (TLS). Il n’y a pas besoin de logiciel VPN client pour l’activer, un navigateur Internet compatible permettant l’ouverture de session HTTPS SSL/TLS est suffisant (Safari, Firefox, Chrome, Edge, etc…).

Une solution existe pour permettre l’accès et la prise en main à distance via ce type de VPN, c’est ce qu’on appelle RD Web Access, pour Remote Desktop Web Access.

L’encapsulation IPSec :

Ce type d’encapsulation nécessite l’utilisation d’un logiciel VPN client qui va permettre d’établir le ”tunnel”, en général crypté, vers un serveur VPN. On peut véhiculer différents protocole de communication sur ce type de lien : SSH, RDP, SMB, SMTP, IMAP, etc…

Intérêt du VPN :

Un VPN permet d’accéder à un ordinateur distant comme si l’on était connecté au même réseau local tout en transitant via des réseaux publics. Il permet aussi de connecter des ordinateurs distants comme s’ils partageaient le même réseau local. On peut aussi avoir un accès à un réseau d’entreprise de façon sécurisée.

Un VPN dispose en général d’une passerelle permettant d’accéder à l’extérieur, ce qui permet de changer l’adresse IP source apparente de ses connexions. Cela rend plus difficile l’identification et la localisation approximative de l’ordinateur émetteur par le fournisseur de service, une ébauche de connexions anonymes.

L’infrastructure de VPN (le serveur) dispose des informations permettant quand même d’identifier l’utilisateur. Cela permet aussi de contourner les restrictions géographiques de certains services proposés sur Internet.

Le VPN permet également de construire des réseaux overlay ou réseau superposés, en construisant un réseau logique sur un réseau sous-jacent, faisant ainsi abstraction de la topologie de ce dernier.

Il n’y a normalement pas de restriction légale concernant l’utilisation d’un VPN. C’est en utilisant des VPN que l’on peut par exemple regarder la télévision du Canada en Europe, ou l’inverse.

Vous trouverez sur Internet des solutions qui permettent de construire pour vous un VPN sécurisé sans que vous ayez besoin de vous préoccuper de la gestion de la liaison. Ce sont souvent des solutions payantes avec des garanties de maintien des liaison fortes, avec un niveau de sécurité et de confidentialité souvent important. Dans les premiers, on trouve : ExpressVPN, IPVanish VPN, PureVPN, HideMyAss (eh oui), NordVPN, vyprvpn, SaferVPN ou Hotspot Shield. Il en existe bien d’autre plus spécifique à votre pays.

Un article dans quelques jours pour vous parler de surf anonyme, une autre application d’une liaison de type VPN.

Chiffrement :

Les connexions VPN ne sont pas nécessairement chiffrées. Cependant si l’on ne chiffre pas, un accès au VPN peut être possible par des éléments intermédiaires, ce qui peut être problématique si les informations qui y transitent sont sensibles. De plus, des techniques de deep packet inspection (DPI) permettent à des pare-feux de filtrer le trafic du VPN s’il n’est pas chiffré.

Glossaire :

Protocole de communication : Il définit l’ensemble des règles qui précisent les modalités de fonctionnement d’une communication entre deux ordinateurs.

Encapsulation : en informatique et spécifiquement pour les réseaux informatiques, c’est un procédé consistant à inclure les données d’un protocole dans un autre protocole. Par exemple un fragment de données ou une donnée est encapsulée dans un paquet en UDP (User Datagram Protocol) ou TCP (Transmission Control Protocol) lui même encapsulé dans un paquet IP, ce dernier est envoyé sur le réseau physique encapsulé par le protocole Ethernet.

SSH : cet acronyme signifie Secure SHell, protocole qui permet de faire des connexions sécurisées (i.e. chiffrées) entre un serveur et un client SSH.

SMB : SMB (Server Message Block2) est un protocole permettant le partage de ressources (fichiers et imprimantes) sur des réseaux locaux avec des PC sous Windows.

RDP : Remote Desktop Protocol est un protocole qui permet à un utilisateur de se connecter sur un serveur exécutant Microsoft Terminal Services. Des clients existent pour la quasi-totalité des versions de Windows, et pour d’autres systèmes d’exploitation, comme les systèmes GNU/Linux et mac OS X.

DPI : deep packet inspection, ou inspection des paquets en profondeur, est l’activité pour un équipement d’infrastructure de réseau d’analyser le contenu (au-delà de l’en-tête) d’un paquet réseau (paquet IP le plus souvent de façon à en tirer des statistiques ou détecter du spam par exemple).