Tentatives de bonnes réponses à des questions qui peuvent ne pas l'être |
Un VPN, virtual private network, est comme son nom l'indique un réseau privé virtuel. L'utilisation de ce type de réseau permet à des ordinateurs distants de se connecter à un réseau local via un réseau public comme internet, avec le même niveau de confidentialité que si l'on était sur place. Seules les personnes habilitées sont autorisées à se connecter et les données sont cryptées.
Sur l'ordinateur distant un client VPN crypte chaque paquet IP, entête comprise, lequel devient la charge utile d'un paquet envoyé au serveur VPN contrôlant les accès depuis l'extérieur. Après décryptage les paquets sont transmis au destinataire réel. Le processus symétrique est mis en œuvre pour les paquets envoyés vers l'ordinateur distant. Le serveur vérifie les autorisations d'accès et les données sont protégées contre toute tentative d'écoute par un tiers pendant leur cheminement entre le client et le serveur VPN, dans un sens et dans l'autre.
Un particulier peut mettre en œuvre un serveur VPN sur l'une de ses machines mais ce sont surtout les entreprises qui utilisent ce mode de communication entre différents établissements ou pour des stations nomades.
De nombreux prestataires proposent, à titre onéreux ou non, un service de VPN destiné aux particuliers. Le principe est bien celui expliqué ci-dessus mais les buts sont différents.
L'utilisateur a bien un client VPN installé sur son ordinateur mais le serveur VPN est celui du prestataire. Le FAI (fournisseur d'accès à internet) ne voit que ce serveur. Il ne peut pas identifier le site distant avec lequel on communique. Le site distant ne s'adresse qu'au serveur VPN. Les données sont cryptées mais seulement sur leur trajet entre le client et le serveur VPN.
Le serveur VPN n'est donc qu'un intermédiaire jouant le rôle de serveur mandataire (proxy).
Contrairement à une idée trop largement répandue, l'utilisation d'un service de VPN n'ajoute strictement rien en matière de sécurité. Elle ne protège pas contre la nocivité d'un site malveillant.
Le cryptage des données sur une partie seulement de leur trajet ne garantit pas la confidentialité. Seule l'utilisation du protocole HTTPS (HyperText Transfer Protocol Secure) permet que les données soient cryptées de bout en bout.
Certains sites, les banques par exemple, détectent qu'une demande d'accès émane d'un serveur VPN. Ils soupçonnent alors qu'il s'agit d'une tentative d'accès frauduleux et la rejette. Ces restrictions sont également susceptibles d'être mises en œuvre par les serveurs de messagerie quand on utilise un courrielleur local.
Le FAI n'a pas connaissance du site cible et en cas de requête judiciaire ne peut fournir aux autorités que le nom du serveur VPN. Toutefois ce dernier peut éventuellement être aussi interrogé et leur communiquer le détail des transactions effectuées.
Les services de VPN permettent généralement de choisir le pays ou le continent d'où la demande d'accès semblera provenir. Présenter au serveur une autre adresse IP que la sienne peut donc servir à contourner des restrictions d'accès liées à l'origine de cette demande.
Il est souvent recommandé d'avoir recours à un service de VPN quand on accède à internet via un réseau wifi ouvert (non sécurisé). Ceci est complètement inutile tant que l'on n'accède qu'à des sites utilisant le protocole HTTPS. Rares sont ceux qui exigeraient la communication de données personnelles, ne serait-ce qu'un mot de passe, et qui seraient encore en HTTP (sans cryptage). Il n'y a pas non plus de crainte à avoir avec un courrielleur local si l'accès au serveur se fait au travers d'une connexion sécurisée (SSL pour Secure Socket Layer)
Il appartient donc à chacun de décider ou non s'il est pertinent d'utiliser un service de VPN, en permanence ou ponctuellement, au vu des avantages et des inconvénients énumérés ci-dessus.