Un VPN à double authentification (Virtual Private Network) est un système qui permet de créer un réseau privé virtuel entre des ordinateurs distants, en utilisant Internet comme support. Un VPN offre plusieurs avantages, comme la protection de la confidentialité des données échangées, l’accès à des ressources internes à une organisation, ou encore le contournement de la censure ou des restrictions géographiques.
Mais pour garantir un niveau de sécurité optimal, il ne suffit pas de se connecter à un VPN. Il faut aussi s’assurer que l’identité des utilisateurs est vérifiée de manière fiable, et que les communications sont chiffrées de bout en bout. C’est là qu’intervient la notion de double authentification et de protocole IPsec.
Contents
Qu’est-ce que la double authentification ?
La double authentification, ou authentification à deux facteurs (2FA), est un mécanisme qui renforce la sécurité de l’accès à un service ou à une ressource. Il consiste à demander à l’utilisateur de fournir deux éléments distincts pour prouver son identité :
- Un élément qu’il connaît, comme un mot de passe ou un code PIN.
- Un élément qu’il possède, comme un smartphone, une clé USB ou un code envoyé par SMS.
Ainsi, même si le mot de passe est compromis, l’attaquant ne pourra pas accéder au service sans disposer du deuxième facteur. La double authentification peut être mise en œuvre de différentes manières, selon le type de service et le niveau de sécurité souhaité. Par exemple, on peut utiliser :
- Un code à usage unique (OTP) généré par une application dédiée sur le smartphone de l’utilisateur, comme Google Authenticator ou Authy.
- Un jeton matériel qui affiche un code à usage unique à intervalles réguliers, comme une clé YubiKey ou RSA SecurID.
- Une empreinte biométrique, comme une reconnaissance faciale ou digitale.
- Une notification push envoyée sur le smartphone de l’utilisateur, qu’il doit approuver pour se connecter.
Qu’est-ce que le protocole IPsec ?
IPsec (Internet Protocol Security) est un ensemble de protocoles qui permettent de sécuriser les communications sur Internet. IPsec offre deux fonctions principales :
- L’authentification des paquets IP, qui garantit que les données proviennent bien de la source indiquée et qu’elles n’ont pas été altérées en cours de route.
- Le chiffrement des paquets IP, qui empêche quiconque d’intercepter ou de lire les données échangées.
IPsec fonctionne au niveau de la couche réseau du modèle OSI, ce qui signifie qu’il peut sécuriser tout type de trafic IP, qu’il s’agisse de TCP, UDP, ICMP ou autre. IPsec utilise deux protocoles principaux pour réaliser ses fonctions :
- AH (Authentication Header), qui assure l’authentification des paquets IP en ajoutant un en-tête contenant un code d’authentification (HMAC) calculé à partir d’une clé secrète partagée entre les deux parties.
- ESP (Encapsulating Security Payload), qui assure le chiffrement des paquets IP en ajoutant un en-tête et une charge utile contenant les données chiffrées avec une clé secrète partagée entre les deux parties.
IPsec peut être utilisé en deux modes :
- Le mode transport, qui sécurise uniquement la charge utile du paquet IP, en laissant intact l’en-tête original. Ce mode est adapté pour sécuriser des communications entre deux hôtes.
- Le mode tunnel, qui sécurise tout le paquet IP, en l’encapsulant dans un nouveau paquet IP avec un nouvel en-tête. Ce mode est adapté pour sécuriser des communications entre deux réseaux.
Comment mettre en place un VPN à double authentification avec IPsec ?
Pour mettre en place un VPN à double authentification avec IPsec, il faut disposer de deux éléments :
- Un serveur VPN, qui va jouer le rôle de passerelle entre le réseau privé et Internet. Le serveur VPN doit être configuré pour accepter les connexions IPsec et pour vérifier la double authentification des utilisateurs.
- Un client VPN, qui va se connecter au serveur VPN depuis un ordinateur distant. Le client VPN doit être configuré pour établir une connexion IPsec et pour fournir la double authentification.
Il existe plusieurs solutions logicielles pour mettre en place un serveur VPN et un client VPN, selon le système d’exploitation utilisé. Par exemple, on peut citer :
- OpenVPN, qui est une solution open source compatible avec Windows, Linux, MacOS, Android et iOS. OpenVPN utilise le protocole SSL/TLS pour sécuriser les communications, et peut être couplé avec IPsec pour renforcer la sécurité. OpenVPN permet de mettre en œuvre la double authentification avec des méthodes variées, comme les certificats numériques, les codes OTP ou les jetons matériels.
- StrongSwan, qui est une solution open source basée sur IPsec, compatible avec Windows, Linux, MacOS, Android et iOS. StrongSwan permet de mettre en œuvre la double authentification avec des méthodes variées, comme les certificats numériques, les codes OTP ou les jetons matériels.
- Cisco AnyConnect, qui est une solution propriétaire basée sur SSL/TLS, compatible avec Windows, Linux, MacOS, Android et iOS. Cisco AnyConnect permet de mettre en œuvre la double authentification avec des méthodes variées, comme les certificats numériques, les codes OTP ou les jetons matériels.
Le processus général pour mettre en place un VPN à double authentification avec IPsec est le suivant :
- Installer et configurer le serveur VPN sur le réseau privé. Il faut définir les paramètres de sécurité IPsec (clés, algorithmes, modes), les méthodes de double authentification (certificats, codes OTP, jetons matériels) et les règles d’accès au réseau privé (adresses IP, ports, protocoles).
- Installer et configurer le client VPN sur l’ordinateur distant. Il faut définir les paramètres de sécurité IPsec (clés, algorithmes, modes), les méthodes de double authentification (certificats, codes OTP, jetons matériels) et les informations du serveur VPN (adresse IP, port).
- Lancer le client VPN et se connecter au serveur VPN. Il faut fournir le mot de passe et le deuxième facteur d’authentification (code OTP, jeton matériel) pour établir la connexion IPsec.
- Accéder aux ressources du réseau privé via le tunnel VPN sécurisé par IPsec.
Conclusion
Un VPN à double authentification avec IPsec est une solution efficace pour protéger les communications entre des ordinateurs distants et un réseau privé. Il permet de garantir que seuls les utilisateurs autorisés peuvent accéder aux ressources internes à une organisation, et que les données échangées sont chiffrées de bout en bout.
Il existe plusieurs solutions logicielles pour mettre en place un VPN à double authentification avec IPsec, selon le système d’exploitation utilisé et le niveau de sécurité souhaité.
