Blog

Qu’est-ce qu’OpenVPN ? OpenVPN est-il sûr ?

Qu



Si vous avez déjà utilisé un service VPN commercial, il est probable que vous ayez utilisé le protocole OpenVPN. C’est l’un des protocoles VPN les plus populaires et les plus fiables disponibles. Mais comment ça fonctionne? Quels sont les avantages et les inconvénients de son utilisation ? Et, plus important encore, OpenVPN est-il sûr ? Continuez à lire et nous répondrons aux questions ci-dessus et bien plus encore.

Qu’est-ce qu’OpenVPN ?

Le protocole OpenVPN a été écrit par James Yonan et a été rendu public en 2002 sous la licence publique générale GNU (GPL). L’expérience de Yonan est dans le développement de logiciels et le trading financier. Il est actuellement CTO du projet OpenVPN.



Le protocole OpenVPN est probablement le protocole VPN le plus flexible disponible. Il peut être utilisé de différentes manières et s’adapte à presque tous les scénarios de réseau.

Vous pouvez utiliser OpenVPN pour relier deux réseaux distincts via ce qu'on appelle une connexion de site à site. Vous pouvez également configurer OpenVPN pour permettre aux clients distants (c'est-à-dire votre ordinateur portable, tablette ou téléphone) d'accéder aux ressources réseau et à Internet via le serveur. C'est ce qu'on appelle une configuration client-serveur ou road Warrior.



La flexibilité d'OpenVPN s'étend également à ses méthodes d'authentification prises en charge.

Les homologues OpenVPN peuvent s'authentifier mutuellement à l'aide de clés pré-partagées, de certificats ou du système nom d'utilisateur/mot de passe dans une configuration de site à site. Et dans une configuration client-serveur, le serveur peut également valider les clients à l'aide de certificats, de signatures et d'une autorité de certification.

Concernant le chiffrement, OpenVPN utilise la bibliothèque OpenSSL et le Protocole TLS . Il prend en charge un cryptage jusqu'à 256 bits, ce qui est très sécurisé.

Prise en charge de la plateforme

Si OpenVPN est l’un des protocoles VPN les plus utilisés, il va de soi qu’il est pris en charge sur de nombreux appareils différents. En effet, OpenVPN prend en charge presque tous les systèmes d’exploitation. Nous avons donc toutes les plus grandes plates-formes :

  • les fenêtres
  • macOS
  • Linux
  • IOS
  • Android

Mais aussi:

  • GratuitBSD
  • OpenBSD
  • NetBSD
  • QNX
  • Solaris
  • Conditions
  • Chrome OS
  • DD-WRT
  • OuvrirWrt
  • Tomate
  • OPNSense
  • pfSense
  • Et même PalmOS.

Cela fait beaucoup de systèmes d’exploitation. Gardez à l’esprit que la plupart des systèmes d’exploitation ne prennent pas en charge OpenVPN par défaut. Cela signifie que dans la plupart des cas, vous devez télécharger et installer un client tiers.

Comment fonctionne OpenVPN ?

Demandes des pairs

Tout commence lorsqu'un homologue demande une connexion à un autre homologue, qui est généralement le serveur. Cette demande est cryptée. L'homologue demandeur peut être un client demandant une connexion à un serveur, dans une configuration nomade. Ou il peut s'agir d'un serveur demandant une connexion à un autre serveur, dans une connexion de site à site.

Authentification

Une fois la demande effectuée, le homologue doit être authentifié par le serveur VPN hôte. Encore une fois, OpenVPN est très flexible à cet égard. L'homologue peut être authentifié à l'aide de clés pré-partagées, de certificats ou du schéma nom d'utilisateur/mot de passe.

OpenVPN autorise une infrastructure à clé publique (PKI), qui est généralement gérée par RSA.

À partir de la version 2.0 d'OpenVPN, un homologue peut également être authentifié par le serveur VPN d'hébergement, en utilisant une combinaison de certificats ainsi qu'un nom d'utilisateur et un mot de passe.

Chiffrement

En ce qui concerne le cryptage, OpenVPN utilise le OuvertSSL bibliothèque pour le canal de données et le canal de contrôle.

Dans une connexion OpenVPN, il existe deux canaux par lesquels circulent des informations différentes. Votre trafic Internet transite par le canal de données. Ainsi, les sites Web que vous visitez, les fichiers que vous téléchargez et vos messages de discussion passent par le canal de données. Mais, en parallèle, le cryptage et les mécanismes d'authentification fonctionnent via le canal de contrôle. Il s'agirait des informations de nom d'utilisateur/mot de passe, des certificats, de HMAC (plus d'informations ci-dessous), etc.

Comme nous l'avons mentionné ci-dessus, OpenVPN prend en charge un cryptage jusqu'à 256 bits. Il peut également utiliser l'authentification par paquets HMAC, via le canal de contrôle, à des fins d'intégrité des données. HMAC est un hachage cryptographique envoyé avec le trafic circulant via le VPN. D’autres homologues du réseau peuvent eux-mêmes hacher le trafic entrant, en utilisant la même clé. Si les hachages résultants correspondent, le trafic est considéré comme authentique. S’ils ne correspondent pas, le trafic est rejeté.

ChaCha et AES sont les chiffrements les plus couramment utilisés.

Protocoles

OpenVPN a toujours pris en charge le IPv4 protocole, et depuis OpenVPN 2.3, il prend également en charge le IPv6 Protocole IP. OpenVPN peut même prendre en charge IPv4 et IPv6 sur le même serveur.

Mais outre les protocoles IP, OpenVPN prend également en charge les protocoles de transport UDP et TCP. Regardons cela un peu plus en détail.

TCP

TCP signifie Transmission Control Protocol. TCP inclut un mécanisme correctif qui garantit que les données appropriées sont envoyées et dans le bon ordre. Si des paquets manquent, TCP retransmet les paquets manquants et s'assure que tout est en ordre. Ce mécanisme correctif ajoute une certaine surcharge aux connexions TCP.

UDP

UDP signifie Protocole de Datagramme Utilisateur. UDP n'a aucun mécanisme correctif. Il envoie simplement des données à travers les tuyaux et espère le meilleur. C’est pourquoi on l’appelle parfois « Unreliable Datagram Protocol ». Cependant, UDP est généralement beaucoup plus rapide que TCP, car il entraîne beaucoup moins de surcharge et constitue généralement le protocole de transport par défaut auprès des fournisseurs VPN prenant en charge OpenVPN.

Avantages d'OpenVPN

Peut traverser des réseaux restrictifs

La flexibilité d'OpenVPN dans les protocoles de données permet à OpenVPN de passer à travers la traduction d'adresses réseau (NAT) de la plupart des serveurs proxy et des pare-feu, ce qui peut parfois entraver l'utilisation du VPN.

OpenVPN peut également fonctionner sur des ports arbitraires, ce qui l'aide également à traverser des pare-feu restrictifs. L'utilisation d'un port arbitraire, en conjonction avec TCP, vous permet de déguiser votre connexion VPN en trafic régulier. Par exemple, en exécutant le serveur OpenVPN sur le port 443 et en utilisant TCP, votre trafic VPN semble être un trafic HTTPS normal. Et cela aide avec les pare-feu restrictifs et les serveurs proxy ainsi que les FAI ou les réseaux d'entreprise qui bloquent les VPN.

Sachez cependant que TCP sera beaucoup plus lent qu’UDP. Cela est dû à la surcharge supplémentaire de son mécanisme correctif. Pour que TCP fonctionne à des vitesses décentes, il nécessite plus de bande passante. Si cette bande passante supplémentaire devient insuffisante ou indisponible, les performances peuvent ralentir considérablement. C’est ce qu’on appelle souvent le « problème de fusion de TCP ».

La plupart des fournisseurs VPN commerciaux qui prennent en charge OpenVPN utilisent par défaut UDP. Sur UDP, une connexion OpenVPN correctement configurée peut être très rapide.

Les configurations OpenVPN sont hautement personnalisables

La flexibilité mentionnée ci-dessus va au-delà de la sélection du port et du protocole. Avec OpenVPN, vous pouvez choisir les chiffrements, la ou les versions TLS prises en charge, la topologie du réseau, appliquer ou non la compression des données et bien d'autres paramètres.

OpenVPN prend également en charge l'ajout de directives personnalisées, qui vous permettent d'attribuer des adresses IP statiques aux clients qui se connectent ou d'envoyer le trafic via un serveur proxy une fois la connexion VPN établie.

Quelles que soient les particularités de votre réseau, il y a de fortes chances qu'OpenVPN soit en mesure de les prendre en charge.

Bénéficie d’un support étendu de la plateforme

Comme nous l'avons mentionné ci-dessus, OpenVPN est pris en charge sur pratiquement toutes les plateformes informatiques disponibles, ce qui simplifie son déploiement.

Prend en charge un cryptage et des chiffrements robustes

OpenVPN prend en charge jusqu'à 256 bits chiffrement et une longue liste de chiffres forts.

Prend en charge la confidentialité parfaite

Quoi Secret de transfert parfait ce qu'il fait est de régénérer les clés de chiffrement à intervalles fixes. Dès que les nouvelles clés sont générées, elles ne peuvent plus être utilisées pour déchiffrer les sessions passées ou futures, même si elles sont compromises.

Est en développement actif

OpenVPN est un protocole VPN vivant si vous voulez. Je veux dire qu’il est en développement actif et que des mises à jour sont disponibles régulièrement. Cela signifie que si des vulnérabilités sont découvertes dans le code, elles doivent être corrigées rapidement.

Inconvénients d'OpenVPN

Vitesse

OpenVPN n'est pas le protocole VPN le plus rapide du marché. À savoir, IPsec et WireGuard sont connus pour être plus rapides qu'OpenVPN. IPsec et WireGuard utilisent tous deux le protocole de transport UDP qui, comme nous l'avons mentionné ci-dessus, est plus rapide que TCP. Par conséquent, pour obtenir les meilleures vitesses, vous devez utiliser OpenVPN sur UDP.

Cela peut être compliqué à mettre en place

En raison de sa flexibilité inhérente et du nombre de directives facultatives qu'il prend en charge, OpenVPN peut être difficile à configurer. Mais cela dépend de la configuration réelle que vous essayez d’obtenir. La configuration d’un serveur OpenVPN « vanille » n’est pas très compliquée et devrait être gérable pour la plupart des utilisateurs ayant une compréhension de base d’OpenVPN.

Ce n'est pas pris en charge nativement

Bien qu’OpenVPN prenne en charge de nombreux systèmes d’exploitation, ses fonctionnalités ne sont intégrées à aucun d’entre eux. Cela signifie que vous devrez télécharger un client tiers. Les développeurs d'OpenVPN fournissent leur application native, appelée Connexion OpenVPN , pour macOS, Windows, Linux, iOS et Android. Et vous pouvez le télécharger gratuitement. Si vous utilisez un autre système d'exploitation, vous devrez télécharger un client produit par un développeur tiers. Il y a beaucoup de.

Le support mobile est quelque peu fragile

Ne vous méprenez pas, OpenVPN fonctionne sur mobile. Cependant, OpenVPN rencontre deux problèmes sur mobile lors de l'utilisation de l'application mobile officielle OpenVPN Connect pour iOS ou Android.

  1. Si vous êtes connecté au VPN via Wi-Fi et que l'écran de votre téléphone passe en mode veille, le Wi-Fi se déconnecte, et donc la connexion VPN aussi. Lorsque vous réveillerez votre téléphone, il tentera de se reconnecter, mais certains paquets peuvent être envoyés sur Internet en clair et révéler votre véritable adresse IP.
  2. La même chose se produit lors du passage du Wi-Fi aux données mobiles et vice versa.

OpenVPN est-il sûr ?

Réponse courte : oui, avec un mais. La sécurité de votre configuration OpenVPN dépend en grande partie de la manière dont l'administrateur du serveur VPN l'a configurée. Il est possible de configurer OpenVPN de manière non sécurisée, ou du moins de manière moins sécurisée. L’utilisation de clés statiques au lieu d’une infrastructure à clés publiques (PKI) est moins sécurisée, mais les deux sont des options.

Ainsi, en supposant que l'administrateur ait configuré le serveur OpenVPN en pensant à la sécurité, OpenVPN est très sécurisé. Voici pourquoi.

Sécurité open source

OpenVPN est entièrement open source. Cela signifie que chacun est libre d'inspecter le code, de le modifier et de le distribuer à ses propres fins.

Cette liberté ajoute également de la sécurité au protocole VPN car le code est ouvert à tous. Rien n'est caché. Aucun secret de codage propriétaire. Et pas de portes dérobées. OpenVPN a également été audité à plusieurs reprises au fil des ans. Et même si l’audit de sécurité a identifié certaines vulnérabilités, elles ont toutes été corrigées par la suite. Et aucune porte dérobée n’a jamais été trouvée.

OpenVPN est considéré comme l'un des protocoles VPN les plus sécurisés disponibles aujourd'hui. Bien que le protocole WireGuard, relativement nouveau, puisse éventuellement dépasser OpenVPN, nous n’en sommes pas encore là.

OpenVPN prend en charge les chiffrements forts et actuels

Comme nous l'avons mentionné ci-dessus, OpenVPN prend en charge les chiffrements open source puissants et actuels. Le même cryptage que celui utilisé par les banques pour sécuriser les transactions bancaires en ligne. Tant qu’il est correctement configuré, OpenVPN fournit une cryptographie puissante qui préserve la confidentialité de vos activités en ligne.

Un cryptage et des chiffrements puissants associés à la prise en charge de Perfect Forward Secrecy (voir ci-dessus) rendent OpenVPN très sécurisé, et donc sûr.

Emballer

Avec sa cryptographie puissante, sa flexibilité inégalée et son code open source, OpenVPN est l'un des meilleurs protocoles VPN disponibles au public. Mis en place avec UDP, cela peut être assez rapide. Et il peut s’adapter à presque toutes les particularités du réseau. OpenVPN est probablement le protocole VPN le plus personnalisable disponible, mais vous devrez connaître votre métier…

Et au cas où vous vous poseriez la question, j’utilise OpenVPN tous les jours. Comme mentionné ci-dessus, la plupart, sinon la totalité, des fournisseurs VPN commerciaux prennent en charge OpenVPN sur leurs réseaux. Il y a donc de fortes chances que si vous avez déjà utilisé un VPN commercial, vous ayez probablement déjà utilisé le protocole OpenVPN.

OpenVPN est l'un des protocoles VPN les plus couramment utilisés pour toutes les raisons énumérées ci-dessus. Et comme le protocole existe depuis longtemps et qu’il a fait l’objet de plusieurs audits de sécurité et examens par les pairs, vous pouvez être assuré qu’OpenVPN est sûr à utiliser.

Restez en sécurité (et utilisez OpenVPN).

^