fbpx

VPN : Quand on tient à quelqu'un, on le prévient

Crédit photos: ©

VPN : Quand on tient à quelqu'un, on le prévient

VPN : La technologie conçue dans les années 90 ne convient pas en 2020 !

 

Un récent article sur le sujet m’a récemment interpellé. Il est expliqué pourquoi les solutions VPN (réseau privé virtuel) classiques ne sont plus "suffisantes" pour permettre aux entreprises de travailler à distance et de télétravailler. Par souci de clarté, lorsque nous parlons de VPN, nous ne parlons pas de connexions VPN gérées en P2P pour relier deux sites, ni de services VPN commerciaux (qui sont censés offrir une expérience de navigation sur Internet plus privée et plus sûre).

 Le VPN - Virtual Private Network - remonte aux années 90. En 1996, Gurdeep Singh-Pall, employé de Microsoft, a "inventé" le PPTP (Point-to-Point Tunneling Protocol). Il a proposé une méthode pour mettre en place des réseaux privés virtuels et une connexion Internet sécurisée. En 1996, le monde comptait alors 36 millions d'utilisateurs d'Internet. Les deux tiers d'entre eux étaient basés aux États-Unis, il existait un nombre stupéfiant de 100.000 sites web, Netscape était le navigateur de choix et à 33,8Kbps les utilisateurs pouvaient surfer à la vitesse de la lumière. Le VPN était l'outil approprié à cette époque mais bien sûr, les temps ont changé.


Les problèmes de sécurité typiques des VPN d'entreprise

- Une fois que vous êtes connecté, c’est « Open Bar » .

Selon une analyse d'IDC, plus de 40 % des violations de la sécurité viennent d'utilisateurs autorisés comme les entrepreneurs, les vendeurs et les employés. Cela signifie que les VPN ne disposent généralement pas des contrôles granulaires nécessaires pour attribuer des droits spécifiques aux utilisateurs. Une fois qu'un utilisateur distant est authentifié par un VPN, cet utilisateur est considéré comme de confiance et a accès à tout ce qui se trouve sur le réseau de l'entreprise. Cela rend le réseau de l'entreprise et ses ressources assez vulnérables et ouverts aux attaques ou aux fuites de données.

La gestion de l'accès des utilisateurs au VPN n'est pas seulement liée à Active Directory (AD), mais aussi aux certificats des appareils. Cela implique que lorsqu'un employé quitte l'entreprise, son certificat de périphérique doit être révoqué - comme vous pouvez le deviner, c'est quelque chose qui est malheureusement souvent oublié.

- Toujours à jour et avec la dernière version

Les plateformes VPN sont assez populaires. Pour les hackers aussi. Aucune plateforme ne peut bénéficier d'une sécurité absolue, et c'est aussi le cas des plateformes VPN. Rien que l'année dernière, de nombreuses plateformes VPN parmi les plus populaires et les plus utilisées ont été piratées au niveau du noyau (et pas seulement au niveau du périphérique d'accès). Dans certains cas, il a fallu des semaines aux éditeurs pour proposer un correctif de sécurité afin de sécuriser la faille. Voici une petite liste de vulnérabilités récentes par plateforme :

Le message est clair, d'autant plus qu'il est facile de détecter quelle technologie VPN est utilisée par qui. Il convient donc de toujours avoir la dernière version en cours d'exécution, toujours appliquer tous les correctifs de sécurité, et le faire immédiatement. Pour être honnête, cela devrait être une procédure par défaut pour toute solution logicielle de nos jours.

- login/mot de passe

L'authentification multi-facteurs est le minimum absolu dont les utilisateurs ont besoin pour s'authentifier avec le VPN. Malheureusement, ce n'est pas encore utilisé dans de nombreuses organisations... C'est comme si vous laissiez la porte de votre maison grande ouverte. De nombreux mots de passe d'utilisateurs ont déjà été piratés et sont collectés dans des bases de données sur le ‘Dark Web’ (honnêtement, même moi j’arrive à les trouver en 5 minutes). De plus, en utilisant simplement "123456" comme mot de passe, les pirates ont déjà une chance incroyable d'entrer. Par souci d'exhaustivité, les mots de passe les plus courants selon une étude SplashData en 2019 étaient :

  • 123456
  • 123456789
  • azerty
  • password
  • 1234567
  • 12345678
  • 12345
  • iloveyou
  • 111111
  • 123123

Et si vous obligez les utilisateurs à avoir au moins un chiffre et une lettre dans leur mot de passe, le numéro 11 de la liste est "abc123". Il n'est pas étonnant qu'une étude de Microsoft ait révélé que l’authentification à double facteurs (MFA) bloque les attaques de prise de contrôle de compte dans 99,9 % des cas. En résumé : utilisez au minimum un contrôle MFA pour vos accès applicatifs critiques.

- Dispositifs compromis

Les utilisateurs finaux doivent activer la connexion VPN via un client installé sur leur appareil, généralement un ordinateur portable. Une fois que la liaison entre l'appareil et le réseau de l'entreprise est établie, toutes les portes sont généralement ouvertes. Même si cette authentification se fait avec une sécurité supplémentaire telle que MFA. Cela signifie que si l'appareil qui exécute le client VPN est compromis par un logiciel malveillant, l'ouverture d'une connexion VPN peut également permettre au logiciel malveillant de se frayer un chemin dans le réseau de votre entreprise.

C'est la raison pour laquelle vous ne devez activer le VPN que sur les appareils appartenant et gérés par votre entreprise. Le service informatique doit avoir un moyen de contrôle de vos équipements, s'assurer qu'ils fonctionnent avec la dernière version du système d'exploitation et les derniers correctifs, qu'ils disposent d'un service anti-malware actif, etc. C'est précisément pour ces raisons que l'utilisation du VPN sur des appareils personnels appartenant à l'utilisateur est absolument impossible d’un point de vue sécurité.

En outre, le fait que des données confidentielles se trouvent - probablement - sur l'appareil de l'utilisateur final constitue un risque pour la sécurité en tant que tel. Cela vaut également pour les appareils gérés par l’entreprise.

 

La flexibilité et le côté UX (Expérience Utilisateur) du VPN

L'idée du VPN est l'extension d'un appareil sur un réseau domestique (par exemple) dans le réseau de l'entreprise. En gros, il s'agit de faire comme si l'appareil fonctionnait dans le réseau local. Cela a certaines conséquences ;

  • Les utilisateurs peuvent généralement utiliser tous les logiciels et fichiers locaux qui s'exécutent sur l'appareil lui-même
  • Lors de l'accès aux actifs sur le réseau de l'entreprise, ils sont entièrement téléchargés (ou chargés) ; par exemple, le travail effectué sur un fichier de base de données sur un disque partagé sera interrompu et le fichier sera constamment chargé de façon inconsistante
  • En utilisant le tunnel partagé, le trafic (comme YouTube et les médias sociaux) peut être acheminé via l'accès Internet public au lieu du VPN. Mais cela s'accompagne évidemment d'autres risques pour la sécurité. L'alternative consiste à acheminer tout le trafic par le VPN de l'entreprise, ce qui peut créer une pression sur la capacité du VPN.

En résumé : Le VPN permet aux utilisateurs (s'ils disposent d'un ordinateur portable managé par l’entreprise) d'avoir une un accès aux ressources de l’entreprise. Mais cela a forcément des limites en termes de capacité.

- Tout dispositif

Comme vous l'avez compris, d’un point de vue sécurité, il est seulement conseillé d'activer le VPN sur les appareils que vous gérez entièrement. Mais pour aller plus loin, la plupart des clients VPN d'entreprise ne sont pas disponibles sur tous les appareils et systèmes d'exploitation (par exemple, les appareils MacOS, les ChromeBook, Raspberry Pi, les tablettes Android, ...). Cela limite considérablement votre liberté et celle de vos utilisateurs.

- Capacité

Comme décrit ci-dessus, les plateformes VPN doivent généralement absorber une grande quantité de capacité de téléchargement en amont et en aval. Ces plateformes sont rarement dimensionnées pour permettre à 100 % des utilisateurs de travailler à distance en même temps. Par conséquent, les problèmes de capacité et de performances connexes sont plus fréquents.

 

Avec Awingu, nous gérons les choses différemment

Awingu est un espace de travail unifié basé sur un navigateur. Il rend les applications basées sur le RDP et les ordinateurs de bureau disponibles en HTML5, depuis n'importe quel navigateur. Il regroupe également les serveurs de fichiers, les intranets, les applications web, le SaaS... derrière une authentification unique (Single Sign-On). Consultez-nous pour en savoir plus sur l'architecture et les fonctionnalités avancées d'Awingu.

- Awingu intègre les couches de sécurité minimales

Awingu permet un niveau minimum de sécurité informatique pour ses utilisateurs. Awingu est généralement déployé en plus d'un accès RDS (Terminal Server) et/ou RDP. Vous pouvez considérer cette liste comme un aperçu des niveaux de sécurité qu'Awingu permet d'atteindre en plus des accès RDP/RDS "ordinaires".

  • Authentification multi-facteurs : Awingu est livré avec une solution MFA intégrée et peut (si nécessaire) facilement intégrer votre méthode d'authentification actuelle. En ajoutant MFA, vous minimisez le risque d'attaques par force brute. La solution MFA intégrée d'Awingu permet l'utilisation de jetons à usage unique (HOTP) et de jetons à usage temporaire (TOTP). Awingu intègre également les services DUO Security, Azure MFA, SMS Passcode ou Radius.
  • Chiffrement via HTTPS : entre l'utilisateur final (navigateur) et l’appareil virtuel, Awingu favorise et permet le chiffrement via HTTPS ainsi que l'utilisation de ses propres certificats SSL (ou SSL Proxy). De plus, Awingu a une intégration intégrée avec Let's Encrypt, qui génère automatiquement un certificat SSL unique et s'occupe de son renouvellement.
  • Port 443 uniquement : lorsqu'il est correctement configuré, Awingu exige que le port 443 soit disponible pour les clients utilisateurs finaux.
  • Audit approfondi de l'utilisation : Awingu est livré avec un journal d'utilisation détaillé. L'audit d'utilisation permet de savoir quelle session d'application les utilisateurs ouvrent (ou ferment) et quand et où (à partir de quelle adresse IP) ils le font. Il permet également de savoir quels fichiers sont ouverts, supprimés, partagés, etc. Le journal d'audit est disponible via le tableau de bord Awingu (admin) et des rapports personnalisés peuvent être extraits.
  • Détection d'anomalies : informez-vous des irrégularités dans votre environnement, comme par exemple une personne qui se connecte trop souvent avec un mauvais mot de passe ou une personne qui essaie de se connecter depuis l'étranger. Ces informations sont disponibles via le tableau de bord Awingu (par l’administrateur uniquement).
  • HTML iso RDP : RDP est connu pour ses nombreux exploits, en particulier lorsqu'il s'agit de versions anciennes et non corrigées. Le HTML minimise le "vecteur de menace" spécifique à RDP (par exemple, Bluekeep, NotPetya).
  • Contrôles granulaires de l'utilisation : des droits spécifiques peuvent être attribués à chaque utilisateur (groupe) ; par exemple, empêcher l'utilisation de l'imprimante virtuelle (c'est-à-dire ne pas imprimer chez soi), empêcher le téléchargement (ou le chargement) de fichiers vers et depuis le bureau local, empêcher le partage de sessions d'application Awingu, empêcher le partage de fichiers Awingu, etc.
  • Enregistrement de la session : Awingu peut activer l'enregistrement automatique d'applications ou d'utilisateurs définis (note : exclu pour les sessions Awingu Reverse Proxy). L'utilisateur final recevra un avertissement de l'enregistrement avant de démarrer son application/bureau Awingu et devra "accepter".
  • Pas de données locales : Toutes les applications, fichiers, bureaux hébergés, etc. fonctionnent en HTML5 dans le navigateur. Il n'y a pas d'empreinte sur l'appareil (cf. contrôles d'utilisation granulaire) et seules les "images" de l'écran sont partagées.

- Awingu permet une UX (Expérience utilisateur) unique 

Avec Awingu, les utilisateurs peuvent prendre n'importe quel appareil, y compris leur propre appareil privé, et faire leur travail. Il peut s'agir d'un appareil Windows 7, d'un MacBook ou d'une tablette. C'est une expérience simple et cohérente.

 

Je m'inscris au webinaire gratuit Awingu

 

 

 

  • Vues: 296

à PROPOS

Depuis 2011, ATTITUDE SI propose des prestations de Directeur de système d’informations (DSI), de management de projet et des solutions Cloud.

Contact - Qui sommes nous ?

Notre travail vous a plu ? Laissez nous un avis 

 

BLOG

Implantations

  • SIEGE
    La Teuliere Haute
    46100 CAPDENAC, Occitanie, FR

  • TOULOUSE
    14 Bis, Chemin du Mirail
    31100 Toulouse, Occitanie, FR

  • Tél. 0 805 690 231


© 2011-2020. Tous droits réservés - Conception Géo Reflet
Mentions légales - Politique de confidentialité & RGPD - Plan du site