Vulnérabilités connues

LAN d’entreprise directement à Internet sans aucun pare-feu. Si un réseau ou utilisateur final distant est compromis – que ce soit par une infection virale, par un logiciel espion, ou par un acte de piratage – un VPN se contente de fournir un conduit à ces agents nocifs pour qu’ils contaminent votre LAN d’entreprise.

Parce que chaque utilisateur distant représente un défaut potentiel dans la cuirasse de votre entreprise, il faut bien comprendre le genre de risque que représente chaque technologie d’accès à distance. L’accès IPSec sans entrave est très dangereux, parce que les utilisateurs distants ont, par défaut, libre accès à n’importe quel hôte sur le subnet de destination, par un protocole quelconque. Certes, certaines passerelles VPN IPSec permettent des stratégies d’accès visant à limiter l’accès utilisateur à des protocoles et des hôtes de destination spécifiques, mais il faut alors beaucoup de travail pour les configurer et pour les surveiller dans le cas d’événements non prévus dans la stratégie. De nombreux déploiements de VPN, que ce soit par ignorance ou par souci de commodité, n’emploient pas de telles stratégies d’accès. Les VPN SSL présentent moins de risques de ce point de vue, parce qu’ils imposent automatiquement les stratégies d’accès spécifiques aux points d’extrémité et que la plupart imposent aussi des stratégies d’accès spécifiques à l’application. La possibilité de limiter les actions utilisateur au niveau de l’URL vous offre un contrôle de stratégie plus nuancé et plus granulaire que IPSec. Mais, comme avec IPSec, si vous ne configurez pas des stratégies très finement granulaires, elles vous seront de peu d’utilité.

Mais les VPN SSL présentent une faiblesse que IPSec ne connaît pas. La facilité avec laquelle les utilisateurs peuvent établir une connexion VPN SSL – en n’utilisant qu’un navigateur Web – peut les encourager à se connecter à partir d’endroits douteux, comme un portable et des postes de travail non sécurisés, et même des kiosques Internet publics. C’est dangereux car les utilisateurs ne savent pas si l’ordinateur en question est infecté par un logiciel malveillant, capable de capturer des frappes ou des vues d’écran. Malgré le contrôle de stratégie strict des VPN SSL, n’importe quel intrus sur une station de travail utilisateur compromise peut voir et faire la même chose que l’utilisateur final.

Il faut donc empêcher que la facilité d’utilisation de VPN SSL ne laisse la porte grande ouverte. C’est ce qu’on appelle parfois Endpoint Security Compliance (ou EPS, pour « End Point Security ») dans le monde VPN, et c’est un aspect de l’administration VPN que vous devez étudier avant le déploiement pour être sûrs de couvrir toutes les bases de la vulnérabilité. La plupart des passerelles VPN SSL (ainsi que IPSec) fournissent des mécanismes pour EPS, mais tous ces mécanismes ne sont pas gratuits.

La plupart des passerelles déconnectent automatiquement les utilisateurs distants d’Internet pendant qu’un tunnel VPN est actif, forçant ainsi les utilisateurs à consulter Internet au travers de leur tunnel VPN. On évite ainsi l’attaque par réseau divisé, dans laquelle un pirate accède en temps réel à un LAN d’entreprise au travers d’un tunnel VPN. Dans un VPN SSL, la protection split-network délègue simplement tout l’accès au navigateur par l’intermédiaire du VPN tout en bloquant tous les autres protocoles Internet.
Mais la vulnérabilité par split-network n’est que l’une parmi plusieurs. Une seconde catégorie de vulnérabilité est la contamination par virus et logiciel espion, qui peut conduire à un logiciel malveillant communiquant derrière le pare-feu d’entreprise. Le logiciel malveillant peut prendre pied en profitant des pièces jointes de courriel et des transferts de fichiers, ou si les connecteurs de protocole VPN SSL sont employés, sur un protocole TCP/IP arbitraire. Ces vulnérabilités sont parfois dites passives, parce que ce sont des programmes autonomes sans cible bien précise en tête et qui essaient simplement de se diffuser sur toutes les cibles consentantes d’un réseau. SSL réduit le nombre de ces vulnérabilités mais ne les élimine pas. La troisième classe de vulnérabilité est la plus dangereuse, parce qu’elle obéit à une volonté consciente d’attaquer une cible précise. L’exemple le plus courant en est l’attaque par phishing, qui utilise une apparence trompeuse pour essayer de convaincre les utilisateurs du réseau de divulguer des références d’accès concernant une cible bien précise, comme un site financier ou de e-commerce. Comme VPN SSL est basé sur le navigateur, il est vulnérable au phishing et aux autres attaques d’intermédiaires douteux basés sur le Web. Une autre vulnérabilité dans cette classe est constituée par le journal du clavier, qui enregistre les frappes d’un utilisateur et parfois les images d’écran pour collecter des informations à propos d’une cible éventuelle. Un attaquant humain utilisera ensuite cette information pour essayer d’accéder au réseau cible.

Contre ces deux dernières classes de vulnérabilité, il n’y a vraiment qu’une parade : le strict contrôle des ordinateurs utilisés pour accéder à votre VPN. C’est-à-dire, imposer le scanning de virus et de logiciel espion, prohiber l’utilisation de systèmes distants sur des réseaux non protégés, et éduquer les utilisateurs pour qu’ils comprennent bien les risques qu’il y a à contourner les stratégies de sécurité. A cet effet, il est bon de rédiger un règlement écrit exposant les responsabilités et les limites des utilisateurs VPN et expliquant les risques de l’accès au VPN afin que les utilisateurs en soient conscients et évitent de mettre votre réseau en péril par négligence ou inadvertance. Mais l’éducation des utilisateurs ne suffit pas. Il faut avoir déjà en place de bonnes protections contre le logiciel malveillant avant de déployer un VPN.

Certains produits VPN, y compris les passerelles VPN SSL, aident à la protection contre le logiciel malveillant au moyen d’applets qui vérifient que la protection antivirale est intacte sur le système d’un utilisateur avant de l’admettre dans le réseau. Vous devez aussi employer des mécanismes d’authentification qui valident dans les deux sens l’utilisateur distant et le VPN de destination. Pour cela, le moyen le plus simple passe par des certificats numériques distribués à partir de votre PKI (Public Key Infrastructure). Heureusement, toutes les passerelles VPN SSL, à l’exception des plus rudimentaires, permettent une telle authentification.