Article de reference

réseau privé virtuel

Aperçu de la connectivité VPN, montrant les configurations intranet site à site et de travail à distance utilisées conjointement. Un réseau privé virtuel ( VPN ) est un réseau s...

Aperçu de la connectivité VPN, montrant les configurations intranet site à site et de travail à distance utilisées conjointement.

Un réseau privé virtuel ( VPN ) est un réseau superposé qui utilise la virtualisation de réseau pour étendre un réseau privé à travers un réseau public, tel qu'Internet , grâce à l'utilisation de protocoles de chiffrement et de tunnelage . Dans un VPN, un protocole de tunnelage est utilisé pour transférer les messages réseau d'un hôte réseau à un autre.

Les VPN hôte-réseau sont couramment utilisés par les organisations pour permettre aux utilisateurs distants d'accéder en toute sécurité au réseau de l'entreprise via Internet. Les VPN site à site connectent deux réseaux, comme le réseau d'un bureau et celui d'un centre de données. Les VPN fournis par un opérateur isolent des parties de son infrastructure réseau en segments virtuels, garantissant ainsi la confidentialité du contenu de chaque segment. Les particuliers utilisent également des VPN pour chiffrer et tenter d' anonymiser leur trafic réseau ; certains services VPN proposent même un accès à leurs propres réseaux privés.

Les VPN peuvent renforcer la confidentialité des données en empêchant un fournisseur d'accès Internet d'accéder aux données privées échangées via le VPN. Cependant, le fournisseur de VPN et le service en ligne utilisé via le VPN peuvent avoir une visibilité sur les activités de l'utilisateur. Grâce au chiffrement , les VPN améliorent la confidentialité et réduisent le risque d' interception de données externes .

Arrière-plan

Un réseau est un groupe d' ordinateurs communicants, appelés hôtes , qui échangent des données avec d'autres hôtes via des protocoles de communication , grâce au matériel réseau . Au sein d'un réseau informatique, les ordinateurs sont identifiés par des adresses réseau , permettant ainsi aux systèmes basés sur des règles, tels que le protocole Internet (IP), de localiser et d'identifier les hôtes. Les hôtes peuvent également avoir des noms d'hôte , des étiquettes faciles à mémoriser pour les nœuds hôtes , qui sont rarement modifiées après leur attribution initiale. Le support de transmission qui prend en charge l'échange d'informations comprend les supports filaires tels que les câbles en cuivre, les fibres optiques et les supports sans fil radiofréquences . L'agencement des hôtes et du matériel au sein d'une architecture réseau est appelé topologie du réseau .

Outre les supports de transmission physiques, les réseaux comprennent des nœuds de réseau tels que des contrôleurs d'interface réseau , des répéteurs , des concentrateurs , des ponts , des commutateurs , des routeurs et des modems :

  • Le contrôleur d'interface réseau (NIC) est un composant matériel qui assure la connexion de l'ordinateur au réseau . Dans les réseaux Ethernet, chaque NIC possède une adresse MAC (Media Access Control) unique , généralement stockée dans sa mémoire permanente.
  • Un répéteur est un appareil électronique qui reçoit un signal réseau , le purifie des interférences et le régénère. Le signal est retransmis à une puissance supérieure ou au-delà d'un obstacle afin de couvrir de plus longues distances sans dégradation.
  • Un répéteur Ethernet doté de plusieurs ports est appelé concentrateur Ethernet . Outre le réarrangement et la distribution des signaux réseau, un concentrateur facilite la détection des collisions et l'isolement des pannes sur le réseau. Les concentrateurs et les répéteurs des réseaux locaux (LAN) ont été largement remplacés par les commutateurs réseau modernes.
  • Contrairement aux concentrateurs, qui acheminent les communications vers tous les ports, les commutateurs réseau ne transmettent les trames qu'aux ports concernés par la communication. Les commutateurs possèdent généralement de nombreux ports, ce qui permet une topologie en étoile pour les périphériques et la mise en cascade de commutateurs supplémentaires. Les ponts réseau sont analogues à un commutateur à deux ports.
  • Un routeur est un dispositif d'interconnexion de réseaux qui achemine les paquets entre les réseaux en traitant les informations d'adressage ou de routage incluses dans le paquet.
  • Les modems (modulateurs-démodulateurs) sont utilisés pour connecter des nœuds de réseau via un câble qui n'a pas été conçu à l'origine pour le trafic réseau numérique, ou pour le sans fil.

Communication réseau

Un protocole de communication est un ensemble de règles régissant l'échange d'informations sur un réseau. Les protocoles de communication présentent diverses caractéristiques, comme le fait d'être orientés connexion ou non , ou d'utiliser la commutation de circuits ou la commutation de paquets .

Dans une pile de protocoles , souvent construite selon le modèle OSI , les fonctions de communication sont divisées en couches protocolaires. Chaque couche exploite les services de la couche inférieure jusqu'à ce que la couche la plus basse contrôle le matériel qui transmet les informations. L'utilisation de cette architecture en couches est omniprésente dans le domaine des réseaux informatiques. Un exemple important de pile de protocoles est HTTP , le protocole du World Wide Web . HTTP fonctionne sur TCP /IP, les protocoles Internet, qui eux-mêmes fonctionnent sur IEEE 802.11 , le protocole Wi-Fi. Cette pile est utilisée entre un routeur sans fil et un ordinateur personnel lors de l'accès à Internet.

La plupart des réseaux informatiques modernes utilisent des protocoles basés sur la transmission par paquets . Un paquet réseau est une unité de données formatée transportée par un réseau à commutation de paquets . Les paquets contiennent deux types de données : les informations de contrôle et les données utilisateur (charge utile). Les informations de contrôle fournissent les données nécessaires au réseau pour acheminer les données utilisateur, telles que les adresses réseau source et de destination , les codes de détection d'erreurs et les informations de séquencement. Généralement, les informations de contrôle se trouvent dans l'en-tête et la fin du paquet , les données de charge utile étant placées entre les deux.

La suite de protocoles Internet , également appelée TCP/IP, constitue le fondement de tous les réseaux modernes et l'ensemble de protocoles définissant Internet. Elle offre des services avec et sans connexion sur un réseau intrinsèquement non fiable, traversé par transmission de datagrammes via le protocole Internet (IP). Fondamentalement, cette suite de protocoles définit les spécifications d'adressage, d'identification et de routage pour le protocole Internet version 4 (IPv4) et pour IPv6 , la génération suivante du protocole dotée d'une capacité d'adressage considérablement étendue.

Sécurité

Les VPN ne rendent pas les utilisateurs connectés anonymes ou non identifiables par le fournisseur d'accès Internet (FAI). Cependant, ils renforcent la confidentialité des données en empêchant le FAI d'accéder aux données privées échangées via le VPN. Grâce au chiffrement , les VPN améliorent la confidentialité et réduisent le risque d' interception de données . Les paquets de données transitant par un VPN peuvent également être sécurisés par un mécanisme d'authentification de message (MAC ), empêchant toute altération ou falsification sans rejet, ce qui renforce l'intégrité des données .

Il existe plusieurs autres solutions pour garantir l'authentification des parties connectées. Les points d'accès au tunnel peuvent être authentifiés de différentes manières lors de l'établissement de l'accès VPN, par exemple en autorisant l' adresse IP du point d'accès . L'authentification peut également intervenir après l'activation des tunnels, par exemple via un portail captif . Les VPN d'accès distant peuvent aussi utiliser des mots de passe , la biométrie , l'authentification à deux facteurs ou d'autres méthodes cryptographiques . Les VPN de site à site utilisent souvent des mots de passe ( clés pré-partagées ) ou des certificats numériques .

tunnelage fractionné

Le split tunneling permet à un utilisateur d'accéder simultanément à différents domaines de sécurité , via une même connexion réseau ou des connexions différentes. Cet état de connexion est généralement rendu possible par l'utilisation simultanée d'une carte réseau LAN , d'une carte réseau radio, d'une carte réseau Wi-Fi et d'un logiciel client VPN. Le split tunneling est le plus souvent configuré à l'aide d'un client VPN d'accès distant, permettant ainsi à l'utilisateur de se connecter simultanément à un réseau sans fil local, aux ressources d'un réseau d'entreprise externe et à des sites web via Internet.

Tous les VPN ne prennent pas en charge le split tunneling. Le split tunneling présente plusieurs avantages : réduction des goulots d’étranglement , économie de bande passante (le trafic Internet n’ayant pas à transiter par le serveur VPN) et possibilité pour l’utilisateur d’accéder à distance à des ressources sans avoir à se connecter et se déconnecter constamment. Parmi ses inconvénients figurent les fuites DNS et le risque de contournement des mesures de sécurité au niveau de la passerelle mises en place au sein de l’infrastructure de l’entreprise. Les fournisseurs d’accès à Internet utilisent souvent le split tunneling à des fins de détournement DNS .

Classification

Arbre de classification des VPN basé d'abord sur la topologie, puis sur la technologie utilisée

Topologie

Une configuration hôte-réseau est analogue à la connexion d'un ou plusieurs ordinateurs à un réseau auquel ils ne peuvent pas se connecter directement. Ce type d'extension permet aux ordinateurs d'accéder au réseau local d'un site distant ou à des réseaux d'entreprise plus étendus, tels qu'un intranet . Chaque ordinateur active son propre tunnel vers le réseau auquel il souhaite se connecter. Le réseau connecté n'a connaissance que d'un seul hôte distant par tunnel. Cette solution peut être utilisée pour le télétravail ou pour permettre aux utilisateurs d'accéder aux ressources de leur domicile ou de leur entreprise sans les exposer sur Internet.

Une configuration site à site connecte deux réseaux. Cette configuration étend un réseau à des emplacements géographiquement distincts. Le tunnelage s'effectue uniquement entre les passerelles situées sur chaque site du réseau. Ces passerelles mettent ensuite le tunnel à la disposition des autres hôtes du réseau local souhaitant atteindre n'importe quel hôte de l'autre côté. Ceci est utile pour maintenir une connexion stable entre les sites, comme entre les réseaux de bureaux et leur siège social ou centre de données. Dans ce cas, chaque site peut être configuré pour initier la communication, à condition de savoir comment atteindre l'autre. Dans le contexte des configurations site à site, les termes intranet et extranet sont utilisés pour décrire deux cas d'utilisation différents. Un VPN site à site intranet décrit une configuration où les sites connectés par le VPN appartiennent à la même organisation, tandis qu'un VPN site à site extranet relie des sites appartenant à plusieurs organisations.

Les VPN traditionnels présentent l'inconvénient d'établir des connexions point à point et de ne généralement pas prendre en charge les domaines de diffusion . Par conséquent, les communications, les logiciels et les réseaux basés sur la couche 2 et les paquets de diffusion (comme NetBIOS utilisé dans les réseaux Windows ) peuvent ne pas être entièrement compatibles avec un réseau local . Les variantes de VPN, telles que le VPLS ( Virtual Private LAN Service ) et les protocoles de tunnelisation de couche 2, sont conçues pour pallier cette limitation.

Réseaux de livraison fiables et sécurisés

Les VPN de confiance n'utilisent pas de tunnelage cryptographique ; ils s'appuient plutôt sur la sécurité du réseau d'un fournisseur unique pour protéger le trafic. La commutation d'étiquettes multiprotocole (MPLS) est souvent utilisée en superposition avec les VPN de confiance, généralement avec un contrôle de la qualité de service (QoS) sur un réseau de distribution de confiance. Un VPN sécurisé fait confiance au réseau de distribution sous-jacent ou applique la sécurité grâce à un mécanisme interne. À moins que le réseau de distribution de confiance ne soit déployé que sur des sites physiquement sécurisés, les modèles de confiance et de sécurité nécessitent un mécanisme d'authentification pour permettre aux utilisateurs d'accéder au VPN.

Types

VPN mobile

Les réseaux privés virtuels mobiles (VPN mobiles) sont utilisés lorsque le point d'accès du VPN n'est pas lié à une adresse IP unique , mais se déplace entre différents réseaux, tels que les réseaux de données des opérateurs cellulaires ou plusieurs points d'accès Wi-Fi, sans interruption de la session VPN sécurisée ni des sessions d'application. Les VPN mobiles sont largement utilisés dans le domaine de la sécurité publique, où ils permettent aux forces de l'ordre d'accéder à des applications telles que la répartition assistée par ordinateur et les bases de données criminelles, ainsi que dans d'autres organisations ayant des besoins similaires, comme la gestion des interventions sur le terrain et le secteur de la santé.

DMVPN

Le réseau privé virtuel multipoint dynamique (DMVPN) est une forme de tunnel dynamique d'un réseau privé virtuel pris en charge sur les routeurs basés sur Cisco IOS , les routeurs Huawei AR G3, et les systèmes d'exploitation de type Unix .

DMVPN permet de créer un réseau VPN maillé dynamique sans avoir à préconfigurer statiquement tous les points de terminaison de tunnel possibles, tels que les pairs IPsec et ISAKMP . DMVPN est initialement configuré pour créer un réseau en étoile en configurant statiquement les hubs (têtes de réseau VPN) sur les spokes ; aucune modification de la configuration du hub n'est requise pour accepter de nouveaux spokes. À partir de ce réseau initial en étoile, les tunnels entre les spokes sont créés dynamiquement à la demande sans configuration supplémentaire sur les hubs ou les spokes. Cette capacité de maillage dynamique évite toute charge sur le hub pour le routage des données entre les réseaux spokes.

EVPN

Un VPN Ethernet (EVPN) est une technologie permettant de transporter le trafic Ethernet de couche 2 du modèle OSI sous forme de réseau privé virtuel utilisant des protocoles de réseau étendu . Les technologies EVPN comprennent Ethernet sur MPLS (Multiprotocol Label Switching) et Ethernet sur VLAN (Virtual Extensible LAN ).

VPN MPLS

La commutation d'étiquettes multiprotocole (MPLS) est une technique de routage utilisée dans les réseaux de télécommunications. Elle achemine les données d'un nœud à l'autre en fonction d'étiquettes plutôt que d'adresses réseau. Alors que les adresses réseau identifient les points d'extrémité , les étiquettes MPLS identifient les chemins établis entre ces points. MPLS peut encapsuler des paquets de différents protocoles réseau .

En pratique, MPLS est principalement utilisé pour acheminer les unités de données du protocole IP et le trafic Ethernet des services VPN . Ses principales applications sont l'ingénierie du trafic de télécommunications et les VPN MPLS . MPLS fonctionne conjointement avec IP et ses protocoles de routage, généralement les protocoles de passerelle intérieure (IGP), et permet la création de réseaux virtuels dynamiques et transparents. Il prend en charge l'ingénierie du trafic, la capacité de transporter des VPN de couche 2 avec des espaces d'adressage qui se chevauchent, ainsi que les pseudowires de couche 2 capables de transporter diverses charges utiles ( IPv4 , IPv6 , ATM, Frame Relay, etc.).

VPLS

Le service VPLS (Virtual Private LAN Service ) est une technologie de réseau privé virtuel qui assure une communication multipoint à multipoint basée sur Ethernet via des réseaux IP ou MPLS . Il permet à des sites géographiquement dispersés de partager un domaine de diffusion Ethernet en connectant les sites (serveurs et clients) par des pseudowires . Les technologies utilisables comme pseudowire peuvent être Ethernet sur MPLS , L2TPv3 ou encore GRE . Deux RFC (RFC 4761 et RFC 4762), en cours de normalisation par l'IETF, décrivent l'établissement d'un VPLS. Contrairement à L2TPv3, qui n'autorise que les tunnels point à point de couche 2 du modèle OSI , le VPLS permet une connectivité multipoint (de n'importe quel site à n'importe quel autre).

PPVPN

Un VPN fourni par un fournisseur (PPVPN) est un réseau privé virtuel (VPN) mis en œuvre par un fournisseur de services de connectivité ou une grande entreprise sur un réseau qu'ils exploitent eux-mêmes, contrairement à un « VPN fourni par le client » où le VPN est mis en œuvre par le client qui acquiert le service de connectivité en plus des spécificités techniques du fournisseur.

Protocoles

Les phases du cycle de vie d'un tunnel IPSec dans un réseau privé virtuel

Un réseau privé virtuel est basé sur un protocole de tunnelage et peut être combiné avec d'autres protocoles réseau ou applicatifs pour offrir une sécurité et des fonctionnalités supplémentaires.

IPSec (1996)

Le protocole de sécurité Internet (IPsec) est un protocole de sécurité standardisé, initialement développé par l' Internet Engineering Task Force (IETF) pour IPv6 , et était requis dans toutes les implémentations conformes aux normes d'IPv6 avant que la RFC 6434 n'en fasse une simple recommandation. Il est également largement utilisé avec IPv4 .

La conception d'IPSec répond à la plupart des objectifs de sécurité : disponibilité, intégrité et confidentialité . IPSec utilise le chiffrement, en encapsulant un paquet IP dans un paquet IPSec. La désencapsulation a lieu à la fin du tunnel, où le paquet IP d'origine est déchiffré et transmis à sa destination. IPSec est également souvent pris en charge par les accélérateurs matériels réseau , ce qui rend les VPN IPSec particulièrement intéressants pour les environnements à faible consommation, comme les configurations VPN d'accès distant permanent

Les tunnels IPsec sont établis par le protocole d'échange de clés Internet (IKE). Les tunnels IPsec créés avec IKE version 1 (également appelés tunnels IKEv1, ou simplement « tunnels IPsec ») peuvent être utilisés seuls pour fournir un VPN, mais sont souvent combinés avec le protocole de tunnelisation de couche 2 (L2TP) afin de réutiliser les implémentations L2TP existantes pour des fonctionnalités d'authentification plus flexibles (par exemple, Xauth ).

IKE version 2, développé par Microsoft et Cisco, peut être utilisé seul pour fournir des fonctionnalités VPN IPsec. Ses principaux avantages résident dans la prise en charge native de l'authentification via le protocole EAP (Extensible Authentication Protocol) et dans la possibilité de rétablir automatiquement le tunnel lorsque l'adresse IP de l'hôte associé change, situation fréquente pour un appareil mobile en itinérance, que ce soit sur les réseaux 3G ou 4G LTE .

TLS/SSL (1999)

Le protocole SSL/TLS ( Transport Layer Security ) permet de chiffrer le trafic de l'ensemble d'un réseau (comme dans les projets OpenVPN et SoftEther VPN ) ou de sécuriser une connexion individuelle. Plusieurs fournisseurs proposent des solutions VPN d'accès distant via TLS. Un VPN basé sur TLS peut se connecter depuis des emplacements où la navigation web TLS ( HTTPS ) est prise en charge sans configuration supplémentaire.

OpenSSH (1999)

OpenSSH propose le tunnelage VPN (à ne pas confondre avec la redirection de ports ) pour sécuriser les connexions distantes à un réseau, les liaisons inter-réseaux et les systèmes distants. Le serveur OpenSSH autorise un nombre limité de tunnels simultanés. La fonctionnalité VPN elle-même ne prend pas en charge l'authentification personnelle. SSH est plus fréquemment utilisé pour se connecter à distance à des machines ou des réseaux plutôt que pour établir une connexion VPN de site à site.

OpenVPN (2001)

OpenVPN est un protocole VPN libre et gratuit basé sur le protocole TLS. Il prend en charge la confidentialité persistante (PFS ) et la plupart des suites de chiffrement sécurisées modernes, telles que AES , Serpent et TwoFish . Il est actuellement développé et mis à jour par OpenVPN Inc., une organisation à but non lucratif fournissant des technologies VPN sécurisées.

SSTP (2007)

Le protocole SSTP (Secure Socket Tunneling Protocol) est une forme de tunnel VPN qui fournit un mécanisme pour transporter le trafic du protocole PPP ( Point-to-Point Protocol ) via un canal SSL/TLS .

Wireguard (2015)

WireGuard est un protocole conçu pour être plus léger qu'OpenVPN. En 2020, la prise en charge de WireGuard a été ajoutée aux noyaux Linux et Android , ouvrant ainsi la voie à son adoption par les fournisseurs de VPN. Par défaut, WireGuard utilise le protocole Curve25519 pour l'échange de clés et ChaCha20-Poly1305 pour le chiffrement et l'authentification des messages, mais offre également la possibilité de partager une clé symétrique entre le client et le serveur.

Autre

Assistance native et tierce

Les systèmes d'exploitation des ordinateurs de bureau, des smartphones et autres appareils utilisateurs permettent généralement de configurer un VPN d'accès distant via leurs outils graphiques ou en ligne de commande . Cependant, en raison de la variété des protocoles VPN, souvent non standardisés, de nombreuses applications tierces implémentent des protocoles supplémentaires qui ne sont pas ou ne sont plus pris en charge nativement par le système d'exploitation. Par exemple, Android ne prenait pas en charge nativement IPsec IKEv2 avant la version 11, et les utilisateurs devaient installer des applications tierces pour se connecter à ce type de VPN. À l'inverse, Windows ne prend pas en charge nativement la configuration VPN d'accès distant IPsec IKEv1 (couramment utilisé par les solutions VPN Cisco et Fritz!Box ).

Les équipements réseau, tels que les pare-feu, intègrent souvent une passerelle VPN pour l'accès distant ou les connexions site à site. Leurs interfaces d'administration facilitent généralement la configuration de réseaux privés virtuels avec une sélection de protocoles compatibles. Dans certains cas, comme avec les systèmes d'exploitation open source dédiés aux pare-feu et aux périphériques réseau (tels qu'OpenWrt , IPFire , PfSense ou OPNsense ), il est possible d'ajouter la prise en charge de protocoles VPN supplémentaires en installant des composants logiciels manquants ou des applications tierces.

Les appliances commerciales dotées de fonctionnalités VPN, reposant sur des plateformes matérielles ou logicielles propriétaires, prennent généralement en charge un protocole VPN uniforme, mais n'autorisent aucune personnalisation en dehors des cas d'utilisation qu'elles implémentent. C'est souvent le cas des appliances qui s'appuient sur l'accélération matérielle du VPN pour offrir un débit plus élevé ou prendre en charge un plus grand nombre d'utilisateurs connectés simultanément.

Société et culture

utilisateurs individuels

Selon une estimation de 2022, 3 % des internautes chinois utilisent des VPN, contre 8,5 % aux États-Unis. En Chine, les VPN sont de plus en plus bloqués et leur utilisation non autorisée peut entraîner des amendes et des poursuites judiciaires. D'après ses estimations basées sur des documents gouvernementaux divulgués, ChinaFile estimait en 2026 que la demande de VPN en Chine était très faible. Ce site estimait également que le trafic des applications étrangères bloquées par la Grande Muraille numérique était extrêmement faible, notamment comparé à celui des applications nationales ; les cinq applications nationales les plus populaires enregistraient un trafic 1 000 fois supérieur à celui des cinq applications étrangères les plus populaires.

En 2025, environ 1,75 milliard de personnes utilisaient des VPN. D’ici 2027, ce marché devrait atteindre 76 milliards de dollars.

Face aux restrictions et au blocage d'Internet en Russie, des militants ont créé le projet Amnezia VPN en 2020 lors d'un hackathon sur les droits numériques organisé par Roskomsvoboda . Ce service a rapidement gagné en popularité auprès des utilisateurs russes en leur permettant d'accéder aux ressources bloquées, ainsi qu'en proposant des fonctionnalités visant à renforcer l'anonymat et la résistance à l'analyse du trafic.