Les entreprises ont besoin de comprendre le risque des services VPN

Comme vous pouvez le constater dans notre récent compte rendu des services de réseau privé virtuel (VPN), ces produits existent pour de nombreuses raisons, qui ne sont pas toutes pertinentes pour une utilisation professionnelle. Par exemple, il est peu probable que votre personnel informatique ait une raison professionnelle de regarder des films activement bloqués dans une région géographique spécifique, comme par exemple la Chine.

Au lieu de cela, les entreprises ont généralement recours à un centre de service VPN presque entièrement consacré à la sécurité. Protéger le périphérique à l'aide du VPN, protéger ses données en transit et le réseau professionnel auquel le VPN se connecte - de nombreuses bases sont couvertes. Vous pourriez également avoir besoin d'un VPN pour répondre aux exigences de conformité relatives à la transmission d'informations relatives à la santé ou de données financières. Vous voulez peut-être vous assurer que vos concurrents ne peuvent pas voir ce que vous faites. Ou ce qui est plus courant ces temps-ci, vous ne voulez pas qu'un gouvernement étranger détourne votre propriété intellectuelle.

Un VPN correctement configuré devrait gérer toutes ces astuces. Votre connexion entre deux points distincts sur Internet est cryptée à l'aide d'algorithmes puissants qui devraient empêcher toute personne, qu'elle appartienne à votre société concurrente de l'autre côté de la rue ou travaillant pour Kim Jong-Un, d'intercepter vos communications. Ou vont-ils?

Qu'est-ce que votre VPN fait vraiment?

C'est la question posée par le département américain de la Sécurité intérieure (DHS) à la demande des sénateurs Ron Wyden (D-OR) et Marco Rubio (R-FL). Dans une lettre à Christopher C. Krebs, directeur de la "Cybersecurity and Infrastructure Security Agency", les deux sénateurs ont indiqué que de nombreux services VPN sont détenus par des sociétés situées en dehors des États-Unis et qu'ils peuvent éventuellement extraire des informations (les les mêmes données que les utilisateurs pensaient protégées) puis les partager avec d’autres.

Alors, premièrement, est-il possible pour un fournisseur de VPN peu scrupuleux de partager des communications sous une forme déchiffrée avec d’autres? Et deuxièmement, est-il probable qu'un tel partage se produise réellement?

La réponse à la première question est un "oui" sans équivoque. D'un point de vue purement technique, il est tout à fait possible pour un fournisseur de partager les informations privées que vous pompez via ses canaux VPN. La réponse à la deuxième question est, bien sûr, "peut-être", car cela dépend du fournisseur, de la gestion de cette organisation, éventuellement de son lieu d'implantation et, enfin, de son éthique. Ce sont les questions que le DHS est invité à déterminer.

La raison en est que la plupart des fournisseurs de VPN fonctionnent de la même manière. Lorsque vous configurez la session VPN, vous créez un tunnel crypté entre votre ordinateur ou votre réseau et un serveur sur le site du fournisseur de réseau privé virtuel. À partir de ce moment, votre connexion est envoyée à sa destination finale. Lorsque vos données transitent par les serveurs du fournisseur de réseau privé virtuel, elles peuvent être dans un état non chiffré et être cryptées à nouveau lors de leur envoi à l'autre bout de votre connexion.

Certains fournisseurs de VPN conservent vos données cryptées tout au long du processus, mais d'autres non. Et n'importe lequel d'entre eux peut déchiffrer vos données s'il le souhaite. Le risque existe pendant le temps que vos données passent sur les serveurs du fournisseur de réseau privé virtuel. Un fournisseur peu scrupuleux pourrait envoyer une version non chiffrée de vos données à une autre personne pendant qu'elle est en leur possession. Face à ce scénario, comment protégez-vous les données de votre entreprise?

(Crédit image: Statista)

Comment se protéger contre la perte de données

Tout d’abord, connaissez votre fournisseur VPN. Si vous êtes une entreprise basée aux États-Unis, vous devez savoir qu'un fournisseur de réseau privé virtuel basé aux États-Unis sera soumis aux lois américaines sur la protection des données. un fournisseur situé ailleurs ne peut pas. De même, si vous vous trouvez en Europe ou dans un autre pays, vous voudrez savoir que vos données sont traitées conformément à la législation de votre pays.

Francis Dinha, fondateur et PDG d'OpenVPN, a déclaré que vous devriez considérer cela comme un drapeau rouge si un fournisseur de VPN est situé à l'étranger. "Lorsque vous exploitez une entreprise hors du pays, vous vous exposez à des risques de sécurité", a-t-il déclaré. "Qui sait si les données de votre appareil sont partagées avec quelqu'un d'autre?"

Dinha souligne qu'il existe d'autres signaux d'alarme, notamment si un VPN est offert gratuitement. Avec un service VPN gratuit, vous êtes le produit, explique-t-il. Cela peut signifier que votre utilisation de VPN peut vous exposer à la publicité, ou que vos activités peuvent être partagées avec des tiers à des fins de marketing, ou que vos données sont partagées avec des entités qui n'ont pas votre intérêt à cœur.

"Vous ne devriez pas utiliser de VPN qui permet des connexions torrent ou peer-to-peer", a déclaré Dinha. "Il pourrait s'agir d'un tiers capable d'installer du contenu malveillant."

Ces connexions d'égal à égal tiers peuvent également extraire des données de votre réseau. Ils peuvent autoriser leurs clients à installer des portes arrière pour une utilisation ultérieure et leur donner accès aux actifs du réseau pendant toute la durée de l'activation du VPN. Même si de nombreux consommateurs et utilisateurs assidus de la technologie VPN peuvent se moquer de ce conseil (ils utilisent souvent un VPN spécifique, car il permet une utilisation torrentielle et entre homologues), mais ils sont également conscients de ces risques potentiels pour la sécurité. Ils sont disposés à les prendre et ils ont probablement installé de nombreux logiciels de protection des terminaux pour compenser. La plupart des entreprises, en revanche, sont probablement impliquées simplement dans la transmission de données et les connexions distantes sécurisées, ce qui signifie que les risques supplémentaires pour les points finaux ne leur rapportent tout simplement pas la peine.

Dinha a déclaré que tout VPN, y compris ceux basés aux États-Unis, pouvait être utilisé à mauvais escient. Il est donc essentiel que vous vérifiiez votre fournisseur de VPN pour vous assurer qu'il fournit le service que vous pensez recevoir. Il a déclaré qu'un bon moyen de s'assurer que vous traitez avec un fournisseur de réseau privé virtuel de bonne réputation consiste à confirmer que la société est réputée d'une autre manière. Recherchez, par exemple, des sociétés ayant des bases solides en sécurité, telles que des sociétés de pare-feu ou de logiciels de sécurité.

Un point clé, a déclaré Dinha, est que vous ne devriez jamais utiliser un VPN où vous ne pouvez pas contrôler le serveur. Il suggère également que vous deviez vous assurer que vous avez un contrôle total sur la gestion des clés. Encore une fois, d’un point de vue commercial, c’est une bonne idée. Cependant, la plupart des consommateurs ne configureront pas leurs propres serveurs VPN. En réalité, l'idée derrière les VPN grand public est qu'ils ne sont pas obligés de le faire. Les utilisateurs expérimentés et les consommateurs doivent comparer leur temps et leurs ressources aux avantages procurés par le contrôle de bout en bout de leurs réseaux privés virtuels. Les entreprises peuvent se permettre d’être plus hardcore, en particulier celles ayant du personnel informatique permanent, et elles devraient probablement l’être.

Quel type de solution VPN utiliser?

À présent, vous pensez probablement que l'utilisation d'un service VPN grand public par lequel vous effectuez un tunnel vers un serveur situé dans un autre pays, qui vous connecte ensuite à un site situé ailleurs, n'est pas une pratique recommandée par les entreprises. Dinha est d'accord, soulignant que ces services n'ont pas été développés en tant que solutions professionnelles.

• Les meilleurs services VPN pour 2019 Les meilleurs services VPN pour 2019
• Les meilleurs VPN Linux pour 2019 Les meilleurs VPN Linux pour 2019
• Les sénateurs américains exigent une enquête sur les réseaux VPN étrangers et le risque d'espionnage Les sénateurs américains demandent une enquête sur le réseau VPN étranger sur les risques d'espionnage

La plupart des entreprises devraient plutôt utiliser une solution VPN qui connecte les utilisateurs à leur propre serveur sans passer par l’intermédiaire du serveur de tiers. Il existe de nombreuses solutions de ce type, parmi lesquelles des entreprises dont vous n'avez jamais entendu parler et des entreprises aussi connues que Cisco. N'importe lequel de ces logiciels, mais pas tous, est compatible avec le logiciel Open Source OpenVPN, qui est également largement utilisé et commercialisé par d'autres éditeurs, car il est devenu une norme de facto dans l'espace VPN.

Ceci est certainement plus difficile à configurer et à mettre en œuvre que la simple inscription à un service cloud VPN, mais la différence est que vous vous connectez directement à un serveur VPN que vous contrôlez, généralement situé à la périphérie de votre propre réseau. De cette façon, vos données sont protégées et ne tombent jamais entre les mains de tiers.