Sécurité IT : des VPN plus fragiles avec SSL ?
High-Tech Bridge (services IT) constate que de nombreux VPN basés sur SSL/TLS présentent un niveau de sécurité insuffisant.
Le choix du protocole de chiffrement SSL/TLS pour créer des réseaux privés virtuels (VPN) présente des avantages en termes d’usage, mais soulève aussi des enjeux en matière de sécurité.
C’est le constat établi par High-Tech Bridge après avoir étudié un peu plus de 10 000 de ces VPN SSL accessibles publiquement et fournis par les principaux acteurs du marché (Cisco, Dell, Fortinet…).
La société de services IT basée entre la Suisse et les États-Unis constate que plus des trois quarts des serveurs testés exploitent encore SSLv3, aujourd’hui considéré obsolète à tout juste vingt ans d’âge. De nombreux standards et normes interdisent formellement son implémentation ; les principaux navigateurs Web en ont désactivé, par défaut, la prise en charge.
Quelques dizaines de VPN utilisent même encore SSLv2, sur lequel Internet Explorer avait pourtant fait l’impasse… dès 2005 (voir notre article à ce sujet).
Autre point commun à de nombreux VPN (76 % d’entre eux en l’occurrence) : l’utilisation d’un certificat non approuvé ; c’est-à-dire que l’autorité qui (auto)signe ledit certificat est inconnue du navigateur Web. Assez pour permettre à un tiers de s’intercaler sur la connexion et d’intercepter des données, sur le principe d’une attaque « Man-in-the-Middle ».
SHA va pas ?
Toujours sur le volet des certificats, 74 % ont une signature SHA-1, un format qui doit – théoriquement – être abandonné dans l’industrie des navigateurs Web d’ici au 1er janvier 2017.
Sa vulnérabilité a été démontrée à plusieurs reprises, notamment dans le cadre d’une opération coordonnée par plusieurs organismes dont l’Inria. Surtout, les ressources informatiques nécessaires pour craquer SHA-1 sont devenues plus accessibles financièrement, de l’ordre de quelques dizaines de milliers de dollars.
Le format même des clés de chiffrement associées aux VPN pose problème : 41 % d’entre eux sont sur du RSA-1024, alors qu’on considère que le minimum pour garantir la sécurité est de 2048 bits (voir la FAQ de Symantec sur ce sujet et une démonstration de l’Université du Michigan remontant à 2010).
Petite page open source : parmi les VPN basés sur OpenSSL, 10 % sont encore vulnérables à la faille Heartbleed, faute d’une mise à jour de la bibliothèque de chiffrement.
Au global, 85 % des VPN mis à l’épreuve héritent de la note la plus basse en matière de sécurité. High-Tech Bridge note aussi que seulement 3 % sont conformes à la norme PCI DSS (Payment Card Industry Data Security Standard ; confer la révision d’avril 2015 au format PDF)… et aucun vis-à-vis des recommandations du NIST (National Institute of Standards and Technology), agence américaine qui définit des bonnes pratiques pour l’implémentation et l’exploitation de SSL/TLS.
Crédit photo : Mopic – Shutterstock.com