De l’avis des utilisateurs, les VPN (Virtual Private Networks, réseaux privés virtuels) sur IP sont désormais considérés comme une technologie mûre. “Les fonctions d’encapsulation et de chiffrement ont été mises en ?”uvre auprès de trois mille de nos employés sans problème particulier”, tient ainsi à souligner Ludek Weigl, directeur du projet VPN pour l’assureur Winterthur. Même son de cloche à la Société Générale. Toutefois, son VPN reste en cours d’évaluation. Seules quelques-unes de ses huit cents filiales à l’étranger y seraient reliées, ainsi qu’un échantillon d’utilisateurs internes dans l’Hexagone.Chacun cite le besoin d’intégrer des services d’infrastructures à clés publiques (ICP, ou PKI pour Public Key Infrastructure). C’est la condition sine qua non pour passer aux déploiements à grande échelle. Le premier avantage porte sur la fiabilité accrue de l’authentification entre deux passerelles. Chaque équipement sur le VPN dispose d’un certificat et d’une clé privée RSA, tandis que l’autorité de certification signe les clés publiques correspondantes. Par ailleurs, les équipements qui maillent un VPN stockent eux-mêmes les clés publiques de leurs interlocuteurs.Par contraste, les mécanismes alternatifs d’authentification, tels les mots de passe, sont plus encombrants. Les architectures de VPN intègrent alors un intermédiaire supplémentaire (un serveur Radius ou un serveur relais pour la génération de mots de passe aléatoires). Même si, chez Winterthur, qui s’appuie justement sur une authentification à base de serveurs Radius, on considère cela comme suffisant en l’état actuel.Second avantage des PKI, “la simplification de l’administration”, note Michel Dubar, responsable sécurité à la Société Générale. A chaque nouvelle connexion entre deux machines, un nouveau mot de passe est en effet généré. Ce qui transforme les déploiements de VPN sur plusieurs n?”uds de réseau en véritables casse-tête. Alors que, dans le cadre d’une PKI, chaque machine n’a besoin que d’un seul et unique certificat. Un certificat par ailleurs pris en compte nativement par le protocole IP-Sec lors de la première phase de négociation des clés. Toujours est-il que les éditeurs de VPN privilégiaient jusqu’à peu encore leur propre standard propriétaire de certificats, et non pas le standard établi X. 509. L’enregistrement auprès d’une autorité de certification passe, elle, par l’adoption de protocoles dédiés, comme par exemple SCEP – Simplified Certificat Enrollment Procedure -, ou OCSP – Online Certificate Status Protocol. Tandis que les requêtes effectuées sur les listes de révocation nécessitent, elles, la prise en compte du protocole LDAP.Certains éditeurs de VPN tentent le pari de créer de toutes pièces une offre intégrée de PKI, alors que d’autres préfèrent nouer des partenariats étroits avec les principaux éditeurs du marché.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
