Le développement de l’e-commerce et des communications intersites implique nécessairement la confidentialité des données échangées. Si internet permet de bâtir des réseaux étendus (Wan) à moindres frais, il n’offre pas en revanche la sécurité et la qualité de services des réseaux privés mondiaux. Les données transitent au vu et su de tous par les mêmes “tuyaux”, qu’il s’agisse d’un particulier, d’une entreprise ou… d’un pirate. En outre, internet n’accepte que le protocole IP, là où certaines entreprises travaillent en SNA (protocole des mainframes IBM), NetBEUI (Microsoft), AppleTalk (Apple) ou IPX (Novell). Les VPN répondent à ces deux problématiques. Ils mettent en ?”uvre les avantages d’internet tout en recréant les conditions de sécurité et de qualité de services des réseaux privés de manière “virtuelle”. L’infrastructure internet n’est donc pas remise en cause. Pour isoler les données d’une société, les VPN créent un tunnel privé dans lequel les informations sont encapsulées au format IP ce qui permet à deux entreprises de continuer à échanger des données en SNA par exemple sans avoir à déployer un réseau propriétaire. Il s’agit d’un point très important car la conversion de données coûte cher en passerelles et en administration. Les données sont ensuite chiffrées pour assurer leur confidentialité. Le VPN va généralement de paire avec la notion d’authentification assurée par des serveurs tels que Radius ou Tacacs. Rien ne sert en effet de protéger les données si l’identité de son émetteur ou de son destinataire n’est pas garantie. Enfin, il existe aujourd’hui une dernière notion associée aux VPN qui concerne l’intégrité des données, garantissant qu’elles n’ont pas été altérées lors du transfert.
La normalisation des VPN acquise en 1998
Idéalement, les VPN ont été conçus pour pouvoir être créés dynamiquement, que l’utilisateur soit un nomade ou qu’il travaille à partir de son poste. Il lui suffit de se connecter pour que le tunnel soit établi entre lui et son interlocuteur. Si plusieurs projets se sont disputés la normalisation des VPN, l’IETF a tranché en 1998 pour L2TP (Layer Two Tunneling Protocol). Issu de la convergence de PPTP (Point to Point Tunneling Protocol) proposé par Microsoft et de L2F (Layer Two Forwarding) de Cisco, L2TP associe l’encapsulation des paquets de données au niveau de la couche 3 (IP) et de la couche 2 (Frame Relay et ATM) pour créer un tunnel entre deux utilisateurs connectés via un VPN. La notion d’utilisateur est ici importante car L2TP entend permettre une communication sécurisée de poste à poste, contrairement à la solution préconisée par Cisco qui créait un tunnel de routeur à routeur par exemple. Or, entre le routeur et le poste du client, les pirates peuvent voler des informations ou usurper l’identité de l’utilisateur, surtout si le routeur est situé chez le prestataire d’accès, ce qui implique que les données ont transité sur un réseau public pendant un laps de temps sans protection. Enfin, L2TP autorise aussi la création de tunnels simultanés entre un utilisateur et plusieurs autres. En complément de L2TP qui n’assure que l’encapsulation des données dans un format propriétaire au format IP, l’IETF recommande l’utilisation de deux autres protocoles qu’il a ratifiés : IPSec (IP Secure) pour garantir la confidentialité, l’intégrité et l’authentification des données, et RSVP (Resource ReServation Protocol) qui alloue ou réserve de la bande passante pour une application spécifique.
VPN de bout en bout : une réalité qui a du mal à prendre forme en extranet
Si les éditeurs et équipementiers réseau (3Com, Enterasys [ex-Cabletron] ou encore IBM, Aventail, Check Point et bien entendu Cisco et Microsoft) ont adopté les normes préconisées par l’IETF, la réalité du marché côté prestataires est toute différente. Tout d’abord, les normes IETF ont donné lieu à des interprétations très libres. Chez UUNet France, le VPN commence au niveau du routeur mais l’intégration ne fait pas nécessairement partie des prestations de la société, charge donc à l’entreprise d’installer les solutions logicielles sur les postes clients pour créer un VPN de poste à poste. Chez Oléane (France Télécom), le VPN fonctionne au niveau de la couche 2 (ATM-Frame Relay) et non en IP, l’opérateur estimant qu’IP n’offre pas les garanties nécessaires en matière de qualité de service. Atos, pour sa part, a adopté les normes de l’IETF avec un équipement basé sur les technologies VPN de Check Point. Mais, la société, qui est capable de mettre en ?”uvre des VPN quand elle maîtrise la communication de bout en bout, reste plus discrète quant à l’éventualité d’un VPN qui dépendrait de plusieurs prestataires. Or, le VPN ne fonctionne pas qu’en intranet. Il s’adresse aussi aux extranets, donc aux réseaux de partenaires qui ne peuvent pas tous dépendre du même prestataire d’accès. Si un grand compte arrive à obtenir de son fournisseur qu’il change de prestataire pour qu’ils dépendent du même, qu’arrivera-t-il lorsqu’un deuxième grand compte demandera aussi au fournisseur de changer de prestataire. Finalement, ce dernier devra-t-il disposer d’autant d’accès qu’il met en ?”uvre de VPN ? Il semblerait que la réponse soit oui pour l’instant. Ce n’est donc pas tant la jeunesse des protocoles qu’un problème de fond lié à la qualité des services qui bloque aujourd’hui le marché des VPN : “Mettre en place des VPN multiprestataires signifie accepter de faire dépendre la qualité de service de nos prestations de tiers pour lesquels nous n’avons pas la maîtrise d’?”uvre”, répondent les prestataires français. Et lorsque l’on sait que la mise en ?”uvre de technologies, même standardisées, ne garantit pas l’interopérabilité (interprétation des éditeurs oblige sans compter les différentes versions), on comprend que les prestataires soient quelque peu frileux. Résultat, les accords d’interconnexion, plutôt rares, entre prestataires se font sur mesure au gré des besoins des entreprises. Mais, globalement, chacun d’entre eux préfère miser sur ses dorsales pour offrir une couverture mondiale en VPN, ce qui ne règle en rien le problème du malheureux fournisseur confronté à de multiples VPN.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.