Comment utiliser un VPN correctement ?
Est-ce qu’on a tendance à rouler plus vite dans une voiture qui dispose de plus d’équipements de sécurité ? Plus d’airbags, un meilleur système de ceinture de sécurité, une meilleure absorption des chocs ? Honnêtement, je ne sais pas, je n’y connais pas grand-chose dans ce domaine. Par contre, là où je m’y connais un tout petit peu plus (pas beaucoup) c’est en informatique, et j’ai remarqué, que bizarrement, un niveau de sécurité apparemment supérieur entraine parfois des comportements dangereux.
Alors c’est certain, en informatique, vous ne risquez pas la sortie de route potentiellement mortelle, mais des choses très grave peuvent tout de même se produire. Chez un particulier, un comportement dangereux peut mener à la perte d’informations, et en entreprise, cela peut entrainer une rupture de l’activité de production.
Les aventures de Géraldine
Quand je travaillais encore pour un patron, au poste de directeur IT, j’ai connu ça et ce n’est pas vraiment drôle. Une de nos commerciales, (Coucou Géraldine !), pensait, que comme elle utilisait un VPN (sans savoir trop de quoi il s’agissait en réalité), tout ce qu’elle pouvait faire à côté de ses heures de travail sur l’ordinateur de fonction n’était pas dangereux. Comme cette commerciale était dans le sud de la France, elle n’était que rarement présente aux formations à la sécurité informatique que nous dispensions en interne…
Bref ce qui devait arriver arriva, et un jour le serveur de production s’est retrouvé totalement en carafe, malgré les différentes protections car un ver s’était introduit via le VPN de notre commerciale. Deux jours d’arrêt de production (en travaillant pourtant nuit et jour à nettoyer tout ça et à remonter les sauvegardes…). Nous travaillions dans le domaine médical… 2 jours ou 800 000 euros de manque à gagner.
Donc un VPN c’est super, mais ce n’est pas le rempart infranchissable que certains imaginent.
Et aujourd’hui, après le petit problème de santé que nous avons connu et que nous connaissons toujours d’ailleurs vous devez être un bon paquet, vous lecteur, à utiliser un VPN pour travailler de chez vous. Ou bien à utiliser un VPN perso pour vous connecter à votre réseau perso.
Les utilisateurs
Première cause d’un VPN faible : les utilisateurs. Si vous laissez vos utilisateurs gérer leurs identifiants VPN, partez du principe que s’est foutu…
Attention, ce n’est pas un jugement de valeur, c’est juste que c’est dans la nature humaine, aucun de vos utilisateurs, ne va choisir de son plein grès un mot de passe comme « 5fS*k#ZrrZzkDe »… Ben non, il va plutôt choisir « Manon2006 » ou « motdepasse », ou encore « 123456 »…
Donc première règle : les utilisateurs ne peuvent pas choisir leurs identifiants, ni les changer.
Deuxième règles : chiffrez-moi tous ces identifiants, un petit hash dans une base de donnée bien sécurisée et vous devriez être plus ou moins tranquille.
Après, ma solution préférée, pour ce problème particulier d’identifiant, est de ne pas en fournir. N’hésitez pas à basculer sur un système de clé publique / privées, vous serez beaucoup moins embêté.
Enfin, pour en finir avec les problèmes liés aux utilisateurs, le mieux serait également, qu’ils n’utilisent pas le matériel de dotation pour effectuer des tâches personnelles. Dans mon dernier job, je coupais tout ce qu’il était possible de couper comme droits sur les nouveaux PC ne laissant que le nécessaire pour faire le travail correspondant à chaque poste.
Alors oui, ce n’est pas très populaire parmi vos collègues et il arrivera parfois qu’un utilisateur vienne vous voir car il ne peut pas accéder à un service légitime, mais vous allez vous éviter tellement d’ennuis que ça en vaut la chandelle.
La configuration
N’accusons pas forcément que les utilisateurs finaux, le problème peut aussi très bien provenir de la configuration initiale ou de la maintenance du système VPN.
Ce n’est pas pour rien que des organismes comme la NSA (National Security Agency excusez du peu), ou l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information, en France) recommandent un certain nombre de bonnes pratiques. Bon on ne va pas ici vous lister tout ce qui est recommandé, parce que ces recommandations se présentent sous la forme de livres de plusieurs centaines de pages.
Mais si on devait en retenir le principal, on pourrait dire :
Mettre à jour votre script ou logiciel VPN
Votre éditeur VPN publie des mises à jour, même si vous êtes un particulier le script PiVPN est régulièrement mis à jour, il faut installer ces mises à jour ! Ça permet de réduire la surface d’attaque en bouchant des failles déjà connues, c’est vraiment la base.
Ça peut paraitre stupide, mais je vous promets, que même en entreprise, certains VPN n’ont jamais été mis à jour depuis le moment où ils ont été installés. Il faut appliquer les correctifs, au fur et à mesure qu’ils sortent.
Auditez vos connexions VPN et mettez en place un Fail2Ban
Ça ne coute rien de regarder ce qui se passe sur les connexions de vos utilisateurs, sauf un peu de temps. On va caricaturer mais si un utilisateur s’est connecté 300 fois aujourd’hui soit il a de grave problème de connexion, soit il y a un souci quelque part.
De même si une fois connecté, un utilisateur essaie d’accéder à tous les services de la boîte, peut-être qu’il est en train d’essayer quelque chose de pas très catholique.
Bref, au moindre doute on coupe, et on verra après.
Autre impératif, un fail2ban : au bout d’un nombre choisi d’essais de connexion infructueux, ça ban automatiquement pour une période donnée (tout ça se paramètre). Si vous êtes sous Windows Server, il y a un équivalent à Fail2ban pour les OS de chez Microsoft, qui s’appelle RdPGuard, et qui vous évitera énormément de désagréments. Par exemple, chez moi, j’utilise ce logiciel sur mon Windows server 2012 R2. RdPGuard surveille les tentatives de connexions à mon serveur email, aux bases de données, au FTP, au RDP… Et il faut voir le nombre de ban en une journée…
VPN ou pas, ce qui ne sert pas doit être éteint
Quand vous sortez d’une pièce, vous éteignez la lumière, n’est-ce pas ? Quand vous avez fini de vous laver les dents, vous coupez l’eau ? Nous allons maintenant faire la même chose sur votre VPN. Le LDAP n’est pas utilisé, le FTP non plus, et c’est pareil pour le XMPP ? Fermez tout ça ! Un port ne doit être ouvert que si c’est utilisé, et strictement nécessaire ! C’est plus difficile pour un cambrioleur de rentrer chez vous s’il n’y a qu’une seule porte et qu’elle est triplement blindée que si votre façade possède 18 portes en bois vermoulu…
Evitez le « Par défaut »
Lorsque vous installez votre serveur VPN. L’installation vous demande de choisir le port, par défaut c’est par exemple le 53 UDP… Hop, on le change à la première occasion !
Au moment de la génération des clés, on vous prévient que vous pouvez télécharger des clés préconçues depuis le net, ou bien générer les vôtres mais que la génération sera très longue et bien ce n’est pas grave on génère de nouvelles clés, bref il faut éviter le standard.
Soyez attentif aux news
L’informatique ça évolue. Le protocole PPTP c’était très bien il y a quelques années, mais vous serez mieux avec un OpenVPN ou un Wireguard aux jours d’aujourd’hui.
Il faut suivre certains sites d’informations spécialisés, afin de savoir si un protocole est compromis, ou même si votre script VPN, ou logiciel est toujours au top, ou si des petits malins ont trouvé une brèche. Se tenir au courant, c’est aussi important que d’appliquer les correctifs, la veille technologique devrait être obligatoire en entreprise.
Concluons
Si vous suivez tous ces conseils avec rigueur, il ne devrait pas vous arriver de problème, mais n’oubliez pas qu’au moindre manquement, le retour de bâton est généralement très rapide. Si vous laissez un bot essayer de deviner un mot de passe pendant une semaine, par flemme, et ben au bout d’un moment, il va le trouver…
Si vous laissez vos utilisateurs, se connecter à votre VPN avec le prénom de leur fil comme mot de passe, il arrivera un moment où se sera quelqu’un d’autre qui se connectera à ce compte.
Suivez les bonnes pratiques, soyez proactif, faites de la veille technologique. Et si votre VPN actuel est carrément irrattrapable, changez tout… même s’il faut aller travailler un weekend pour mettre ça en place, vous serez tellement plus tranquille ensuite, surtout si le télétravail vient à devenir une norme pour certains postes.
