Publicité en cours de chargement...
Chiffrement, compression : révisons nos configurations OpenVPN
Sa gratuité et sa simplicité d’utilisation ont fait son succès. Son code source fourni sous licence GPL V2, fait qu’OpenVPN est également l’épine dorsale de plusieurs solutions commerciales.
Même si Wireguard apparaît comme LA technologie qui remplacera prochainement IPSec et OpenVPN selon plusieurs experts, Wireguard reste une solution jeune (apparue en 2015) et encore peu maîtrisée des administrateurs réseaux, qui on fait le choix de la facilité, s’en remettre à des technologies plus matures, et surtout qu’ils maîtrisent, ou plutôt, connaissent !
En effet, pour en revenir à la solution OpenVPN, elle fêtera ses 18 ans au mois de mai prochain.
Si c’est une solution qui est toujours présente dans vos SIH, directement ou indirectement via des solutions commerciales, avant de fêter son entrée à l’age de la majorité, un petit check-up s’impose.
#CHIFFREMENT
Le chiffrement proposé par OpenVPN repose sur le protocole SSL / TLS. La version 1.0 de TLS reste la version active par défaut, alors qu’elle est aujourd’hui dépréciée et que les éditeurs des principaux navigateurs Web ont annoncé qu’ils ne supporteraient plus les versions 1.0 et 1.1 de TLS dès 2020 [2].
Alors, activer TLS 1.2 (disponible depuis la version 2.3.3) peut s’avérer judicieux pour augmenter le niveau de sécurité de ses connexions. Une action, qui au bas mot, prend deux minutes, temps d’authentification sur la machine, de paramétrage et de redémarrage du service inclus.
Il suffit d’ajouter dans le fichier de configuration du serveur la ligne suivante :
tls-version-min 1.2
À noter également, la version 1.3 de TLS est implémentée dans OpenVPN depuis la version 2.4.5 [3]. Malgré son haut niveau de sécurité, il est peut être préférable d’attendre encore quelques mois avant de l’activer, afin de conserver une rétro-compatibilité avec les clients d’une version inférieure, encore présents dans les dépôts de versions stables de certaines distributions Linux.
#COMPRESSION
Par défaut, OpenVPN utilise le mécanisme de compression LZO, un mécanisme dont l’extrême vulnérabilité (VORACLE) a été démontrée cet été lors de la dernière édition de la Def Con par le chercheur Nafeez (@skeptic_fx) [4]. Une vulnérabilité qui permet de déchiffrer le trafic non chiffré à l’intérieur du tunnel, comme ici avec le cas d’une connexion HTTP à l’intérieur d’un tunnel VPN :
Dans un communiqué daté du 29 septembre [5], OpenVPN recommande la désactivation de la compression LZO pour les versions de la branche 2.3.X et l’utilisation de l’algorithme de compression stub-v2 pour les versions de la branche 2.4.X afin d’éviter toute interception de données non chiffrées transitant dans le tunnel.
Là encore deux lignes à insérer dans le fichier de configuration du serveur suffisent à corriger ce problème :
Pour les versions 2.3.X :
comp-lzo no
- push "comp-lzo no"
Pour les versions 2.4.X :
compress stub-v2
- push "compress stub-v2
Afin de s’assurer que la compression LZO est bien désactivée, il faut que dans les logs du serveur OpenVPN, la variable LZO soit égale à 1 :
lzo = 1
La simplicité d’amélioration de la sécurité est tellement « enfantine », qu’il serait vraiment dommage de s’en priver.
[2] https://www.forum-sih.fr/viewtopic.php?f=78&t=1139#p4159
[3] https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24#OpenVPN2.4.5
Avez-vous apprécié ce contenu ?
A lire également.

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA
08 sept. 2025 - 11:50,
Tribune
-Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...
PSSI et Care D2 : suite de la réflexion sur la question de la signature
01 sept. 2025 - 22:56,
Tribune
-Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?
PSSI et Care D2, des questions pas si simples
26 août 2025 - 08:49,
Tribune
-Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...