Publicité en cours de chargement...

Publicité en cours de chargement...

Chiffrement, compression : révisons nos configurations OpenVPN

27 nov. 2018 - 10:26,
Tribune - Charles Blanc-Rolin
Malgré l’apparition il y a quelques années de la très séduisante solution libre Wireguard [1], OpenVPN reste l’outil de prédilection pour mettre en place facilement des tunnels VPN client / serveur, tout comme IPsec reste le standard en matière de connexion VPN site à site (ou routeur à routeur).

Sa gratuité et sa simplicité d’utilisation ont fait son succès. Son code source fourni sous licence GPL V2, fait qu’OpenVPN est également l’épine dorsale de plusieurs solutions commerciales.

Même si Wireguard apparaît comme LA technologie qui remplacera prochainement IPSec et OpenVPN selon plusieurs experts, Wireguard reste une solution jeune (apparue en 2015) et encore peu maîtrisée des administrateurs réseaux, qui on fait le choix de la facilité, s’en remettre à des technologies plus matures, et surtout qu’ils maîtrisent, ou plutôt, connaissent !

En effet, pour en revenir à la solution OpenVPN, elle fêtera ses 18 ans au mois de mai prochain.
Si c’est une solution qui est toujours présente dans vos SIH, directement ou indirectement via des solutions commerciales, avant de fêter son entrée à l’age de la majorité, un petit check-up s’impose.

#CHIFFREMENT

Le chiffrement proposé par OpenVPN repose sur le protocole SSL / TLS. La version 1.0 de TLS reste la version active par défaut, alors qu’elle est aujourd’hui dépréciée et que les éditeurs des principaux navigateurs Web ont annoncé qu’ils ne supporteraient plus les versions 1.0 et 1.1 de TLS dès 2020 [2].
Alors, activer TLS 1.2 (disponible depuis la version 2.3.3) peut s’avérer judicieux pour augmenter le niveau de sécurité de ses connexions. Une action, qui au bas mot, prend deux minutes, temps d’authentification sur la machine, de paramétrage et de redémarrage du service inclus.

Il suffit d’ajouter dans le fichier de configuration du serveur la ligne suivante :

tls-version-min 1.2

À noter également, la version 1.3 de TLS est implémentée dans OpenVPN depuis la version 2.4.5 [3]. Malgré son haut niveau de sécurité, il est peut être préférable d’attendre encore quelques mois avant de l’activer, afin de conserver une rétro-compatibilité avec les clients d’une version inférieure, encore présents dans les dépôts de versions stables de certaines distributions Linux.

#COMPRESSION

Par défaut, OpenVPN utilise le mécanisme de compression LZO, un mécanisme dont l’extrême vulnérabilité (VORACLE) a été démontrée cet été lors de la dernière édition de la Def Con par le chercheur Nafeez (@skeptic_fx) [4]. Une vulnérabilité qui permet de déchiffrer le trafic non chiffré à l’intérieur du tunnel, comme ici avec le cas d’une connexion HTTP à l’intérieur d’un tunnel VPN :

voracle 

Dans un communiqué daté du 29 septembre [5], OpenVPN recommande la désactivation de la compression LZO pour les versions de la branche 2.3.X et l’utilisation de l’algorithme de compression  stub-v2 pour les versions de la branche 2.4.X afin d’éviter toute interception de données non chiffrées transitant dans le tunnel.
Là encore deux lignes à insérer dans le fichier de configuration du serveur suffisent à corriger ce problème :

Pour les versions 2.3.X : 

comp-lzo no

  • push "comp-lzo no"

Pour les versions 2.4.X :

compress stub-v2

  • push "compress stub-v2

Afin de s’assurer que la compression LZO est bien désactivée, il faut que dans les logs du serveur OpenVPN, la variable LZO soit égale à 1 :

lzo = 1

La simplicité d’amélioration de la sécurité est tellement « enfantine », qu’il serait vraiment dommage de s’en priver.


[1] https://www.wireguard.com

[2] https://www.forum-sih.fr/viewtopic.php?f=78&t=1139#p4159

[3] https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24#OpenVPN2.4.5

[4] https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/Nafeez/DEFCON-26-Nafeez-Compression-Oracle-attacks-on-VPN-Networks.pdf

[5] https://community.openvpn.net/openvpn/wiki/VORACLE

Avez-vous apprécié ce contenu ?

A lire également.

Illustration IA et santé : cap sur une cybersécurité consolidée et proactive

IA et santé : cap sur une cybersécurité consolidée et proactive

18 juin 2025 - 10:57,

Communiqué

- Trend Micro

Le secteur de la santé, porté par la vague de l’IA, veut gagner en flexibilité, innover dans la prise en charge des patients et maîtriser les coûts. Des promesses qui ne se concrétiseront que dans un cadre de sécurité robuste. En effet, l’IA se révèle à double tranchant. Elle renforce les lignes de ...

Illustration Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics

Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics

16 juin 2025 - 22:18,

Actualité

- Damien Dubois, DSIH

Le 12 juin, la Commission européenne a annoncé un investissement de 145,5 millions d’euros pour soutenir la cybersécurité des PME, administrations et établissements de santé.

Illustration Et c’est l’heure de notre quiz annuel

Et c’est l’heure de notre quiz annuel

16 juin 2025 - 22:10,

Tribune

-
Cédric Cartau

Ça y est, c’est bientôt l’été avec tout qui chauffe, le soleil qui revient, le maillot de bain de l’année dernière dans lequel vous ne rentrez plus – hiver oblige. Il est largement temps de se changer les idées avec un petit quiz aux questions subtilement nuancées, une exclusivité DSIH souvent imité...

Illustration IA & éthique du numérique en santé : le guide d’implémentation de l’ANS

IA & éthique du numérique en santé : le guide d’implémentation de l’ANS

09 juin 2025 - 21:17,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

Compte tenu, d’une part, des perspectives d’amélioration que l’IA promet dans le secteur de la santé et, d’autre part, de la montée en charge rapide de l’offre de systèmes d’IA (SIA), la cellule éthique de la Délégation au numérique en santé (DNS) a réuni un groupe de travail (GT) pluridisciplinaire...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.