Organisation et équipe

Les fausses promesses des VPN, grand public et entreprise

Le VPN grand public ne vous rend pas anonyme. Le concentrateur VPN d'entreprise posé en frontière d'Internet est devenu l'une des cibles les plus attaquées qui soient. Mise au point sur deux malentendus.

Publié le 6 min de lecture Critique

Dernière revue:

Câblage réseau dans un datacenter

Un VPN ne supprime pas le risque. Il décide seulement à qui vous le confiez.

Le VPNTunnel chiffré entre votre appareil et un serveur, masquant votre IP et votre trafic à votre FAI. est vendu comme une brique de sécurité universelle. En réalité, ce sont deux produits très différents sous un même mot, et les deux reposent sur un malentendu. Côté grand public, on vous vend un anonymat que la technologie ne donne pas. Côté entreprise, on a posé pendant vingt ans une boîte à privilèges élevés en frontière d’Internet, et elle est aujourd’hui l’une des plus attaquées qui soient.

Ce qu’un VPN grand public fait, et ne fait pas

« Chiffrement de niveau militaire. » La formule revient dans toutes les publicités. Elle désigne AES-256, un standard public, gratuit, vieux de vingt-cinq ans, que votre banque et votre messagerie utilisent déjà. Ce n’est pas un défaut, c’est du bon chiffrement. Mais comme argument de vente, la formule ne veut rien dire. Votre grille-pain connecté pourrait s’en réclamer.

Ce qu’un VPN fait vraiment : il chiffre le trajet entre votre appareil et le serveur du fournisseur, et masque votre adresse IP à votre opérateur. Utile sur un Wi-Fi public, pour contourner une restriction géographique, ou pour soustraire votre trafic à votre fournisseur d’accès.

Ce qu’il ne fait pas : vous rendre anonyme. Les cookies, l’empreinte de navigateurIdentification d'un appareil par les caractéristiques uniques de son navigateur et de son système. et vos comptes connectés continuent de vous suivre. Et le fournisseur de VPN, lui, voit votre adresse IP réelle et votre trafic. Vous n’avez pas supprimé le témoin de votre navigation, vous l’avez déplacé de votre opérateur, que vous subissez, vers une entreprise que vous avez choisie sans pouvoir la vérifier.

« Aucun journal de connexion » est une promesse, pas une preuve. Ce qui vaut, c’est un audit indépendant publié, ou une réquisition judiciaire qui confirme qu’il n’y avait effectivement rien à fournir. Plusieurs fournisseurs qui juraient ne rien conserver ont été pris à journaliser. La propriété des marques ajoute au flou : des dizaines de VPN d’apparence concurrente partagent la même maison mère, parfois celle du site de comparaison qui les recommande.

Le concentrateur VPN, la boîte la plus exposée de l’entreprise

Le VPN d’entreprise est un autre animal. Un concentrateur SSL-VPNPasserelle d'accès distant exposée en permanence sur Internet, point d'entrée réseau à privilèges élevés., du type de ceux de Fortinet, est un boîtier posé en frontière d’Internet. Il expose un service d’écoute permanent que tous les scanners de la planète connaissent : Shodan indexe les FortiGate exposés en continu. Il termine le TLS, garde en mémoire identifiants et jetons de session, et une fois l’utilisateur authentifié, il ouvre souvent l’accès à un réseau à plat.

C’est le profil parfait de la cible : exposée, à privilèges élevés, point de passage unique. Fortinet est le plus visé parce qu’il est le plus déployé, pas parce qu’il serait seul en cause. Citrix et Ivanti connaissent exactement le même problème sur leurs propres passerelles.

Le dossier est documenté et il s’étale sur des années. En 2020, l’exploitation en masse de la faille CVE-2018-13379 a fait fuiter les identifiants VPN d’environ 50 000 boîtiers Fortinet. Ont suivi une série de failles critiques d’exécution de code à distance dans le SSL-VPN de FortiOS, CVE-2022-42475, CVE-2023-27997, CVE-2024-21762, toutes activement exploitées et inscrites au catalogue des vulnérabilités exploitées de la CISA. Ces failles ne restent pas théoriques : des intrusions réelles démarrent sur le boîtier VPN, puis se propagent en mouvement latéralProgression d'un attaquant depuis un point d'entrée compromis vers d'autres systèmes du même réseau. vers le reste du réseau. Le motif se répète encore début 2026, avec une fuite d’identifiants Fortinet à grande échelle et des alertes conjointes de la CISA et du NCSC.

Vous n’avez pas supprimé le risque. Vous l’avez déplacé vers une boîte que le monde entier peut atteindre.

Shield — shield.travel

Ce qui réduit vraiment le risque

Côté grand public, choisissez sur des critères vérifiables : un audit indépendant publié, une juridiction claire, une propriété transparente, un protocole ouvert comme WireGuard ou OpenVPN. Pas sur un slogan. Et gardez en tête ce qu’un VPN ne fait pas : pour le Wi-Fi public, le HTTPS généralisé protège déjà l’essentiel de votre trafic.

Côté entreprise, la parade tient d’abord à la discipline, ensuite à l’architecture. L’interface d’administration d’un équipement de bordure n’a rien à faire sur Internet. L’authentification multifacteur est partout. Les boîtiers exposés se patchent au rythme du catalogue de la CISA, pas au trimestre. Et puisque des identifiants ont déjà pu fuiter sans bruit, on les considère comme compromis et on les fait tourner.

Sur le fond, le modèle « un login ouvre tout le réseau » a fait son temps. La direction à prendre est l’accès par application, où chaque ressource est atteinte selon l’identité et l’état de l’appareil, sans écouteur unique planté en frontière que le premier scanner venu repère.

Angle de lecture

Le VPN que vous avez payé pour « être anonyme » déplace surtout votre confiance de votre opérateur vers une entreprise dont vous ne pouvez pas vérifier les promesses. Ses usages légitimes existent : Wi-Fi public, contournement de restriction géographique, discrétion vis-à-vis de votre fournisseur d’accès. L’anonymat n’en fait pas partie. Choisissez sur un audit indépendant public et une propriété claire, jamais sur « niveau militaire ».

Votre concentrateur VPN est votre équipement le plus exposé et le plus privilégié. Inventoriez toutes les interfaces VPN et d’administration joignables depuis Internet, retirez l’administration de la façade publique, imposez le MFA, patchez au rythme du KEV de la CISA. Partez du principe que des identifiants ont fuité et faites-les tourner. En parallèle, actez le passage d’un accès réseau à plat vers un accès par application.

« On a un VPN » n’est pas une réponse à « sommes-nous protégés ». Le boîtier que tout le monde peut atteindre est un point de défaillance unique en frontière de votre réseau. Les deux questions qui comptent : à quelle vitesse patchez-vous cette boîte, et est-ce qu’un seul login ouvre encore tout le réseau. Le reste est un sujet d’architecture que vous devez mandater et financer, pas déléguer à l’espoir.

À mettre en place

  • N1 Aucune interface d'administration d'un équipement VPN n'est joignable depuis Internet.
  • N1 L'authentification multifacteur couvre tous les accès VPN et d'administration.
  • N1 Les équipements de bordure sont patchés au rythme du catalogue KEV de la CISA, pas au trimestre.
  • N2 Les identifiants VPN et d'administration sont traités comme potentiellement fuités et font l'objet d'une rotation.
  • N2 Le passage d'un accès réseau à plat vers un accès par application est acté et budgété.
  • N3 Le choix d'un VPN grand public repose sur un audit indépendant public, pas sur un slogan publicitaire.

Sources

Articles liés