VPN ou NAT distant ?


La plupart de ce que les vendeurs nomment VPN aujourd’hui ne sont en fait que des demi VPN qui servent en fait qu’à modifier l’adresse IP (IPV4 seulement la plupart du temps) présentée au service auquel on se connecte, le plus souvent afin de ne pas se faire repérer de la surveillance des téléchargements illégaux ou de tromper les services de géolocalisation par adresse IP, via un serveur nat installé hors du réseau local, contrairement à celui que l'on trouve dans les routeurs et les box des fournisseurs d'accès internet.
Pourquoi demi VPN, quelle différence ?

Le complet

Un VPN complet traverse tout l’internet pour permettre de se connecter à un serveur ou un réseau local privé à l’abri des regards du reste du monde :
Par exemple Logmein Hamachi est un VPN complet, les VPN d'entreprise aussi généralement.

Le demi vpn:

Un demi VPN ou NAT distant ne traverse qu’une partie de l’internet jusqu’à un serveur NAT distant qui va changer l’adresse IP de l’utilisateur pour la remplacer par celle du serveur et ressortir sur l’internet de façon tout à fait normale comme si on partait de ce point pour arriver jusqu’au service souhaité:

Ce sont donc tous les "VPN" du commerce qui se battent à coups de publicité sur nos pages WEB.

Chiffrement:

Le demi VPN, comme le complet est chiffré bien sûr pour rendre les données privées, certains proposent même plusieurs couches de tunnels pour mieux cacher les données dedans ou plusieurs serveurs nat distants pour mieux masquer l’adresse ip d’origine en cas de recherche.

La sécurité:

Les demi VPN n’apportent quasiment aucune sécurité supplémentaire par rapport aux connexions internet classiques actuelles car celles ci sont déjà chiffrées par TLS (https par exemple) le fameux petit cadenas.

Avenir des VPN

L'impact sécurité des VPN va s'amenuiser jusqu'à les rendre inutiles:
Les évolutions en cours ou à venir dans QUIC et HTTP/3 Les clouds s’y mettent aussi et même le protocole de réseau windows SMB devrait évoluer vers QUIC avec donc la possibilité de faire du réseau windows à distance sans avoir besoin de VPN.

Risque:

Par contre,
les NAT distants exposent à un risque supplémentaire en faisant passer toutes les données du client via un serveur tiers qui aurait tout pouvoir dessus si elles n’étaient pas chiffrées par TLS comme les connexions habituelles.
C’est donc globalement contre productif au niveau sécurité d'utiliser un demi VPN, son intérêt restant limité à tromper les sites sur l'adresse d'origine de la connexion.

Cet article est régulièrement mis à jour par des experts sous la
direction de Jean-François Pillou, fondateur de CommentCaMarche.
A voir également
Ce document intitulé « VPN ou NAT distant ? » issu de Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.