Introduction

Cette partie ne constituera pas une banale récapitulation des failles relatées dans des listes de diffusion comme `` bugtrack '' sans intérêt pédagogique mais bel et bien les questions qui sont posées lors de la mise en ?uvre de réseaux virtuels privés.
Il est possible de définir plusieurs axes de réflexion pour plusieurs types de failles :

• Les problématiques relatives à l'essence même, le principe fondamental du VPN.
• Les problèmes soulevés par les protocoles utilisés suivant le type de VPN à différents niveaux OSI ou différentes étapes de phases critiques préalables ou lors du déroulement de l'étape du chiffrement.
• Les architectures réseaux inhérentes à ces solutions en fonction du besoin de l'utilisateur.
• Les failles d'implémentation de cette solution c'est-à-dire au sein même des programmes utilisés (clients ou serveurs).

Dans le cas présent même si cette expression est très populaire dans les salons de sécurité, elle illustre une partie des questions à se poser concernant les VPN.

`` Le niveau d'une chaîne de sécurité est égal à celui de son maillon le plus faible ''.

Autrement dit, sécuriser la plupart des aspects d'une solution en en occultant certains prétextant qu'ils appartiennent à d'autres domaines ne permet pas de sécuriser une architecture. Par cette notion de `` sécuriser '', il n'est pas question de prétendre que la solution est inviolable mais bien de garantir un niveau minimum de sécurité dans le cadre d'une classification des risques opérationnels selon des axes aujourd'hui consensuels (Auditability, Availability, Integrity, Confidentiality).

Nous allons maintenant voir plus en détails les problématiques qui méritent d'être soulevées.