03 avril 2020

La supercherie des VPN ?

Au boulot, en télétravail, on passe par un VPN pour accéder au réseau de la boîte. Ça me paraissait une mesure sage jusqu’à ce matin. Du coup, il est impossible d’utiliser nos ordinateurs portables pour internet sans passer par le VPN. 

Didier, vous n’allez rien comprendre à ce billet. 

Par exemple, si demain je veux aller sur Google pour trouver des bistros ouverts illégalement, il faudra que je lance le VPN pour me connecter via internet au réseau de ma boîte, réseau qui enverra ma demande sur internet. C’est complètement con. Puisque je suis obligé de passer par internet et le réseau de la boîte pour aller sur internet, autant me permettre d’y aller directement. 

Nos PC sont sécurisés. Les disques durs sont chiffrés. Il y a de gros antivirus. On n’a pas les droits administrateur. Il n’y aurait aucun problème de sécurité à aller directement sur internet. 

Mais les gens de la sécurité ont des lubies. Je travaille dans un domaine sensible : je suis amené à manipuler des données personnelles de clients, notamment les numéros de cartes bancaires des clients. La boîte ferme donc les ports USB en écriture pour qu’on ne puisse pas extraire des listes de numéros de cartes. Le truc de sécurité contrôle nos mails professionnels pour vérifier qu’il n’y a pas de numéros de carte. Tout cela est du pur bon sens mais on peut chiffrer les numéros avec Winzip et les envoyer. On peut aussi les envoyer avec nos messageries personnelles. Et comme on travail dans un domaine sensible, on a un tas d’outils pour envoyer de manière sécurisée des informations confidentielles à l’extérieur. Genre : je peux envoyer des données sensibles à moi sur un PC personnel. Il est évident que toutes ces lubies ont un coût non négligeable pour les entreprises (je parle de mon cas mais la plupart des grosses boites ont les mêmes pratiques). 

Mais revenons à nos VPN. Déjà, vous ne savez peut-être pas ce que c’est. Virtual Private Network. En gros vous établissez une liaison sécurisée entre un PC ou un réseau et un autre PC ou un autre réseau. Les données sont chiffrées et les points d’accès sont authentifiés. 

Par exemple, le VPN de ma boîte me permet d’accéder à ses serveurs. Quiconque n’a pas de VPN ne peut pas y accéder. C’est la moindre des choses. Et si on tombait sur un bon pirate, l’accès aux serveurs est lui même ultra protégé. 

Ce VPN m’emmerde. Il bouffe de la bande passante (je n’ai pas internet chez moi, je passe par mon iPhone). Donc je suis obligé de limiter le temps de connexion de mon PC. J’y vais le matin pour récupérer les mails et en journée quand j’ai vraiment besoin d’accéder à une application de la boîte. 

Notons d’ailleurs qu’il y a de moins en moins « d’application de la boîte » vu que nous passons par beaucoup de truc en mode SaaS comme les outils de gestion des incidents... mais aussi les les applications Microsoft comme SharePoint ou Teams. Et Outlook. Nous avons bien des applications sur nos PC pour ces deux derniers mais on peut y accéder sans le VPN depuis nos ordinateurs personnels. 

Par contre, avec le PC du boulot, il faut passer par le VPN. Cette période de confinement est très pénible. Je pourrais travailler sur un PC perso mais je n’en ai pas. Je passe ma vie au bistro pas sur un ordinateur. C’est d’ailleurs pour ça que je n’ai pas de wifi chez moi et que j’utilise mon forfait personnel pour me connecter à Internet avec le PC du bureau. 

Ce matin, un détail m’a mis la puce à l’oreille. Mon PC déconnait et j’ai du le rebooter. J’en ai profiter pour vaquer. Quand je suis revenu, j’avais des messages dans Outlook et dans Teams alors que je n’avais encore établi le VPN. Les gars de la boîte avaient dont fait une modification essentielle de la politique de sécurité. Permettre à certaines applications d’accéder à internet sans passer par le VPN. 

Une évidence. 

De là, pourquoi ne permettent-ils pas à toutes les applications de se connecter à Internet vu que les PC sont sécurisés. 

Le plus délirant est qu’ils ont bloqué l’usage des sites gourmands en données comme ceux qui diffusaient de la vidéo comme Facebook, Twitter ou YouTube pendant la période de confinement pour libérer le VPN... Alors qu’ils ne pourraient les bloquer que quand le VPN est monté ! Et encore, cela ne servirait à rien. On n’aurait pas besoin de se connecter via VPN, ce dernier serait moins chargé et on ne l’utiliserait plus que pour l’accès au réseau de la boîte. 

Et l’accès aux serveurs de production étant ultra sécurisé, on pourrait presque être open bar. 

Voilà les gens de la sécurité démasqués. Ils sont très exigeants mais en période de crise, comme maintenant, on se rend compte que tout cela ne sert à rien. 

C’est ballot. 

2 commentaires:

  1. « Didier, vous n’allez rien comprendre à ce billet. »

    Comme je vous fais confiance, je m'arrête là. De toute façon, il faut que j'aille chez le camarade Musseb, pour prendre des nouvelles de sa salade-coquelicot, laquelle m'inspire, depuis 48 heures, les plus vives inquiétudes.

    RépondreSupprimer
  2. pareil que toi dans la boite ou je bosse

    RépondreSupprimer

La modération des commentaires s'active automatiquement deux jours après la publication des billets (pour me permettre de tout suivre). N'hésitez pas à commenter pour autant !