Fortinet supprime le VPN SSL : ce que cela signifie et pourquoi c’est important
Fortinet a récemment supprimé l’utilisation du mode tunnel VPN SSL sur toutes les appliances FortiGate à partir de FortiOS 7.6.3. Cette décision marque un changement important dans la façon dont les entreprises doivent aborder la connectivité à distance en utilisant l’infrastructure Fortinet.
Le problème du VPN SSL
Les VPN SSL sont depuis longtemps une méthode populaire pour l’accès à distance sécurisé, notamment en raison de leur facilité de déploiement et de leur compatibilité avec les réseaux restrictifs (puisqu’ils utilisent les ports HTTPS). Cependant, le VPN SSL de Fortinet a été confronté à de nombreux problèmes de sécurité ces dernières années. Des vulnérabilités très médiatisées – dont certaines sont activement exploitées dans la nature – ont conduit à un nombre croissant de brèches. Il s’agit notamment de failles de contournement de l’authentification, de débordements de la mémoire tampon du tas et de faiblesses dans la gestion des sessions.
L’accumulation d’incidents de sécurité a clairement érodé la confiance dans le VPN SSL en tant que méthode d’accès à distance robuste. La décision de Fortinet semble être une réponse directe à ce paysage de risques. En supprimant la prise en charge du mode tunnel du VPN SSL, l’entreprise vise à réduire la surface d’attaque et à encourager les clients à passer à ce qu’ils considèrent comme une alternative plus sûre.
Le remplacement suggéré : VPN IPsec
A la place du VPN SSL, Fortinet recommande de migrer vers le VPN IPsec. IPsec est une norme bien établie qui offre un cryptage puissant et des canaux de communication sécurisés. Il s’agit d’un élément essentiel de la technologie VPN depuis des décennies.
Cependant, IPsec a ses propres inconvénients. La configuration peut être plus complexe que celle du VPN SSL et nécessite souvent des composants supplémentaires tels que FortiToken ou d’autres solutions MFA pour garantir un accès sécurisé. Bien qu’efficace, IPsec peut sembler un peu dépassé et moins agile, en particulier dans les environnements nécessitant une mise à l’échelle rapide et dynamique ou un onboarding convivial.
Du point de vue des performances, IPsec a tendance à nécessiter plus de ressources CPU et est plus sensible aux problèmes de traversée NAT. En outre, il utilise généralement les ports UDP 500 et 4500, qui peuvent être bloqués dans des environnements réseau restrictifs, contrairement au VPN SSL, qui peut fonctionner sur le port 443. En outre, la base de code volumineuse et vieillissante d’IPsec entraîne une plus grande complexité de maintenance et une surface d’attaque potentielle plus importante.
Jimber : Une approche moderne de l’accès à distance sécurisé
Chez Jimber, nous avons adopté une approche différente en utilisant WireGuard comme technologie de tunneling dans notre composant ZTNA de la plateforme SASE. WireGuard est un protocole VPN de nouvelle génération, plus rapide, plus sûr et nettement plus efficace que les solutions traditionnelles comme IPsec.
Comparaison des technologies en un coup d’œil
Outre les avantages en termes de performances, notre mise en œuvre comprend une fonction de « mode furtif ». Celle-ci permet au trafic WireGuard d’être acheminé via HTTPS, ce qui le rend impossible à distinguer du trafic web normal. Résultat ? Nos connexions SASE restent fonctionnelles dans des environnements très restrictifs comme la Chine, la Turquie et l’Égypte, où les VPN traditionnels et les solutions basées sur IPsec sont souvent bloqués.
Nous simplifions également l’accès sécurisé grâce à une authentification multifactorielle transparente. Jimber supporte l’intégration native avec vos fournisseurs d’identité existants tels que Microsoft, Google et d’autres. Vous n’avez donc plus besoin de tokens matériels encombrants ou d’applications d’authentification séparées.
Conclusion
Alors que Fortinet abandonne progressivement le VPN SSL au profit d’IPsec, de nombreuses entreprises doivent évaluer leurs options en matière d’accès à distance sécurisé. Jimber offre une alternative à l’épreuve du temps, qui intègre la cryptographie moderne, assure une connectivité globale et fournit une sécurité de niveau entreprise avec une facilité d’utilisation inégalée. Si vous planifiez votre stratégie d’accès à distance de nouvelle génération, il est temps de regarder au-delà des anciens VPN et d’adopter la prochaine évolution des réseaux sécurisés.
