Chiffrement, VPN et certificats
Définition
Le chiffrement transforme des données lisibles en données illisibles sans la clé appropriée. Un VPN (Virtual Private Network) crée un tunnel chiffré sur un réseau non sécurisé. Les certificats numériques authentifient l'identité des serveurs et des utilisateurs via une infrastructure PKI (Public Key Infrastructure).
| Concept |
Fonction |
Exemple |
| Chiffrement symétrique |
Même clé pour chiffrer et déchiffrer |
AES-256 |
| Chiffrement asymétrique |
Clé publique + clé privée |
RSA, ECC |
| Hachage |
Empreinte unique (non réversible) |
SHA-256, MD5 |
| VPN |
Tunnel chiffré sur Internet |
IPSec, SSL/TLS |
| Certificat |
Identité numérique vérifiable |
HTTPS (SSL/TLS) |
Contexte
CompTIA A+ teste les concepts de base du chiffrement (symétrique vs asymétrique), les types de VPN, le rôle des certificats HTTPS et les outils de chiffrement Windows (BitLocker, EFS). Le technicien doit comprendre pourquoi le chiffrement est essentiel et savoir le configurer.
Détails techniques
Chiffrement symétrique vs asymétrique
| Critère |
Symétrique |
Asymétrique |
| Clés |
Une seule clé partagée |
Paire : publique + privée |
| Vitesse |
Rapide |
Lent |
| Usage |
Chiffrement des données en masse |
Échange de clés, signatures |
| Algorithmes |
AES, 3DES, ChaCha20 |
RSA, ECC, Diffie-Hellman |
| Problème |
Distribution sécurisée de la clé |
Performance |
Chiffrement symétrique :
Données ──[Clé A]──→ Chiffré ──[Clé A]──→ Données
Chiffrement asymétrique :
Données ──[Clé publique]──→ Chiffré ──[Clé privée]──→ Données
Types de VPN
| Type |
Description |
Protocole |
Usage |
| Remote Access VPN |
Un utilisateur se connecte au réseau d'entreprise |
SSL/TLS, L2TP/IPSec |
Télétravail |
| Site-to-Site VPN |
Deux réseaux reliés en permanence |
IPSec |
Bureaux distants |
| Client-to-Site |
Application VPN sur le poste client |
OpenVPN, WireGuard |
Accès distant |
| Split tunnel |
Seul le trafic entreprise passe par le VPN |
Variable |
Optimisation bande passante |
| Full tunnel |
Tout le trafic passe par le VPN |
Variable |
Sécurité maximale |
Protocoles VPN
| Protocole |
Sécurité |
Performance |
Ports |
| IPSec (IKEv2) |
Excellente |
Bonne |
UDP 500, 4500 |
| SSL/TLS VPN |
Très bonne |
Bonne |
TCP 443 |
| L2TP/IPSec |
Bonne |
Moyenne |
UDP 1701, 500 |
| PPTP |
Faible (cassé) |
Rapide |
TCP 1723 |
| WireGuard |
Excellente |
Excellente |
UDP 51820 |
| OpenVPN |
Très bonne |
Bonne |
TCP/UDP 1194 |
Certificats et PKI
Autorité de Certification (CA)
│
Émet un certificat
│
▼
┌──────────────────────────────┐
│ Certificat numérique │
│ ───────────────────────── │
│ Sujet : www.exemple.com │
│ Émetteur : DigiCert CA │
│ Validité : 2024-01 → 2025-01│
│ Clé publique : [RSA 2048] │
│ Signature : [hash signé CA] │
└──────────────────────────────┘
| Étape HTTPS |
Description |
| 1. Client contacte le serveur |
TCP 443 |
| 2. Serveur envoie son certificat |
Contient la clé publique |
| 3. Client vérifie le certificat |
Chaîne de confiance vers le CA racine |
| 4. Échange de clé de session |
Asymétrique (RSA/ECDHE) |
| 5. Communication chiffrée |
Symétrique (AES) |
BitLocker (chiffrement de volume Windows)
| Caractéristique |
Description |
| Disponibilité |
Windows Pro / Enterprise |
| Chiffrement |
AES-128 ou AES-256 |
| Authentification |
TPM, TPM + PIN, clé USB, mot de passe |
| Recovery |
Clé de récupération de 48 chiffres |
| Stockage clé |
Active Directory, Azure AD, ou fichier |
# Activer BitLocker sur le disque C:
Enable-BitLocker -MountPoint "C:" -EncryptionMethod Aes256 -UsedSpaceOnly -RecoveryPasswordProtector
# Vérifier le statut BitLocker
Get-BitLockerVolume | Select-Object MountPoint, ProtectionStatus, EncryptionPercentage
# Sauvegarder la clé de récupération
(Get-BitLockerVolume -MountPoint "C:").KeyProtector
Exemple concret
Un employé en télétravail doit accéder au réseau d'entreprise. Le technicien configure un client VPN SSL (Cisco AnyConnect) avec le serveur VPN de l'entreprise. L'employé se connecte via le nom d'hôte vpn.entreprise.com (port 443), entre ses identifiants AD + code MFA. Le tunnel chiffré AES-256 est établi. Tout le trafic vers le réseau interne passe par le VPN tandis que le trafic Internet reste direct (split tunnel).
