Avec sa course permanente à l’innovation, l’informatique offre souvent des querelles entre anciens et modernes, entre défenseurs d’une technologie éprouvée et partisans de celle censée la remplacer.
C’est à ce type d’opposition que l’on assiste aujourd’hui autour des protocoles de sécurité VPN IPsec – l’ancien – et VPN SSL – le moderne en ce qui concerne le nomadisme. Remarque : en VPN site à Site la question ne se pose pas, IPsec est le seul protocole viable.

IPsec

Pour tenter de clarifier ce débat, pas toujours exempt de considérations marketing, commençons par un petit retour en arrière.
Pour que le protocole IP puisse s’imposer dans les entreprises, une solution de chiffrement et d’authentification des données lui était nécessaire.
Introduit en 1998, IPsec répondait à ce besoin, devenant rapidement le protocole de « tunnelisation » de choix pour les VPN IP : les messages empruntaient certes des voies publiques mais seul le récepteur, une fois reconnu, était en mesure de les lire.
Pour cela, IPsec nécessite l’installation d’un logiciel sur le poste client et le recours à des ports de communication spécifiques. Ces deux caractéristiques peuvent s’avérer parfois contraignantes, par exemple dans le cas où s’interposait un firewall ou lorsque l’utilisateur distant, comme un partenaire ou un client, n’a pas la possibilité d’installer le logiciel adéquat sur son poste.

SSL

Simple, pratique, fonctionnant avec des ports normalisés et ne nécessitant aucune installation, VPN SSL est alors apparu comme un recours idéal, et, pour beaucoup, comme le fossoyeur d’IPsec.
Toutefois, la situation n’est pas forcément aussi évidente. VPN SSL fonctionne en effet sous trois modes :

• le mode standard, qui permet de se connecter aux applications de l’entreprise via un portail web (« Webisation » des applications),
• le mode réseau, qui offre une connectivité complète,
• le mode bureau virtuel, où l’on recrée un environnement de travail complet sur le poste distant.

Or, de ces trois possibilités, seul le mode standard ne nécessite en réalité aucune installation sur le poste client et VPN SSL perd beaucoup de sa convivialité dans les cas le plus sophistiqués (applications à ports multiples par exemple).

Une affaire de besoin

Comme souvent dans ce type de débat, c’est finalement la réalité qui permet de trancher, et ici les deux adversaires sont renvoyés dos à dos.
Suivant les besoins, l’un ou l’autre s’avérera en effet le mieux adapté :

• si l’on souhaite une connexion vers quelques applications ciblées, depuis des machines non contrôlées (par exemple pour ouvrir l’accès à une application à un partenaire), VPN SSL s’impose sans conteste ;
• si en revanche il s’agit de permettre un accès complet aux applications via des postes distants mais appartenant bel et bien au parc de l’entreprise (travailleurs nomades ou à domicile, succursales…), IPsec demeure la meilleure option.

En outre, suivant les circonstances, il est tout à fait possible et même recommandé de panacher les deux solutions au sein de la même organisation. C’est pourquoi il faut en réalité examiner au cas par cas IPsec et SSL, deux solutions complémentaires disponibles sur le marché.

Vers une solution unique

Toutefois, toujours en quête d’unification et de simplification, le marché est demandeur de solutions intégrées.
L’évolution vers une solution unique, alliant les performances et le prix d’Ipsec à l’ouverture et la simplicité d’SSL, est donc inéluctable.
Nous assistons d’ailleurs aujourd’hui à une bataille rangée entre les acteurs de ces deux marchés avec des approches différentes, entre :

• les éditeurs Ipsec qui positionnent des produits mixtes pour étendre leur activité
• les constructeurs de boîtiers SSL qui tendent vers du IPsec-Like pour remplacer le parc existant.

Celui qui sera le plus innovant offrira alors la solution tant attendue, au plus grand bénéfice des utilisateurs.