Sécurité du système : Comment configurer un VPN

Simon Buddle nous explique comment utiliser un VPN pour protéger la connexion d'un système domotique d'un client, que ce dernier accède à l'Internet pour des motifs de commande à distance, de surveillance ou de maintenance.

Je viens de rentrer d'une semaine fantastique au ski. Ces vacances ont été en suspens pendant plus de deux ans, car j'ai dû les annuler à plusieurs reprises en raison de la Covid-19. Nous pensions que notre projet allait tomber à l'eau une fois de plus suite à la fermeture des frontières françaises aux Britanniques. Nous nous sommes donc tournés vers la Suisse, dont les frontières nous étaient encore ouvertes et nous avons saisi cette opportunité.

Le sujet des systèmes de maisons intelligentes en lien avec les cyberattaques a beaucoup été évoqué. De nos jours, les ordinateurs sont tous interconnectés d'une manière ou d'une autre. Nous sommes connectés à l'Internet par le biais de routeurs, les PC de nos bureaux sont tous connectés au réseau local et les pays sont connectés par d'énormes faisceaux de fibres optiques qui reposent souvent au fond de la mer. Nous évoluons dans un monde entièrement connecté, véritablement mondialisé, qui relie les machines entre elles grâce à des milliers de kilomètres de câbles.

Qu'il s'agisse d'une frontière ou d'un routeur, il sera toujours tentant d'exploiter une faiblesse. Lorsque l'on possède les connaissances adéquates, ce qui est loin d'être rare, il est facile de pirater une machine ou un système à l'autre bout du monde.

L'ouverture du port TCP 3671 est traditionnellement utilisée pour fournir un accès à distance à un système KNX. Il permet également de se connecter au réseau local du client et peut être utilisé à des fins malveillantes. Il s'apparente en fait à une fenêtre qui a été laissée grande ouverte. Si vous savez où regarder et comment y accéder, vous pouvez pénétrer à l'intérieur du bâtiment sans aucun contrôle de sécurité.

Cela dit, nous disposons désormais d'un arsenal d'excellents appareils KNX qui peuvent fournir des tunnels sécurisés au système. Le routeur IP Jung KNX et le Gira S1 en sont deux exemples évidents. Ils établissent une liaison hors de la propriété sans créer de voies d'accès non sécurisées au réseau informatique domestique du client. Vous avez néanmoins le choix parmi un grand nombre de fabricants, notamment Basalte, Weinzierl, Siemens, Schneider et ABB, qui proposent tous des solutions à cette problématique.

Le réseau privé virtuel

Il est fort probable que le système ou le bus KNX ne soit pas le seul appareil auquel nous devrons nous connecter à distance, et cela pose un défi subtilement différent. Comment puis-je me connecter au PLC Siemens qui gère le local technique ? Ou aux interfaces Intesis AC, Modbus ou BACnet ?

La solution la plus évidente et la plus sûre consiste à utiliser un VPN (réseau privé virtuel). Mais comment le mettre en place et est-il sécurisé ? Répondons d'abord à la seconde partie de la question. Il est très sécurisé (à condition que vos mots de passe, etc. le soient aussi). Il crée un tunnel virtuel point à point sécurisé sur Internet entre votre ordinateur et le réseau local du client. Une fois connecté, votre ordinateur s'affiche sur le réseau du client.

Pour créer un VPN sans utiliser de logiciel tel que OpenVPN ou NordVPN, il y a deux conditions de base :

1) une adresse IP Internet fixe ou un routeur qui prend en charge le DNS. 2) un routeur qui prend en charge des connexions VPN.

L'adresse IP fixe ou un routeur qui prend en charge le DNS

Imaginez que vous êtes un facteur qui distribue le courrier, jour après jour. Sauf que chaque jour, les numéros des maisons changent. Le numéro 32 est maintenant vingt maisons plus loin. C'est l'équivalent de ce qui se passe pour votre adresse IP sur Internet. Chaque fois que votre routeur redémarre, il reçoit une nouvelle adresse IP de votre fournisseur d'accès Internet (FAI). Dès lors, c'est comme si nous avions perdu votre adresse. L'adresse IP fixe résout donc ce problème. L'autre moyen est de fournir un DNS (Dynamic Name System). Le DNS fournit principalement un service de recherche des adresses Internet. Chaque fois que l'adresse IP Internet de votre routeur change, le routeur envoie la nouvelle adresse au serveur DNS pour mettre à jour votre enregistrement. Vous pouvez alors utiliser le nom DNS (qui ne change pas), par exemple myhouse@dyndns.org.

C'est la première partie de la configuration du VPN qui est traitée. Vous pouvez maintenant toujours trouver le routeur du client sur Internet à l'aide d'un service DNS.

Le routeur qui prend en charge des connexions VPN

La création d'un VPN s'effectue en deux étapes. Tout d'abord, vous devez créer un « utilisateur ». Le nom d'utilisateur et le mot de passe seront requis lorsque vous vous connecterez par VPN. Ensuite, il faut configurer le protocole de connexion VPN. Les protocoles courants sont les suivants : PPTP, IPSec, L2TP et SSL Tunnel. Le protocole PPTP présente un faible niveau de sécurité et n'est plus pris en charge par les appareils Apple. Le protocole le plus couramment utilisé est le L2TP avec une clé « prépartagée ». La plupart des routeurs DrayTek prennent en charge la configuration DNS et VPN et permettent un accès facile au LAN du client.

Il ne reste plus qu'à configurer le profil VPN sur votre ordinateur portable ou de bureau à l'aide des mêmes critères de connexion. DrayTek propose un petit logiciel client VPN qui simplifie le travail, ce qui vient bien à point. Bien entendu, Cisco, Unifi et des centaines d'autres fabricants de routeurs proposent la même fonctionnalité. En revanche, ce n'est pas le cas de BT, Sky et Virgin, autrement dit tous ceux fournis par les FAI au Royaume-Uni. Ainsi, si vous souhaitez accéder au réseau du client par VPN, vous devrez certainement passer par un routeur pour y parvenir.

Conclusion

Imaginez qu'un client vous appelle et dit : « tel ou tel appareil a cessé de fonctionner » et que vous pouvez répondre : « Je vais directement me connecter pour définir la cause de la panne ». Il s'agit d'un service utile vraiment inestimable pour vos clients. Si vous disposez du routeur adéquat et que vous y consacrez une heure de votre temps, il est facile d'apprendre à configurer une connexion VPN. Cette heure vous épargnera d'innombrables heures passées à faire des allers-retours sur le site.

Toutefois, s'il est possible d'accéder au système de votre client depuis l'extérieur, il est impératif de s'assurer que cette brèche ne puisse être exploitée par des personnes mal intentionnées.

Je considère que la mise en place d'un VPN est l'une des compétences les plus précieuses que j'ai acquises. En effet, depuis votre bureau, le VPN vous permet de visualiser toutes les données en temps réel, de disposer de plusieurs PC connectés à la même maison qui surveillent chaque signal du système, et ce, tout en restant en pyjama. Mieux encore, vous pouvez intégrer cette compétence dans une offre de télésurveillance et de maintenance, ce qui vous permettra de gagner de l'argent.

Simon Buddle, ingénieur agréé MIET, est consultant pour Future Ready Homes, une société spécialisée dans la conception de systèmes de gestion de bâtiment et de services ELV.

http://www.futurereadyhomes.com