Qu’est-ce qu’un VPN PPTP ? Le protocole PPTP expliqué
Le PPTP est l’un des plus anciens protocoles VPN encore utilisés aujourd’hui. Bien qu’il soit toujours possible de configurer un VPN basé sur le PPTP sur certains appareils plus anciens ainsi que sous Windows 10 et 11, le PPTP est largement considéré comme obsolète, peu sûr et peu fiable, à tel point que la plupart des fournisseurs de VPN ont cessé de l’utiliser.
Ce guide explique ce qu’est un VPN PPTP, comment il fonctionne en coulisses et pourquoi il ne répond plus aux exigences de sécurité actuelles. Vous découvrirez également comment il se compare aux protocoles actuels tels qu’OpenVPN et WireGuard.
Qu’est-ce qu’un VPN PPTP ?
Le protocole PPTP (Point-to-Point Tunneling Protocol) est l’un des plus anciens protocoles VPN. Il a été créé par Microsoft au milieu des années 1990 pour permettre aux utilisateurs distants d’accéder aux réseaux d’entreprise via Internet. À l’époque, il était rapide et facile à configurer, ce qui était tout à fait logique à l’ère de la connexion par modem.
Comme tout autre protocole VPN, le PPTP achemine le trafic Internet via un tunnel vers un serveur VPN avant de le transmettre à sa destination. En théorie, ce tunnel est chiffré. En pratique, les méthodes de chiffrement et d’authentification sur lesquelles repose le PPTP ne sont pas adaptées aux besoins de sécurité actuels.
Le PPTP utilise MS-CHAPv2, une méthode que les ordinateurs modernes peuvent contourner en quelques heures, voire quelques minutes. Une fois le système compromis, les attaquants peuvent déduire la clé de chiffrement utilisée par le trafic chiffré de bout en bout par le protocole de Microsoft et déchiffrer le trafic transitant par le tunnel.
En raison de ces faiblesses, les experts en sécurité recommandent d’éviter le PPTP, et la plupart des fournisseurs de VPN l’ont complètement abandonné, y compris Private Internet Access. PIA ne prend en charge que les protocoles modernes qui répondent aux normes de chiffrement actuelles.
Microsoft s’est également détourné du PPTP au profit de protocoles plus sécurisés comme le SSTP ou l’IKEv2, bien que le PPTP puisse encore fonctionner dans certaines configurations plus anciennes.
Fonctionnement du protocole PPTP
Le protocole PPTP combine plusieurs composants réseau existants pour créer un tunnel VPN. Ensemble, ils gèrent le paramétrage de la connexion, l’authentification, le chiffrement et le transport des données :
- Protocole de contrôle de transmission (TCP) 1723 : gère les fonctions de contrôle PPTP telles que l’établissement, la configuration et la gestion de la session entre votre appareil et le serveur VPN.
- MS-CHAPv2 : authentifie votre connexion à l’aide d’un mécanisme de type « défi-réponse » qui compare votre mot de passe haché à celui attendu par le serveur.
- Microsoft Point-to-Point Encryption (MPPE) : Chiffre votre trafic, le rendant illisible sans une clé de session spécifique.
- RC4 : Système de chiffrement qui masque le trafic octet par octet à l’aide d’une clé de session unique.
- Point-to-Point Protocol (PPP) : Encapsule et structure votre trafic Internet, attribue une adresse IP virtuelle et définit les règles de routage.
- Generic Routing Encapsulation (GRE) : Enveloppe les trames PPP afin qu’elles puissent transiter par le tunnel VPN sur des réseaux IP standard, tels que l’Internet public.
Voici exactement comment votre trafic est acheminé lorsque vous utilisez un VPN PPTP :
- Début de la connexion : votre appareil ouvre un canal de contrôle vers le serveur VPN sur le port TCP 1723.
- Négociation de la session : via le canal de contrôle TCP, le serveur VPN et votre appareil négocient divers paramètres pour la session PPP – par exemple, la taille des trames, la compression et les méthodes de correction d’erreurs.
- Demande d’authentification : une fois les bases de la session convenues, le serveur VPN demande à votre client de s’authentifier. Le serveur VPN envoie une valeur aléatoire ; votre appareil la combine avec votre mot de passe pour créer un hachage MS-CHAP v2 et le renvoie.
- Réponse d’authentification : le serveur VPN compare votre réponse à ce qu’il attend (puisqu’il connaît le hachage correct du mot de passe). S’il y a correspondance, vous êtes authentifié. À ce stade, MS-CHAPv2 a vérifié vos identifiants. Si l’authentification échoue, la connexion est refusée.
- Génération de clé : Si le hachage correspond, votre appareil et le serveur VPN génèrent une clé de session RC4 pour le chiffrement MPPE. MPPE, en utilisant le chiffrement RC4 et cette clé, chiffrera toutes vos données VPN. Tout le trafic PPTP à partir de ce moment est chiffré avec RC4 à l’aide de cette clé.
- Encapsulation : le serveur VPN attribue à votre appareil une adresse IP virtuelle (votre appareil dispose donc désormais d’une adresse IP sur le réseau VPN) et vos données sont encapsulées dans des trames PPP. Le protocole PPP encapsule chaque paquet réseau que vous envoyez, le préparant ainsi pour le transport.
- Tunneling : Chaque trame PPP est encapsulée dans des paquets GRE pour former le tunnel VPN. Ce sont ces paquets encapsulés en GRE qui transitent via Internet pour constituer le tunnel VPN.
- Routage : un routeur avec passthrough PPTP transfère les paquets GRE vers le serveur VPN.
- Déchiffrement et transmission : le serveur VPN déchiffre les paquets, décompresse les données et les envoie à leur destination sur Internet.
Le protocole PPTP utilise l’un des deux modes suivants. En mode volontaire (, votre appareil établit le tunnel VPN après s’être connecté à Internet. En mode obligatoire, le réseau impose que tout le trafic passe par un tunnel VPN avant d’atteindre Internet.
Avantages du PPTP
| Avantages | Explication |
| Compatible avec les systèmes hérités | Le PPTP était l’option VPN par défaut dans les anciennes versions de Windows, macOS et les plateformes mobiles au début des années 2000. Sur certains appareils plus anciens nécessitant un VPN, le PPTP peut être la seule option disponible. |
| Fonctionne sur du matériel peu performant | Le chiffrement par flux RC4 de PPTP nécessite peu de puissance de traitement. Il fonctionne sans problème même sur des ordinateurs portables, des routeurs ou des portables vieillissants. |
| Facile à configurer | La configuration ne nécessite généralement qu’une adresse de serveur, un nom d’utilisateur et un mot de passe. Vous n’avez pas besoin d’installer de certificats ou de logiciels tiers sur les plateformes compatibles. |
| Convient au trafic non sensible | Le chiffrement fragile de PPTP le rend acceptable pour isoler des appareils d’invités, tester des connexions VPN ou acheminer des données non sensibles sur Internet. |
Inconvénients du PPTP
| Inconvénient | Explication |
| Le chiffrement RC4 est vulnérable | Le RC4 utilise une clé de 128 bits, ce qui devrait garantir une bonne sécurité, mais des failles dans son processus de gestion des clés laissent des indices dans les données chiffrées que les hackers peuvent exploiter pour les déchiffrer. De plus, l’algorithme produit des résultats biaisés et prévisibles qui réduisent son niveau de sécurité effectif. Cela rend le PPTP vulnérable aux attaques par force brute et aux analyses statistiques modernes. |
| MS-CHAPv2 est exposé aux cybermenaces | Les attaquants peuvent déchiffrer les hachages MS-CHAPv2 à l’aide de tables précalculées ou d’outils de force brute, ce qui rend cette méthode d’authentification peu sûre selon les normes actuelles. |
| Pas de prise en charge de la confidentialité persistante | MPPE et RC4 utilisent une seule clé de chiffrement qui n’est ni renouvelée ni actualisée pendant la session. Si cette clé est exposée, les attaquants pourraient avoir accès à la plupart de vos données Web passées et futures. |
| Absence de prise en charge de la traversée NAT | Les routeurs utilisent la traduction d’adresses réseau (NAT) pour suivre les connexions sortantes à l’aide de numéros de ports TCP ou UDP. Le PPTP transmet ses données via GRE (qui ne dispose pas de ports), de sorte que de nombreux routeurs nécessitent un passthrough PPTP (prise en charge GRE) pour que la connexion fonctionne correctement. |
PPTP par rapport aux autres protocoles VPN (L2TP, IKEv2, OpenVPN, WireGuard)
Comparé à des protocoles tels que IKEv2, OpenVPN et WireGuard, le PPTP est dépassé dans presque tous les critères importants actuels, qu’il s’agisse de la puissance de chiffrement, de la gestion des clés, de la compatibilité avec les pare-feu ou de la fiabilité à long terme.
| Protocole | Chiffrement | Confidentialité persistante | Compatibilité NAT | Débit moyen | Niveau de sécurité | Appareils compatibles |
| PPTP | MPPE avec RC4 (compromis) | Non | Nécessite le passthrough GRE pour fonctionner | Élevé sur les systèmes hérités | Faible | Anciennes versions de Windows, routeurs |
| L2TP + IPSec | AES-256 (selon la configuration) | Configurable | Nécessite les ports UDP 500 et 4500 | Moyen | Moyen | Intégré à la plupart des systèmes d’exploitation |
| IKEv2 + IPSec | AES-256-GCM / ChaCha20 | Oui | Très performant en itinérance/sur mobile | Élevé | Très élevé | La plupart des systèmes d’exploitation, routeurs |
| OpenVPN | AES-256-GCM / ChaCha20 | Oui | Fonctionne sur n’importe quel port utilisant TCP ou UDP | Très élevé | Très élevé | La plupart des systèmes d’exploitation (nécessite un client) |
| WireGuard | ChaCha20-Poly1305 | Oui | Utilise un seul port UDP (51820) | Très élevé | Très élevé | La plupart des systèmes d’exploitation (adoption récente) |
Voici ce que ces fonctionnalités signifient en termes simples :
- Chiffrement : transforme vos données en ligne en un code illisible que seule une personne disposant de la clé appropriée peut déchiffrer. Des normes de chiffrement plus strictes rendent les données bien plus difficiles à pirater.
- Confidentialité persistante : génère des clés de chiffrement uniques pour chaque session VPN et les modifie régulièrement ; ainsi, même si une clé est compromise, cela ne compromettra ni les sessions passées ni les sessions futures.
- Compatibilité NAT : Indique dans quelle mesure un protocole VPN fonctionne avec la traduction d’adresses réseau (NAT), un système utilisé par la plupart des routeurs domestiques et des réseaux publics pour permettre à plusieurs appareils de partager une seule adresse IP publique. Les protocoles compatibles NAT se connectent de manière plus fiable à travers les pare-feu et les routeurs sans configuration particulière.
- Débit : Mesure la quantité de données que le VPN peut envoyer ou recevoir par seconde. Un débit plus élevé offre des vitesses plus rapides pour la navigation, le streaming ou les transferts de fichiers.
Quand faut-il utiliser un VPN PPTP ?
La réponse courte est que vous ne devriez pas, sauf si vous n’avez pas d’autre choix, par exemple dans les cas suivants :
- Vous connectez un appareil ancien qui n’est pas compatible avec les protocoles VPN modernes.
- Vous isolez le trafic non sensible (comme les appareils connectés au Wi-Fi invité) sur un réseau privé.
- Vous testez la configuration du VPN ou effectuez un test de compatibilité.
Les VPN haut de gamme comme PIA utilisent des protocoles hautement sécurisés et rapides qui fonctionnent aujourd’hui sur presque tous les appareils ou routeurs modernes. Petit plus, vous pouvez tester PIA grâce à une garantie de remboursement de 30 jours pour voir s’il vous convient.
Comment configurer un VPN PPTP
Si le PPTP est la seule option disponible, vous pouvez le configurer à l’aide du client VPN intégré à votre système d’exploitation. Voici comment procéder :
Il est préférable de configurer le VPN sur des réseaux privés et sécurisés. Idéalement, il devrait s’agir du réseau Wi-Fi de votre domicile ou de votre bureau. Les points d’accès publics rendent le chiffrement faible du PPTP encore plus facile à intercepter, ce qui peut exposer votre activité aux pirates présents sur le même réseau.
1. Collectez vos informations VPN
Notez l’adresse du serveur (nom d’hôte ou adresse IP), le nom d’utilisateur, le mot de passe et le nom de domaine si nécessaire. Le nom de domaine est un champ facultatif (généralement utilisé dans les réseaux d’entreprise) qui permet d’identifier l’ensemble des identifiants de connexion associés à votre compte.
Si vous créez un compte VPN PPTP, choisissez un mot de passe fort et unique (composé de lettres, de chiffres et de symboles).
2. Ouvrez les paramètres VPN intégrés
Utilisez le client VPN intégré à votre système d’exploitation (s’il est disponible sur votre version) :
- Windows : Paramètres > Réseau et Internet > VPN > Ajouter un VPN > PPTP.
- macOS : Préférences Système > Réseau > Ajouter une interface > VPN > PPTP (non disponible sous macOS 10.12 ou les versions ultérieures).
- Android : Paramètres > Réseau et Internet > VPN > Ajouter un VPN > PPTP.
- iOS : Général > VPN > Ajouter une configuration VPN > PPTP (non disponible sur iOS 10 et versions ultérieures).
3. Saisissez les informations de connexion au VPN PPTP
Saisissez vos identifiants sur votre appareil.
- Nom de la connexion : donnez à la connexion le nom de votre choix.
- Nom ou adresse du serveur : l’adresse du serveur VPN fournie par votre fournisseur d’accès ou votre administrateur.
- Type de VPN : sélectionnez « Point to Point Tunneling Protocol » (PPTP).
- Nom d’utilisateur et mot de passe : saisissez le nom d’utilisateur et le mot de passe que vous avez notés précédemment.
4. Enregistrez et connectez-vous
Enregistrez les paramètres, sélectionnez votre connexion VPN, puis cliquez sur « Se connecter ».
Limitez son utilisation aux tâches indispensables, déconnectez-vous lorsque vous n’avez pas besoin d’un VPN et changez régulièrement de mot de passe.
5. Configurez les paramètres de sécurité avancés (facultatif)
Vous pouvez configurer les paramètres d’une connexion PPTP en fonction de vos besoins. Nous vous recommandons de choisir le protocole d’authentification MS-CHAPv2 et d’activer le chiffrement.
Windows : Paramètres > Réseau et Internet > VPN > [Votre connexion PPTP] > Options avancées > Modifier > Onglet Sécurité
- Authentification : sélectionnez Microsoft CHAP version 2 (MS-CHAP v2)
- Chiffrement : activez l’option « Exiger le chiffrement (se déconnecter si le serveur refuse) »
macOS : Préférences Système > Réseau > [Connexion PPTP] > Paramètres d’authentification
- Authentification : sélectionnez MS-CHAPv2
- Chiffrement : cochez la case « Envoyer tout le trafic via la connexion VPN » (pour activer le chiffrement)
Android : Paramètres > Réseau et Internet > VPN > [Votre VPN PPTP] > Modifier
- Nom d’utilisateur et mot de passe : utilisez vos identifiants
- Chiffrement : Android utilise automatiquement le chiffrement MPPE avec PPTP
- Authentification : MS-CHAPv2 est utilisé par défaut sur la plupart des appareils Android (pas de commutation manuelle)
iOS : Réglages > Général > VPN > [Connexion PPTP] > Modifier la configuration
- Authentification : sélectionnez « Mot de passe » (iOS utilise MS-CHAPv2 en arrière-plan)
- Chiffrement : activé par défaut avec MPPE
FAQ
Qu’est-ce qu’un VPN PPTP et comment fonctionne-t-il ?
Le PPTP est un protocole VPN plus ancien qui établit une connexion sécurisée en encapsulant votre trafic Internet à l’aide des protocoles PPP et GRE, puis en le chiffrant avec le protocole MPPE de Microsoft, qui utilise l’algorithme RC4. Il utilise le port TCP 1723 pour la gestion de la connexion et le protocole GRE pour le transfert de données. Bien qu’il soit simple et relativement rapide, sa sécurité est considérée comme obsolète au regard des normes actuelles.
Le VPN PPTP est-il encore sûr aujourd’hui ?
Les nombreuses failles du protocole PPTP en font un protocole peu sûr au regard des normes actuelles. Par exemple, il utilise le chiffrement RC4 et le protocole MS-CHAPv2 pour sécuriser la connexion, deux technologies vulnérables aux attaques par force brute (deviner par essais et erreurs) et présentant des failles cryptographiques qui permettent de déchiffrer les données. De plus, ce protocole ne renouvelle pas les clés de chiffrement à chaque session ; ainsi, une fois celles-ci piratées, les attaquants peuvent consulter tout ce que vous avez envoyé via le VPN.
Comment configurer un serveur VPN PPTP ?
Pour configurer un serveur VPN PPTP, accédez aux paramètres réseau ou de partage de votre serveur, activez les connexions entrantes, sélectionnez PPTP comme protocole, créez des comptes utilisateurs et autorisez l’accès VPN. N’oubliez pas de rediriger le port TCP 1723 sur votre routeur et d’activer le passthrough PPTP si nécessaire.
Puis-je utiliser un VPN PPTP sur des appareils Mac ?
Oui, vous pouvez utiliser un VPN PPTP sur votre Mac s’il fonctionne sous macOS 10.11 (El Capitan) ou une version antérieure. Apple a supprimé la prise en charge du protocole PPTP à partir de macOS 10.12 (Sierra).
Qu’est-ce qu’un tunnel VPN point à point ?
Un tunnel VPN point à point est une connexion directe et chiffrée entre deux appareils ou réseaux via Internet. Il permet un transfert sécurisé des données, comme si les deux étaient sur le même réseau local. Le protocole PPTP (Point-to-Point Tunneling Protocol) s’appuie sur un chiffrement basique et une authentification pour créer une liaison privée, souvent entre l’appareil d’un utilisateur et un serveur VPN.
Comment configurer une connexion VPN point à point ?
Cela dépend de votre système d’exploitation : la procédure varie selon que vous utilisez Windows, macOS, Android ou iOS. Vous pouvez suivre notre guide de configuration d’un VPN PPTP ci-dessus.
Quelles sont les différences entre le PPTP et les autres protocoles VPN ?
Le PPTP utilise un chiffrement obsolète (RC4), repose sur le protocole GRE et rencontre des difficultés derrière les routeurs NAT ou les pare-feu restrictifs. Contrairement à d’autres protocoles modernes, il n’utilise pas de certificats TLS ni de mécanismes modernes d’échange de clés. Des solutions plus récentes, telles que WireGuard ou OpenVPN, utilisent un chiffrement plus sûr, utilisent la confidentialité persistante et s’adaptent mieux aux configurations réseau complexes sans nécessiter de paramètres de passthrough.
Pourquoi certains experts en sécurité considèrent-ils le PPTP comme obsolète ?
Le protocole PPTP est obsolète car il repose sur un chiffrement faible et un système d’authentification vulnérable, que les pirates peuvent facilement contourner. Il ne dispose pas non plus de la confidentialité persistante, ce qui signifie que si une session est compromise, les données passées et futures utilisant la même clé risquent d’être exposées. Les protocoles VPN plus modernes offrent une sécurité bien plus élevée.
Un VPN point à point peut-il être utilisé pour des connexions de site à site ?
Oui, techniquement, vous pouvez utiliser un VPN point à point comme le PPTP pour les connexions de site à site. Cependant, le PPTP n’offre ni un chiffrement puissant ni des fonctionnalités de sécurité modernes ; il n’est donc pas idéal pour protéger les données professionnelles sensibles. Il présente également des problèmes de compatibilité avec le NAT et risque de ne pas fonctionner correctement avec les règles de pare-feu modernes. Il est préférable d’utiliser plutôt IPSec, OpenVPN ou WireGuard.
Qu’est-ce que le « passthrough » PPTP ?
Le « passthrough » PPTP est un paramètre du routeur qui permet au port TCP 1723 et au protocole GRE 47 de transiter par votre réseau. Sans ce paramètre, le protocole PPTP ne fonctionnera pas correctement sur la plupart des routeurs ou des pare-feu.
Le protocole PPTP a-t-il encore sa place dans un réseau moderne ?
Très rarement. Vous pouvez toutefois utiliser le protocole PPTP pour tester des systèmes hérités, configurer des réseaux invités simples ou collecter des données de capteurs non sensibles. Notez toutefois que vous devez toujours l’isoler des systèmes sécurisés et l’éviter dans tous les cas où la confidentialité, l’authentification ou la sécurité des données sont importantes.
