Qu'est-ce que SSTP et comment fonctionne-t-il ?

SSTP (Secure Socket Tunneling Protocol) est un protocole VPN développé par Microsoft qui encapsule le trafic PPP dans des canaux SSL/TLS via le port TCP 443. Cette conception lui permet de traverser la plupart des pare-feux et des serveurs proxy sans être détecté, car son trafic apparaît identique au trafic web HTTPS standard.

Pourquoi SSTP utilise-t-il le port 443 et quel avantage cela procure-t-il ?

Le port 443 est le port HTTPS standard, ce qui signifie que le trafic SSTP se fond parfaitement dans la navigation web normale. Cela rend extrêmement difficile pour les pare-feux et les administrateurs réseau de bloquer SSTP sans perturber également tout le trafic HTTPS régulier, lui conférant des capacités exceptionnelles de traversée des pare-feux dans les environnements réseau restrictifs.

SSTP est-il considéré comme sécurisé, et quel chiffrement utilise-t-il ?

SSTP exploite le chiffrement SSL/TLS, généralement AES-256, ce qui le rend hautement sécurisé. Étant donné que Microsoft contrôle le protocole, il est considéré comme fiable sur les plateformes Windows. Cependant, sa nature à source fermée soulève des préoccupations parmi les défenseurs de la vie privée, et il ne bénéficie pas des audits de sécurité indépendants qu'ont subis les protocoles open-source comme OpenVPN.

Quelles sont les principales limitations de SSTP par rapport aux autres protocoles VPN ?

La plus grande limitation de SSTP est l'exclusivité de plateforme — il a été conçu par Microsoft principalement pour Windows et offre une faible compatibilité multiplateforme. Il est également propriétaire et à source fermée, ce qui limite la transparence. De plus, il est généralement moins performant que WireGuard et OpenVPN en termes de vitesse, et ne fournit aucune protection intégrée contre les attaques avancées d'analyse du trafic.

SSTP — Glossaire VPN

SSTP : le protocole VPN compatible avec les pare-feu, signé Microsoft

Ce que c'est

Secure Socket Tunneling Protocol, plus connu sous le nom de SSTP, est un protocole VPN créé par Microsoft et introduit avec Windows Vista. Contrairement à de nombreux autres protocoles VPN, SSTP a été conçu dès le départ pour fonctionner de manière transparente dans des environnements qui bloquent généralement le trafic VPN — comme les réseaux d'entreprise, les établissements scolaires ou les pays appliquant des politiques internet restrictives.

Son nom vous donne un indice utile sur son fonctionnement : il fait transiter votre connexion VPN à travers SSL/TLS — la même technologie de chiffrement qui protège votre navigation web HTTPS au quotidien. De ce fait, le trafic SSTP est presque impossible à distinguer d'un trafic web sécurisé ordinaire, ce qui rend sa détection ou son blocage par les pare-feu et les administrateurs réseau très difficile.

Comment ça fonctionne

SSTP opère sur le port TCP 443, qui est le port standard utilisé par HTTPS. C'est ce détail clé qui le distingue de protocoles comme OpenVPN ou IKEv2, lesquels utilisent des ports différents, facilement identifiables et bloquables.

Voici le fonctionnement de base :

Initiation de la connexion — Votre client VPN établit une négociation SSL/TLS avec le serveur VPN, exactement comme le ferait votre navigateur en se connectant à un site web sécurisé.
Création du tunnel — Une fois le canal sécurisé établi, les données PPP (Point-to-Point Protocol) sont encapsulées dans des trames HTTP et transmises via ce canal.
Chiffrement — Toutes les données transitant par le tunnel sont chiffrées à l'aide de SSL/TLS, généralement avec un chiffrement AES-256 pour une protection renforcée.
Authentification — SSTP prend en charge l'authentification par certificat, ce qui ajoute une couche supplémentaire de vérification entre le client et le serveur.

Étant donné que le trafic passe par le port 443 enveloppé dans TLS, les outils d'inspection approfondie des paquets peinent à le distinguer d'une navigation HTTPS ordinaire — une propriété connue sous le nom d'obfuscation.

Pourquoi c'est important pour les utilisateurs VPN

Le principal atout de SSTP est sa capacité à contourner les pare-feu. Si vous avez déjà tenté de vous connecter à un VPN et constaté qu'il était bloqué — au travail, sur un réseau scolaire ou lors d'un voyage dans un pays appliquant des restrictions internet importantes — SSTP est l'un des protocoles les plus susceptibles de passer au travers.

Son intégration poussée dans Windows constitue un autre avantage concret. Windows prend en charge SSTP nativement, sans nécessiter de logiciel tiers, ce qui simplifie la configuration pour toute personne utilisant déjà un ordinateur Windows. Cela le rend particulièrement attractif pour les administrateurs informatiques déployant des solutions d'accès à distance dans des environnements professionnels fortement axés sur Windows.

Du point de vue de la sécurité, SSTP se défend bien. Le chiffrement SSL/TLS est mature, largement audité et reconnu à l'échelle mondiale. Il évite les vulnérabilités connues associées aux protocoles plus anciens comme PPTP ou L2TP.

Cependant, SSTP présente des limitations notables. Il s'agit essentiellement d'un protocole propriétaire Microsoft, ce qui signifie qu'il bénéficie d'un support limité sur les plateformes non-Windows comme macOS, Linux, Android et iOS — bien que certains clients tiers aient ajouté une prise en charge partielle. Microsoft contrôlant la spécification, les chercheurs en sécurité indépendants disposent d'une visibilité moindre sur le protocole par rapport aux alternatives open source comme OpenVPN ou WireGuard.

Les performances sont également un facteur à prendre en compte. SSTP utilisant TCP plutôt qu'UDP, il peut souffrir d'un problème connu sous le nom de « TCP meltdown » — où la perte de paquets provoque des délais de retransmission qui s'accumulent et ralentissent la connexion. Les protocoles basés sur UDP offrent généralement de meilleures performances pour les tâches sensibles à la latence, comme le streaming ou le jeu en ligne.

Cas d'utilisation pratiques

Accès à distance en entreprise — Les équipes informatiques dans des environnements Windows déploient souvent SSTP pour les collaborateurs en télétravail devant se connecter depuis des réseaux aux règles de pare-feu restrictives.
Contournement de la censure — Les voyageurs se rendant dans des pays qui bloquent les protocoles VPN courants peuvent s'appuyer sur le comportement de SSTP sur le port 443 pour maintenir leur accès.
Navigation sécurisée sur des réseaux verrouillés — Les réseaux scolaires ou hôteliers qui bloquent les ports VPN laissent souvent le port 443 ouvert, faisant de SSTP une solution de repli fiable.
Compatibilité avec les systèmes existants — Les organisations déjà investies dans une infrastructure Windows Server peuvent préférer SSTP pour sa compatibilité native.

Pour la plupart des utilisateurs VPN en général, les protocoles modernes comme WireGuard ou OpenVPN offrent de meilleures performances et une prise en charge multiplateforme plus étendue. Mais SSTP reste un outil fiable lorsque le contournement des pare-feu est la priorité et que vous évoluez dans un environnement centré sur Windows.

SSTPAvancé

SSTP : le protocole VPN compatible avec les pare-feu, signé Microsoft

Ce que c'est

Comment ça fonctionne

Pourquoi c'est important pour les utilisateurs VPN

Cas d'utilisation pratiques

// FAQ