Le Point-to-Point Tunneling Protocol (PPTP) est un protocole VPN utilisé pour sécuriser la connexion entre votre appareil et un serveur VPN. L’un des plus anciens protocoles VPN, le PPTP souffre de multiples problèmes de sécurité et est désormais considéré comme obsolète.
Malgré cela, sa grande compatibilité avec une large gamme de logiciels et de matériels existants (legacy), sa facilité de configuration, sa légèreté, ainsi que le coût élevé pour les entreprises de la mise à niveau de leurs anciens systèmes VPN d’intranet d’entreprise PPTP, font que ce protocole reste largement utilisé en 2021.
Qu’est-ce qu’un protocole VPN ?
Le protocole VPN est un mélange de protocoles de transmission et de normes de chiffrement qui établissent une connexion sécurisée entre votre appareil et un serveur VPN, et qui chiffrent les données lors de leur transfert entre eux.
Un protocole VPN doit fournir trois éléments :
- L’authentification – empêche les utilisateurs non autorisés de se connecter au serveur VPN
- La confidentialité – utilise le chiffrement pour garantir que personne ne peut accéder (ou « intercepter ») au contenu des paquets de données envoyés sur le réseau VPN
- L’intégrité – détecte si les données transmises ont été falsifiées de quelque manière que ce soit
Les protocoles VPN utilisés aujourd’hui comprennent :
- PPTP
- L2TP/IPsec
- IKEv2 (/IPsec)
- OpenVPN
- WireGuard®
- SSTP
- SoftEther
- Cisco AnyConnect (et sa variante open-source OpenConnect) – ces protocoles sont utilisés presque exclusivement par les intranets VPN d’entreprise, et non par des services VPN commerciaux tels que Proton VPN.
En savoir plus sur les protocoles VPN
Qu’est-ce que le VPN PPTP ?
Historique
Développée par un consortium fondé par Microsoft, la spécification du PPTP a été conçue pour créer des connexions VPN sur des réseaux d’accès à distance et a été publiée en 1999. Microsoft a rapidement ajouté la prise en charge du PPTP à Windows 95, ce qui a permis à ce protocole de devenir rapidement le protocole VPN par défaut pour les intranets d’entreprise du monde entier.
Prise en charge
Au cours des 20 dernières années et plus, la prise en charge du PPTP a été intégrée à presque toutes les plateformes compatibles VPN, et il continue d’être pris en charge de manière native par Windows 11, Android 12, la plupart des distributions Linux et la grande majorité des routeurs compatibles VPN.
Apple a toutefois retiré(nouvelle fenêtre) la prise en charge du PPTP d’iOS 10+ et de macOS 10.12 Sierra en 2018, et a déconseillé son utilisation sur les versions antérieures de ses systèmes d’exploitation.
Les versions récentes de Chrome OS ne prennent pas en charge directement le PPTP, mais il est possible to configure des connexions PPTP en utilisant le sous-système Android sur les Chromebooks qui prennent en charge le Google Play Store.
Fonctionnement
Le PPTP est un protocole de tunnelisation(nouvelle fenêtre), et non, en soi, un protocole VPN complet. Le chiffrement et l’authentification sont gérés par le Point-to-Point Protocol(nouvelle fenêtre) (PPP), mais le PPP ne comprend aucun mécanisme de routage pour diriger les paquets vers leur destination.
Le PPTP établit une connexion TCP avec le serveur VPN sur le port 1723, en réencapsulant les paquets IP PPP à l’aide de la Generic Routing Encapsulation(nouvelle fenêtre) (GRE). Ces paquets sont chiffrés avec le protocole Microsoft Point-to-Point Encryption(nouvelle fenêtre) (MPPE), qui utilise un chiffrement de flux RSA RC4(nouvelle fenêtre) avec une taille de clé maximale de 128 bits.
L’authentification est généralement réalisée à l’aide du protocole MS-CHAP (désormais v2). (Il est possible(nouvelle fenêtre) d’utiliser le protocole AEP-TLS, plus sécurisé, mais cela implique de mettre en œuvre un système de certificats de serveur, ce qui annule en grande partie les avantages de l’utilisation du PPTP en premier lieu.)
Vitesse
Le PPTP est un protocole VPN très simple et léger. Cela permet d’obtenir de bonnes performances en termes de vitesse (en particulier sur les appareils ayant une faible puissance de traitement) et une bonne autonomie de batterie sur les appareils mobiles. Cela est particulièrement vrai si on le compare au protocole OpenVPN, beaucoup plus sécurisé (mais aussi plus lourd).
Sécurité
Le PPTP est connu pour présenter de nombreux problèmes de sécurité critiques. L’un des plus graves est la possibilité d’une authentification MS-CHAP v2 non encapsulée, ce qui peut permettre à un attaquant d’exploiter des faiblesses cryptographiques pour obtenir les identifiants d’un utilisateur.
En exploitant cette faille, des outils publiés pour la première fois par la légende de la cryptographie Moxie Marlinspike en 2012 permettent de craquer le PPTP en moins d’un jour(nouvelle fenêtre). Cette faille a conduit Microsoft elle-même à recommander(nouvelle fenêtre) l’utilisation de L2TP/IP, IKEv2, IPsec ou SSTP à la place.
En 2019, Microsoft a également publié une « déclaration d’applicabilité(nouvelle fenêtre) », soulignant que la méthode d’authentification utilisée par MS-CHAP v2 est sensible aux attaques par dictionnaire(nouvelle fenêtre). Pour aggraver les choses, le chiffrement RC4 utilisé par le PPTP pour chiffrer les données est vulnérable aux attaques par inversion de bits(nouvelle fenêtre).
C’est donc sans grande surprise qu’en 2014, Der Spiegel (nouvelle fenêtre)a publié des documents obtenus auprès du lanceur d’alerte Edward Snowden, confirmant que la NSA américaine n’a aucun mal à accéder aux données sécurisées à l’aide du PPTP.

Résistance à la censure
Le PPTP utilise le port TCP 1723, et les paquets encapsulés par GRE utilisent le numéro de protocole IP(nouvelle fenêtre) 47, deux éléments qui sont très simples à bloquer à l’aide d’un pare-feu.
Résumé
Le PPTP n’est pas un protocole VPN sécurisé et ne devrait jamais être utilisé dans une situation où la sécurité est un facteur important.
Sa facilité d’utilisation, sa légèreté et sa prise en charge quasi universelle signifient qu’il peut toujours être utile dans des situations où la sécurité n’est pas un problème. Par exemple, parmi les cas d’utilisation, citons le fait de devoir contourner le bridage de votre FAI, de débloquer des sites internet soumis à des restrictions géographiques et de regarder du contenu Netflix auquel vous vous êtes abonné lors de vos déplacements à l’étranger.
Cependant, chez Proton VPN, nous pensons que les faiblesses de sécurité de ce protocole obsolète le rendent inadapté à son usage, et qu’il est irresponsable pour des services VPN commerciaux modernes de proposer le PPTP en option à leurs utilisateurs.
Chez Proton VPN, nous ne proposons que des protocoles VPN cryptographiquement sécurisés, mis en œuvre avec leurs paramètres de sécurité les plus élevés. Ces protocoles sont :
- OpenVPN
- IKEv2
- WireGuard
Questions fréquentes
Quel port le PPTP utilise-t-il ?
Le PPT utilise le port TCP 1723.
Qu’est-ce que le passthrough PPTP ?
Tous les routeurs utilisent la traduction d’adresse réseau (NAT) pour associer les connexions entrantes et sortantes aux appareils locaux qui leur sont connectés. Cependant, tous les routeurs ne comprennent pas ce qu’il faut faire des paquets chiffrés à l’aide de protocoles VPN plus anciens, tels que PPTP, IPSec et L2TP.
Pour gérer le trafic qui utilise ces protocoles VPN, un routeur doit prendre en charge le passthrough VPN. S’il ne le fait pas, le trafic VPN sera bloqué par le routeur. Un passthrough PPTP remplace le protocole GRE de base utilisé par PPTP par une version améliorée qui comprend un identifiant d’appel qu’il peut utiliser pour identifier les clients PPTP et acheminer correctement leurs paquets.
La plupart des routeurs modernes incluent un passthrough VPN capable de gérer tous les protocoles VPN courants concernés par ce problème (y compris PPTP). De plus, les protocoles VPN modernes, tels qu’OpenVPN, IKEv2 et WireGuard, ne sont pas concernés par ce problème car ils ont été conçus pour le résoudre.
Ai-je besoin d’un client PPTP ?
La plupart des appareils et systèmes d’exploitation compatibles VPN incluent un client VPN PPTP natif. Les appareils Apple, qui ne prennent plus en charge le PPTP, constituent une exception majeure. C’est une bonne initiative de la part d’Apple, car les protocoles VPN plus modernes peuvent faire tout ce que le PPTP fait tout en étant beaucoup plus sécurisés.






