Classer en toute sécurité le client Sophos SSL VPN dans le démarrage automatique
L’ancien client Sophos SSL VPN pour Windows peut démarrer automatiquement lors de la connexion à Windows et se connecter à une configuration OpenVPN spécifique. Cela est techniquement possible, mais ne doit pas être confondu avec une recommandation standard sécurisée. La connexion automatique avec un password.txt est particulièrement critique, car le nom d’utilisateur et le mot de passe sont stockés en clair sur le client.
Pour les nouvelles configurations d’accès à distance, il convient d’abord de vérifier si Sophos Connect, les profils SSL VPN actuels, MFA ou Microsoft Entra ID SSO conviennent mieux. Ce guide est principalement destiné aux environnements anciens, aux clients spécialisés ou aux exceptions contrôlées où l’ancien client SSL VPN est encore utilisé.
Distinguer le démarrage automatique, la connexion automatique et la connexion automatique
Les trois termes sont souvent confondus, mais impliquent des risques différents :
| Fonction | Signification | Risque |
|---|---|---|
| Démarrage automatique | Le client VPN démarre lors de la connexion à Windows. | faible à moyen |
| Connexion automatique | Le client démarre directement avec un fichier .ovpn spécifique. | moyen |
| Connexion automatique | Le nom d’utilisateur et le mot de passe sont transmis automatiquement. | élevé |
Le démarrage automatique et la connexion automatique peuvent être utiles dans certains environnements si un appareil doit établir une connexion immédiatement après la connexion. La connexion automatique est un cas particulier. Dès que le mot de passe est stocké en tant que fichier sur le client, la sécurité dépend fortement de l’appareil Windows, du profil utilisateur, des autorisations de fichier, des autorisations VPN et de la protection contre le vol.
⚠️ La connexion automatique avec
password.txtstocke les informations d’identification en clair. Cela ne doit pas être utilisé pour les comptes d’utilisateurs normaux, les administrateurs, les appareils partagés ou les profils VPN largement autorisés.
Quand cette approche peut être utile
L’approche de démarrage automatique peut être une solution de transition utile si un client Windows doit ouvrir automatiquement une connexion SSL VPN connue après la connexion et que l’environnement n’a pas encore été migré vers Sophos Connect ou un autre modèle d’accès à distance.
Cas typiques :
- un client de maintenance dédié avec des autorisations limitées
- un système de laboratoire ou de test
- un appareil spécialisé nécessitant une connexion fixe après la connexion de l’utilisateur
- un ancien environnement où Sophos Connect n’a pas encore été introduit
Cette approche n’est pas adaptée aux appareils utilisés par plusieurs personnes, aux accès administratifs privilégiés, aux clients Windows non chiffrés ou mal gérés, et aux environnements où le MFA doit être appliqué de manière stricte.
Prérequis
Avant de mettre en œuvre, ces points doivent être clairs :
- L’ancien client Sophos SSL VPN est installé sur Windows.
- Une configuration
.ovpnfonctionnelle est disponible localement. - L’utilisateur VPN concerné n’a que les accès réellement nécessaires.
- L’appareil Windows est géré, chiffré et protégé contre les accès locaux non autorisés.
- Il est documenté pourquoi la connexion automatique ou la connexion automatique est nécessaire.
- Un plan de retour en arrière est disponible pour une utilisation productive.
Si le client n’est pas encore installé, le guide Client Sophos SSL VPN sur Windows avec SFOS peut être utile. Pour les versions actuelles du client, Vérifier et mettre à jour en toute sécurité la version du client Sophos Connect est également pertinent.
Désactiver l’entrée de démarrage automatique existante
L’ancien client SSL VPN crée souvent déjà une entrée de démarrage automatique lors de l’installation. Si une ligne de démarrage personnalisée avec des paramètres est utilisée, l’entrée existante doit d’abord être désactivée pour éviter que le client ne démarre deux fois.

- Ouvrir le Gestionnaire de tâches.
- Passer à l’onglet Démarrage.
- Sélectionner SSL VPN Client for Windows.
- Désactiver l’entrée.
Pour les versions plus anciennes de Windows, le dossier de démarrage classique peut également être pertinent. Dans les environnements gérés, il convient également de vérifier si un processus de distribution de logiciels ou de GPO restaure l’entrée ultérieurement.
Préparer la commande pour la connexion automatique
Pour la connexion automatique, openvpn-gui.exe est lancé avec le chemin du dossier de configuration et le nom du fichier .ovpn souhaité.
Schéma :
"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect profilname.ovpn
Selon l’installation de Windows et du client, les chemins peuvent varier :
| Élément | Chemin typique |
|---|---|
openvpn-gui.exe sur Windows 64 bits | C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe |
openvpn-gui.exe sur Windows 32 bits | C:\Program Files\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe |
| Dossier de configuration sur Windows 64 bits | C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\ |
| Dossier de configuration sur Windows 32 bits | C:\Program Files\Sophos\Sophos SSL VPN Client\config\ |

Exemple :
"C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\bin\openvpn-gui.exe" --config_dir "C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\" --connect avanet@example-firewall.ovpn
Il est important d’avoir le nom exact du fichier .ovpn. Si le nom du fichier contient des espaces ou des caractères spéciaux, la commande doit être testée avec soin. Dans de nombreux environnements, un nom de profil court sans espaces est plus facile à gérer.
Créer un démarrage automatique dans le registre
L’entrée peut être enregistrée sous l’utilisateur Windows actuel dans Run. Cela permet au client de démarrer lors de la connexion de cet utilisateur, et non à l’échelle du système avant chaque connexion utilisateur.

- Ouvrir le Éditeur du Registre.
- Accéder à ce chemin :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Créer une nouvelle valeur de chaîne dans la colonne de droite.
- Donner un nom unique, par exemple
sophos-ssl-vpn. - Insérer la commande
openvpn-gui.exepréparée comme valeur. - Se déconnecter et se reconnecter à Windows.
- Vérifier si le client démarre et sélectionne la connexion souhaitée.
Si seuls le démarrage automatique et la connexion automatique sont nécessaires, il est conseillé de s’arrêter ici. Dans cet état, l’utilisateur doit toujours entrer le mot de passe VPN. C’est généralement la meilleure option du point de vue de la sécurité.
Utiliser la connexion automatique uniquement en tant qu’exception
La connexion automatique est contrôlée dans l’ancien client basé sur OpenVPN par la ligne auth-user-pass dans le fichier .ovpn. Si un fichier est spécifié, le client lit le nom d’utilisateur et le mot de passe à partir de ce fichier.
Exemple dans le fichier .ovpn :
auth-user-pass password.txt
Le fichier password.txt est alors situé dans le même dossier que le fichier .ovpn et contient deux lignes :
supportuser
TrèsSecretMotDePasse
Cette méthode est techniquement simple, mais faible en termes de sécurité. Quiconque accède au fichier obtient les informations d’identification VPN. Par conséquent, cette variante ne doit être utilisée que si le risque est consciemment accepté et limité.
Contrôles minimaux pour une exception :
- utilisateur VPN dédié uniquement à cet usage
- pas de données d’identification administratives ou partagées
- politique VPN et règles de pare-feu fortement limitées
- pas d’accès aux réseaux de gestion, contrôleurs de domaine ou systèmes de sauvegarde, sauf si absolument nécessaire
- appareil Windows avec BitLocker ou un chiffrement comparable
- pas d’utilisateurs standard locaux avec accès au fichier
- date d’expiration ou de révision documentée pour l’exception
Configurer la connexion automatique
Si la connexion automatique est nécessaire malgré le risque, la modification doit être soigneusement documentée et testée.
- Démarrer l’éditeur en tant qu’administrateur.
- Ouvrir le fichier
.ovpnutilisé dans le dossier de configuration Sophos SSL VPN. - Rechercher la ligne
auth-user-pass. - Modifier la ligne en
auth-user-pass password.txt. - Créer un fichier
password.txtdans le même dossier. - Inscrire le nom d’utilisateur sur la première ligne.
- Inscrire le mot de passe sur la deuxième ligne.
- Enregistrer le fichier.
- Vérifier les autorisations de fichier et supprimer les accès inutiles.
- Se reconnecter à Windows et tester la connexion VPN.
Après le test, il convient de vérifier si l’utilisateur VPN n’atteint que les cibles prévues. Si le profil permet des réseaux internes trop larges, une solution de contournement de confort peut rapidement devenir un accès de sécurité inutilement large.
Validation après la configuration
Après la configuration, il ne suffit pas de regarder simplement l’icône verte du VPN. Il est important de vérifier si la connexion attendue a été établie et si les droits sont corrects.
Vérifier :
- Le client démarre-t-il une seule fois ?
- Le bon fichier
.ovpnest-il utilisé ? - La connexion est-elle établie uniquement après la connexion à Windows ?
- La résolution DNS et les systèmes cibles internes fonctionnent-ils ?
- La règle d’accès à distance attendue s’applique-t-elle sur le pare-feu ?
- Les événements utilisateur et VPN attendus sont-ils visibles dans le Log Viewer ?
- L’utilisateur VPN peut-il atteindre uniquement les réseaux nécessaires ?
Pour les problèmes de connexion après une connexion réussie, consultez Tester la règle de pare-feu avec Log Viewer, Policy Test et Packet Capture et Dépannage Sophos Firewall : Services et journaux. Si seules certaines applications restent bloquées via VPN, vérifiez également MTU et MSS en cas de problèmes VPN.
Erreurs typiques
| Symptôme | Cause probable | Vérification |
|---|---|---|
| Le client ne démarre pas | Chemin du registre ou commande incorrecte | Vérifier l’entrée Run et les chemins |
| Le client démarre deux fois | Ancienne entrée de démarrage automatique encore active | Vérifier le gestionnaire de tâches et le dossier de démarrage |
| Le profil n’est pas trouvé | Nom de fichier incorrect ou config_dir incorrect | Comparer exactement le nom .ovpn |
| Le mot de passe est toujours demandé | auth-user-pass password.txt non dans le fichier OVPN actif | Vérifier le profil utilisé et le chemin du fichier |
| La connexion fonctionne, mais les cibles internes ne sont pas accessibles | La politique VPN, la règle de pare-feu, le DNS ou le routage ne sont pas corrects | Vérifier le Log Viewer, la règle de pare-feu et le DNS |
| La connexion automatique ne fonctionne plus après un changement de mot de passe | password.txt contient l’ancien mot de passe | Mettre à jour le fichier de mot de passe ou supprimer la connexion automatique |
Retour en arrière
Si la connexion automatique n’est plus nécessaire, elle doit être complètement supprimée.
- Supprimer ou désactiver l’entrée de registre sous
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. - Dans le fichier
.ovpn, changerauth-user-pass password.txtenauth-user-pass. - Supprimer
password.txt. - Changer le mot de passe VPN de l’utilisateur concerné.
- Vérifier sur le pare-feu si l’utilisateur ou la règle est encore nécessaire.
Si les informations d’identification ont été stockées en clair pendant une longue période, il ne suffit pas de supprimer le fichier. Le mot de passe doit être changé et l’accès vérifié dans les journaux.
Liste de contrôle
- Démarrage automatique sans connexion automatique vérifié.
- Meilleur modèle d’accès à distance comme Sophos Connect, MFA ou Entra ID SSO évalué.
- Utilisateur VPN dédié utilisé si la connexion automatique est nécessaire.
- Règles VPN et de pare-feu limitées au minimum.
password.txtnon utilisé pour les comptes administratifs ou partagés.- Appareil Windows chiffré et géré.
- Log Viewer affiche les événements VPN attendus.
- Retour en arrière et date de révision documentés.
FAQ
La connexion automatique avec le client Sophos SSL VPN est-elle sécurisée ?
password.txt stocke le nom d’utilisateur et le mot de passe en clair. Cela peut être accepté dans des cas spéciaux strictement limités, mais ne doit pas être utilisé pour des accès utilisateur ou administrateur normaux.Peut-on démarrer automatiquement le client Sophos SSL VPN sans enregistrer le mot de passe ?
--connect avec une configuration spécifique. L’utilisateur doit alors toujours entrer le mot de passe.