NordLynx et WireGuard : qu’est ce que le nouveau protocole de NordVPN ?

Déployé dans un premier temps sur Linux à la fin du mois de juillet 2019, le nouveau protocole de communication de NordVPN baptisé NordLynx est désormais disponible sur toutes les plateformes. Construit autour du code source du protocole open source WireGuard, il constitue une innovation des plus prometteuses pour les VPN.

Ce n’est pas tous les jours qu’un acteur du marché VPN lance un nouveau standard de communication. Les principaux fournisseurs de réseaux privés virtuels, et notamment les VPN gratuits, proposent généralement des protocoles bien connus comme OpenVPN, L2TP/IPSec ou encore IKEv2 (plébiscité pour les terminaux mobiles). Des services VPN comme PIA ou VyprVPN commencent à proposer également le nouveau protocole open source baptisé WireGuard. Outre une sécurité dernier cri, ce protocole moderne toujours en cours de développement serait beaucoup plus simple à implémenter et à gérer. Selon NordVPN, ce dernier présenterait toutefois des risques notamment pour la confidentialité des utilisateurs. Le fournisseur panaméen a donc décidé de développer une version plus sécurisée de WireGuard. Après son déploiement sur Linux il y a un peu moins d’un an, NordLynx est désormais disponible sur l’ensemble de ses clients.

WireGuard : un protocole prometteur, mais pas 100 % fiable

Pour la petite histoire, le fondateur de Linux Linus Torvalds qui ne cesse de faire l’éloge de WireGuard a donné son feu vert début 2020 pour l’intégrer dans le noyau de Linux. Même s’il n’existe pas encore de version parfaitement stable actuellement, la plupart des spécialistes s’accordent à dire que WireGuard devrait à terme devenir LE protocole VPN de référence. Il faut dire qu’il présente de nombreux avantages. Créé par le spécialiste en sécurité informatique multiprimé Jason Donenfeld, il repose sur une architecture simple et moderne ne comprenant que 4 000 lignes de code. À titre de comparaison, le protocole de communication le plus populaire OpenVPN en comprend plusieurs centaines de milliers ! De ce fait, WireGuard s’avère non seulement beaucoup plus facile à configurer et à déployer, mais également à auditer. La simplicité de son architecture réduit également le nombre de bugs et par conséquent les potentielles tentatives d’exploitation de vulnérabilités.

Ce n’est pas tout, WireGuard offre de meilleures performances que les principaux protocoles actuels comme OpenVPN et IPSec. Ce dernier assure des temps de latence (PING) nettement inférieurs et des vitesses de connexions plus rapides. WireGuard exploite en outre des normes de cryptographie de dernière génération qui renforcent la sécurité des tunnels virtuels sécurisés. Malgré toutes ses qualités, NordVPN estime que le protocole n’est pas encore 100 % fiable. Selon le fournisseur, WireGuard ne permet pas de garantir un anonymat complet, car il ne peut pas attribuer dynamiquement des adresses IP à toutes les personnes connectées à un serveur. Cela signifie que les identités des utilisateurs doivent être stockées sur le serveur et liées à une adresse IP interne attribuée par le VPN. En cas d’intrusion malveillante sur le serveur ou d’une saisie de justice, ces données peuvent donc compromettre la confidentialité des utilisateurs. Fort de constat, NordVPN estime que WireGuard demeure incompatible avec sa politique stricte de non-journalisation qui prévoit qu’aucune donnée utilisateur, quelle qu’elle soit, ne puisse être stockée sur ses serveurs.

NordLynx : une version de WireGuard revue et corrigée

Pour pouvoir faire bénéficier des avantages de WireGuard à ses clients sans nuire à leur sécurité, NordVPN a créé NordLynx : un protocole basé sur WireGuard intégrant un double système de traduction d'adresses réseau (NAT) pour protéger la confidentialité des utilisateurs. « Nous ne pouvions pas risquer de stocker les données privées de nos utilisateurs. C'est pourquoi nous avons implémenté le double système NAT », expliquait Ruby Gonzalez de NordVPN lors du lancement de NordLynx. Le double système NAT créé deux interfaces réseau locales pour chaque utilisateur.

La première interface attribue la même adresse IP locale à tous les utilisateurs connectés à un serveur, tandis que la seconde leur attribue des adresses IP locales dynamiques. Afin de ne stocker aucune donnée identifiable sur le serveur, les adresses IP dynamiques sont attribuées uniquement durant la session active. Selon NordVPN, NordLynx garantirait des débits beaucoup plus rapides. Pour l’heure, les différents tests que nous avons effectués ne nous ont pas permis de constater un gain de vitesse significatif par rapport aux protocoles IKEv2 et OpenVPN. Doté d’une sécurité de pointe, le jeune protocole ne s’en révèle pas moins extrêmement prometteur.