Surfshark dévoile Dausos, un protocole VPN post quantique ultra rapide

Surfshark dévoile aujourd'hui Dausos, son premier protocole VPN développé en interne. Celui-ci introduit un tunnel de données privé pour chaque utilisateur, une vitesse annoncée 30% plus élevée que WireGuard et un chiffrement pensé pour résister aux futures machines quantiques.

Jusqu'à présent, comme plusieurs de ses concurrents, le VPN de Surfshark reposait sur les protocoles standards comme WireGuard, OpenVPN et IKEv2. Avec Dausos, l'éditeur entend changer la connexion, le tunnel de données ainsi que la gestion des clés de chiffrement.

Un tunnel privatif pour chaque utilisateur

Dans un VPN classique, les sessions de tous les utilisateurs connectés à un même serveur empruntent une interface réseau commune, appelée TUN. C'est par exemple le fonctionnement de WireGuard comme de ses homologues. Avec Dausos, chaque session dispose de son propre tunnel de données. Le trafic de chaque utilisateur est donc cloisonné, sans risque d'interférence avec les sessions voisines.

Selon Surfshark, ce cloisonnement a un effet direct sur la vitesse. Le protocole distribue les paquets de données en fonction des conditions réseau de chaque utilisateur en temps réel, sans contrainte liée aux sessions parallèles. Surfshark annonce un gain de 30% par rapport à WireGuard, avec un débit mesuré en interne de 316 Mbps pour Dausos contre 244 Mbps pour WireGuard.

Dans un premier temps, Dausos est d'abord disponible sur macOS. Les autres plateformes suivront par la suite. Surfshark a également déposé une demande de brevet pour l'architecture du protocole.

Des clés qui ne se ressemblent jamais, même si l'une est compromise

Avec Dausos, Surfshark revoit également le chiffrement. Pour sécuriser la connexion, ce nouveau protocole combine deux méthodes de chiffrement. X25519 est un algorithme d'échange de clés basé sur la cryptographie à courbe elliptique. Il est rapide, léger, et utilisé aujourd'hui par des millions de connexions HTTPS et VPN dans le monde. De son côté, ML-KEM (aussi connu sous le nom Kyber) est un algorithme post-quantique standardisé par le NIST en 2024. Il a été conçu pour résister aux capacités de calcul des futurs ordinateurs quantiques. En associant les deux, Dausos garantit que les données restent protégées même si l'un des deux algorithmes venait à être cassé.

Vient ensuite ce que Surfshark appelle la "sécurité post-compromise". L'idée est simple : même si une clé de chiffrement tombe entre de mauvaises mains, l'impact reste très limité. Dans un schéma avec Perfect Forward Secrecy, une clé volée permet au mieux de déchiffrer une petite portion récente des échanges. Avec Dausos, chaque session et chaque rotation de clé utilisent une nouvelle paire qui n'a aucun lien avec les précédentes. Une clé compromise ne sert donc qu'à cette session précise et ne permet ni de remonter dans l'historique, ni d'anticiper les clés futures.

Mais ce n'est pas tout. On retrouve également une randomisation des ports qui permet de changer l'adresse de connexion à chaque session, au lieu d'utiliser un port fixe pouvant être facilement repéré. L'algorithme AEGIS-256X2 assure de son côté un chiffrement rapide et authentifié. L'ensemble a été audité par le cabinet berlinois spécialisé Cure53. Aucune vulnérabilité critique ou haute n'a été identifiée.