VPN : mais pourquoi tout le monde ne parle que de Wireguard ?

19 décembre 2021 à 10h00
Sponsorisé par
ProtonVPN
27
Sponsorisé par ProtonVPN
Wireguard

Si vous suivez de prêt ou de loin le petit monde du VPN, vous n'êtes sûrement pas étranger à ce nom : WireGuard. Il est en effet le dernier protocole à la mode chez les amateurs de tunnels chiffrés. Mais pourquoi une telle popularité ? Comment expliquer que tous les éditeurs adoptent ce petit nouveau ? Allons creuser tout ça.

WireGuard est donc la nouvelle coqueluche des enthousiastes du VPN. Ce protocole tout récent a pris le monde du VPN par surprise. On relève notamment un développement éclair, des performances surprenantes, sans oublier son intégration au très select Kernel Linux. Avec autant d'arguments en sa faveur, il a vite trouvé preneur chez de nombreux éditeurs de VPN qui n'ont pas manqué d'intégrer le protocole dans leurs services.

Le WireGuard, une révolution ? Retour sur le passé des protocoles VPN

Depuis sa création dans les années 90, la technologie VPN a vu de nombreux protocoles se succéder. Quand on parle réseau, un protocole est une méthode, un ensemble de règles, permettant la bonne communication entre au moins deux appareils.

Les protocoles VPN déterminent ainsi comment les données sont acheminées par une connexion. Ces protocoles ont des spécifications différentes en fonction des avantages et des circonstances souhaitées. Par exemple, certains protocoles VPN donnent la priorité à la vitesse du débit de données, tandis que d'autres se concentrent sur le chiffrement des paquets de données pour la confidentialité et la sécurité.

PPTP, le premier protocole du marché

Le protocole PPTP (Point-to-Point Tunneling Protocol) est l'un des plus anciens protocoles VPN existants, développé au milieu des années 90 par une poignée d'ingénieurs de Microsoft. Intégré à Windows 95, ce PPTP fut spécifiquement conçu pour les connexions commutées. Mais avec l'évolution de la technologie, le chiffrement de base du PPTP a rapidement été obsolète, de quoi compromettre sa sécurité. Toutefois, le PPTP est dépourvu d'un grand nombre de fonctions de sécurité présentes dans d'autres protocoles modernes. Il peut ainsi offrir les meilleures vitesses de connexion aux utilisateurs qui n'ont pas besoin d'un cryptage lourd. Mais si le PPTP est encore utilisé dans certaines applications, la plupart des fournisseurs ont depuis évolué vers des protocoles plus rapides et plus fiables.

L2TP/IPSec, le binôme remplaçant

L2TP (Layer 2 Tunnel Protocol) est un remplacement du protocole VPN PPTP. Ce protocole ne fournit pas de cryptage ou de confidentialité, il est souvent associé au protocole de sécurité IPSec (Internet Protocol Security). IPsec est en réalité un ensemble de protocoles conjointement utilisés pour établir des connexions chiffrées entre les appareils. Il fonctionne en chiffrant les paquets IP et en authentifiant la source d'où proviennent ces paquets. Les étapes qui composent l'exécution du protocole sont les suivantes :

  1. Échange de clés entre les appareils. Ces clés sont nécessaires pour chiffrer et déchiffrer les données envoyées.
  2. Découpage des données en différents paquets. On distingue deux types de paquets : les « payload » et les « headers ». Les premiers sont les données à envoyer tandis que les seconds sont des informations indiquant à l'appareil quoi en fair…
  3. Chiffrement des données à l'aide de la clé publique.
  4. Envoi des données chiffrée.
  5. Réception et déchiffrement des données à l'aide de la clé privé.

IKEv2/IPSec, le duo qui ne démérite pas

Bien que IKEv2 ne soit pas aussi populaire que d'autres protocoles, il est présent dans de nombreux VPN mobiles. Il doit cela à son principal avantage : être capable de se reconnecter lors d'une perte temporaire de connexion à l'internet, ainsi que lors d'un changement de réseau (du Wi-Fi aux données mobiles, par exemple). IKEv2 est un protocole propriétaire signé Microsoft, avec un support natif pour les appareils Windows et iOS. Des implémentations open source sont disponibles pour Linux, et la prise en charge d'Android est assurée par des applications tierces. Il est lui aussi couplé à IPSec pour assurer l'aspect sécurité.

Malheureusement, si IKEv2 est idéal pour les connexions mobiles, il existe des preuves solides que la NSA exploite activement les failles d'IKE pour compromettre le trafic IPSec. Par conséquent, l'utilisation d'une implémentation open source est vitale pour la sécurité.

OpenVPN, la référence iconique

Dans le petit univers des protocoles VPN, l'open source n'est pas aussi courant qu'on ne le pense. OpenVPN fait partie de ces exceptions. Au niveau des utilisateurs, cela implique qu'ils peuvent examiner leur code source à la recherche de vulnérabilités, ou l'utiliser dans d'autres projets (forks). OpenVPN est rapidement devenu l'un des protocoles les plus utilisés. En plus d'être open source, OpenVPN est également l'un des protocoles les plus sûrs. Il permet aux utilisateurs de protéger leurs données à l'aide d'une clé de chiffrement AES-256 bits, réputée incassable (tant que les vrais ordinateurs quantiques n'existent pas), d'une authentification RSA 2048 bits et d'un algorithme de hachage SHA1 160 bits.

En plus de fournir un chiffrement fort, OpenVPN est également disponible sur une majorité de plateformes : Windows, macOS, Linux, Android, iOS, routeurs, et plus encore. Et même les défunts Windows Phone et BlackBerry peuvent l'utiliser. C'est également le protocole de choix parmi les services VPN populaires.

Un protocole qui surfe sur la sécurité…

À l'échelle du web, la plupart des solutions VPN existantes aujourd'hui ont été conçues il y a longtemps. Elles se veulent donc particulièrement lentes et sophistiquées. C'est là qu'intervient WireGuard, un projet qui privilégie la sécurité et la simplicité. Jason Donenfeld, chercheur en sécurité et développeur, a eu l'idée de WireGuard en 2017. Cette idée est née au moment où il avait besoin d'une solution de tunneling de trafic furtif, pouvant être utilisée lors de missions de tests de pénétration. Plus il examinait les options existantes, plus il se rendait compte que les tunnels VPN comme L2TP et OpenVPN n'étaient pas performants, difficiles à configurer et à gérer optimalement. Il a donc initié la création d'un protocole VPN entièrement nouveau. Sen suivit une mise en œuvre qui contourna les décisions de conception qui ont pu transformer d'autres technologies de tunneling en projets monstrueux grâce à d'énormes bases de code.

Tout d'abord, le protocole WireGuard s'affranchit de l'agilité du chiffrement. En définitive, il n'y a plus de notion de choix parmi différents algorithmes de chiffrement, d'échange de clés et de hachage. Un choix qui a entraîné des déploiements non sécurisés avec d'autres technologies. Au lieu de cela, le protocole utilise une sélection d'algorithmes de chiffrement modernes, minutieusement testés et évalués par des pairs. Ces derniers s'illustrent par des choix par défaut solides que les utilisateurs ne peuvent pas modifier ou mal configurer. Si une vulnérabilité sérieuse est découverte dans les algorithmes utilisés, une nouvelle version du protocole est publiée immédiatement.

Wireguard © Shutterstock

WireGuard utilise ChaCha20 pour le cryptage symétrique avec Poly1305 pour l'authentification des messages. Cette combinaison se veut plus performante que l'AES sur les architectures processeurs qui ne disposent pas d'accélération matérielle cryptographique. Il comprend également une protection intégrée contre l'usurpation de clés, le déni de service et les attaques par rejeu, ainsi qu'une certaine résistance cryptographique post-quantique.

Le protocole est également discret puisqu'il ne répond pas aux paquets provenant de pairs qu'il ne reconnaît pas. De ce fait, une analyse du réseau ne révélera pas que WireGuard est exécuté sur une machine. En outre, la connexion entre les pairs, qui peuvent agir en tant que clients et serveurs en même temps, se tait lorsqu'il n'y a pas d'échange de données. Le protocole WireGuard a été examiné par plusieurs équipes de chercheurs en sécurité issus du secteur privé et du monde universitaire, avant d'être audité dans différents modèles de calcul (trouvable sur le site du projet ). La principale mise en œuvre de WireGuard est destinée à Linux et se présente sous la forme d'un module du kernel. Le code est conçu pour être facilement vérifiable, Donenfeld affirmant lui-même qu'il peut être lu en un après-midi.

… mais sans sacrifier ses performances

Sur Linux, WireGuard fonctionne exclusivement au sein du kernel. De ce fait, ses performances sont bien meilleures que celles d'OpenVPN. De nombreux benchmarks WireGuard, y compris sur le propre site web du projet, montrent des performances et des vitesses de connexion jusqu'à quatre fois supérieures à celles d'OpenVPN. Ils délivrent même de meilleures vitesses que les VPN basés sur IPsec sur le matériel identique. Cependant, les implémentations de WireGuard pour Android, iOS, macOS, OpenBSD et Windows sont écrites dans le langage de programmation Go ; elles restent fonctionnellement identiques. À l'exception de certains projets de microprogrammes Android, soutenus par la communauté et qui ont intégré le module du kernel développé par Donenfeld, les implémentations WireGuard non Linux fonctionnent dans l'espace utilisateur. Ils ne bénéficient également pas des mêmes performances que l'implémentation du noyau. Cela dit, elles parviennent toujours à égaler ou à dépasser OpenVPN dans une majorité des cas.

Connectivité abstrait © Shutterstock

OpenVPN, la référence en matière de sécurité pour les protocoles VPN, recense 600 000 lignes de code alors que IPsec, un autre protocole standard de l'industrie, en compte quant à lui pas moins de 400 000. Wireguard ne compte que 4 000 lignes de code et n'a aucune dépendance qui vient alourdir le compte. C'est en partie cette légèreté qui lui a valu d'être intégré au noyau Linux. En outre, au-delà de pouvoir être relu facilement, celui-ci est moins gourmand en ressources et bien plus efficace dans son exécution. Les processeurs sont donc moins impactés par Wireguard que par les protocoles susmentionnés. Cela signifie également une plus grande autonomie de la batterie.

Dernier point qu'il reste à aborder, celui de la vitesse. Il s'agit sans nul doute de la carte maîtresse de WireGuard, sa vraie différence par rapport à ses concurrents. Dans un protocole de test détaillé ici , les résultats sont impressionnants. Le débit d'une connexion Wireguard est jusqu'à 4 fois supérieur à celui d'une connexion établie avec OpenVPN. Du côté du ping, on trouve des écarts du même ordre avec seulement 0,403 ms de temps de réponse chez WireGuard contre 1,541ms chez son concurrent !

Ce gain de vitesse concerne également les vitesses de connexion et de reconnexion. Ainsi, si vous utilisez un VPN sur votre téléphone portable, par exemple, et que vous passez des données mobiles au Wi-Fi, WireGuard devrait être suffisamment rapide dans la plupart des cas pour que vous ne remarquiez pas d'interruption de connexion.

Quand ProtonVPN adopte à son tour WireGuard

Vous l'aurez compris, WireGuard constitue un avantage de poids pour les utilisateurs. C'est donc tout naturellement que ProtonVPN, notre partenaire pour cet article, l'a intégré à la dernière version de son service VPN.

Les ingénieurs de l'éditeur ont même ajouté une couche logicielle supplémentaire pour garantir une confidentialité accrue. L'implémentation du protocole par ProtonVPN utilise en effet doubleNAT pour créer dynamiquement des sessions de connexion. Cela a pour effet de garantir le même niveau de confidentialité lors de l'utilisation de WireGuard qu'avec OpenVPN ou IKEv2. De plus, WireGuard fonctionne en conjonction avec VPN Accelerator, avec des petites optimisations au niveau du serveur. La marque promet ainsi des gains d'environ 400 % que nous avons pu éprouver dans notre récent test du service VPN .

ProtonVPN
  • Haut niveau de sécurité
  • Interface moderne et intuitive
  • Serveurs dédiés au streaming/P2P

ProtonVPN constitue l'un des services VPN qui a le plus évolué au cours des derniers mois. Toujours doté de l'une des plus belles interfaces du marché, il intègre désormais un accélérateur de VPN qui augmente jusqu'à 400 % les vitesses de connexion. Réputé pour son haut niveau de sécurité et de confidentialité, ce service qui s'adressait essentiellement aux journalistes et aux dissidents par le passé possède désormais tous les atouts pour séduire le plus grand nombre. Un excellent cru !

ProtonVPN constitue l'un des services VPN qui a le plus évolué au cours des derniers mois. Toujours doté de l'une des plus belles interfaces du marché, il intègre désormais un accélérateur de VPN qui augmente jusqu'à 400 % les vitesses de connexion. Réputé pour son haut niveau de sécurité et de confidentialité, ce service qui s'adressait essentiellement aux journalistes et aux dissidents par le passé possède désormais tous les atouts pour séduire le plus grand nombre. Un excellent cru !

Article proposé et conçu par La Rédaction Clubic en partenariat avec ProtonVPN
Lire la charte de confiance
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
27
16
benben99
Jamais.entendu parlé de wireguard… Il ne doit pas être si connu
Vonsss
Freebox OS l’intègre depuis quelques mois, pour ceux souhaitant l’utiliser avec leur box.<br /> Bon point pour free
Gonnzo
Moi je suis de trèèèèèès loin et je connais (quasiment) que NordVPN
Philoctete
Si tu travailles dans le milieu de l’informatique, ta veille d’information a de gros trous. Si tu ne travailles pas dans le milieu de l’informatique, c’est normal, ça reste des outils destinés à des gens qui s’y intéressent spécifiquement.
Philoctete
NordVPN est une entreprise qui utilise et propose différents protocoles VPN, dont Wireguard. Wireguard est simplement un outil que tu peux déployer librement chez toi (c’est ce que je fais), ou bien payer ce type d’entreprise pour avoir un tunnel à ta disposition.
Kratof_Muller
Wireguard est top, bien plus léger que openvpn, un test de debit avec ovpn me donne en général 30 a 60% de ma bande passante et une augmentation du ping de 50%, avec wireguard j’obtiens 80 à 90% de ma bande passante, le ping augmente de 30%.<br /> Le degré de cryptographie est suffisant mais plus faible que ipsec ou ovpn, ce qui tape moins dans les ressources cpu et ram.<br /> Voici un script très efficace pour installer et créer des utilisateurs.<br /> github.com<br /> GitHub - Nyr/wireguard-install: WireGuard road warrior installer for Ubuntu,...<br /> WireGuard road warrior installer for Ubuntu, Debian, AlmaLinux, Rocky Linux, CentOS and Fedora - GitHub - Nyr/wireguard-install: WireGuard road warrior installer for Ubuntu, Debian, AlmaLinux, Rock...<br />
Kratof_Muller
j ai la pop et pas d option wireguard<br /> (PPTP<br /> Désactivé<br /> OpenVPN Routé<br /> Désactivé<br /> IPsec IKEv2<br /> Désactivé<br /> OpenVPN Bridgé<br /> Désactivé)
oudiny
Jamais entendu parlé de ce VPN !!
oudiny
Donc en gros le titre de l’article est mensongé !! Quand on informe " tout le monde " ça signifie " tout le monde " et pas un petit cercle fermé de gens dans un domaine professionnel bien précis
Vonsss
Ta box est elle a jour ? Moi je l’ai dans freebox OS<br /> Echos du Net – 16 Jun 21<br /> Mise à jour Freebox : le détail des dernières améliorations du firmware Freebox<br /> Quelle mise à jour Freebox est récemment sortie ? Comment connaître son firmware Freebox et comment mettre à jour sa box ? Retrouvez le détail des dernières MAJ Freebox dans cet article et leurs corrections apportées.<br />
arnaud_lepine
Mais c’est quoi ce titre, Gouter : mais pourquoi tout le monde ne parle que de Chocovorux ? en lien sponsorisé ofc… trop forts ces marqueteux.<br /> Ps: Le monde pro se fout de ce genre de produit, on ne va pas faire transiter full trafic par un petit prestataire qui pourrait tries bien refourguer nos données, un fournisseur vpn n’engage que celui qui lui fait confiance.
Peggy10Huitres
Trop fort les mecs qui n’ont lu que le titre mais qui commentent tout leur savoir dessus.<br /> Wireguard n’est pas un Prestataire de VPN mais un Protocole !<br /> Bon moi je connaissais vite fais, je me sauvegarde l’article pour le lire plus tard.<br /> Merci Clubic, je pense que c’est un bon article, même si je fais parti des rares qui aurait préféré l’avoir en vidéo.
sebstein
Wireguard ne compte que 4 000 lignes de code<br /> Lol, mais quelle métrique pourrie… le nombre de ligne de code ne représenta absolument pas la qualité, ni la rapidité d’un programme…<br /> for (int i=0; i&lt;1000000; i++)<br /> for (int j=0; j&lt;1000000; j++)<br /> for (int k=0; k&lt;1000000; k++)<br /> printf("…");<br /> Ca fait juste 4 lignes de code et, pourtant, ça a une complexité en O(n³), soit catastrophique.
Kratof_Muller
Merci, je pensais qu’elle était à jour … mais non … reboot … Du coup c’est bon, l’option est là !<br /> Mais voila, je prefere mon script pour ubuntu … apres avoir testé le wireguard de la freebox, je ne suis pas satisfait, pas assez de parametres ( redirection de flux par exemple) et probable conflit avec mon serveur de dns
Adavo
A quand ces protocoles sur les NAS synology ?
toto333
«&nbsp;Contenu sponsorisé par ProtonVPN&nbsp;». Non merci. Je crois que je ne vais pas prendre la peine de lire cette pub
Garfield50
Ah lalalalala les pseudos informaticiens qui a part le formatage des pc ne connaissent rien a la technique. Pour ceux qui ne connaisse pas Wireguard, effectivement, techniciens ou technophiles sont au courant que ce n’est pas pas un fournisseur de VPN comme NordVPN mais plutôt un protocole qui nous permet d’installer un vpn chez soit ou client avec une solution rapide et efficace, qui plus est gratuitement. Mais seulement il faut savoir lire des docs afin de pouvoir le mettre en place, tout comme OpenVPN.
Blackalf
arnaud_lepine:<br /> Mais c’est quoi ce titre, Gouter : mais pourquoi tout le monde ne parle que de Chocovorux ? en lien sponsorisé ofc… trop forts ces marqueteux.<br /> C’est effectivement un article sponsorisé, comme c’est d’ailleurs clairement indiqué. Alors pourquoi cet étonnement ?
becket
Tout à fait pertinent ! Mais, on ne peut pas parler de complexité qu’à partir du moment ou on a une entrée.
Baxter_X
Wire guard est en effet un excellent protocole. Mais OpenVPN reste reconnu pour son chiffrement et sa capacité à pouvoir passer à travers des puissants filtrages. Contrairement à wireguard qui peut être filtré.<br /> Donc pour la performance, c’est wireguard, pour le chiffrement et «&nbsp;l’exfiltration&nbsp;» c’est OpenVPN.<br /> Je le suis fait un script qui crée et configure automatiquement un serveur OpenVPN, donc pour l’instant je reste dessus.<br /> PS: le cryptage en français n’existe pas, c’est le chiffrement.
Baxter_X
C’est ridicule. Tu crois vraiment qu’il y a des lignes de codes aussi inutiles que ça dans le code?
becket
Contrairement à ce que tu sembles penser, c’est très pertinent car il est très facile d’écrire des algorithmes avec un ordre de complexité mauvais même en peu de lignes alors qu’un algorithme assez long sur en terme de nombre de lignes peut être extrêmement efficaces.<br /> Plus d’info sur cette notion : wikipedia.org → Analyse_de_la_complexité des algorithmes
sebstein
Tu comprends le principe d’un exemple ou bien… ?
sebstein
Désolé, je n’ai pas trop compris…
becket
Youtube → Tom Scott → Why My Teenage Code Was Terrible: Sorting Algorithms and Big O Notation<br />
Baxter_X
Par contre je viens de refaire un essai de débit Openvpn/Wireguard depuis un serveur AWS avec débit en gigabit. On est très très loin d’un débit 4 fois supérieur avec Wireguard. Avec Openvpn c’est du 160/160<br /> Wireguard c’est du 230/180.<br /> Donc supérieur mais pas si extraordinaire que ça.
Baxter_X
Deuxième essai depuis mon PC fixe et non plus une VM vers mon serveur Ikoula: 710/320.<br /> Donc la on est clairement au dessus d’Openvpn.
Voir tous les messages sur le forum

Lectures liées

Pegasus utilisé par la police israélienne pour surveiller les citoyens ?
Cybercriminalité : Europol coupe le câble de VPNLab.net
Snapchat Quick Add : rendez facilement l'ajout d'amis plus sûr pour vos ados
Une promotion de 60% sur les abonnements antivirus Bitdefender !
Thales piraté par le groupe LockBit 2.0 ; deux dossiers diffusés, des outils et du code
Selon une agence d'audit, les problèmes de piratage de crypto-monnaie sont liés à la centralisation
Quelles sont les marques les plus usurpées pour le phishing ?
Bitdefender offre ses antivirus à -60% ! Pourquoi on craque pour ses abonnements ?
SysJoker : le malware indétectable depuis plusieurs mois sur Windows, macOS et Linux
Cyberattaque en Ukraine : Microsoft prévient qu'elle pourrait rendre inopérante la structure informatique gouvernementale
Haut de page