Si vous suivez de prêt ou de loin le petit monde du VPN, vous n'êtes sûrement pas étranger à ce nom : WireGuard. Il est en effet le dernier protocole à la mode chez les amateurs de tunnels chiffrés. Mais pourquoi une telle popularité ? Comment expliquer que tous les éditeurs adoptent ce petit nouveau ? Allons creuser tout ça.
- storage8633 serveurs
- language112 pays couverts
- lan10 connexions simultanées
- moodEssai gratuit 30 jours
- descriptionPas de log de données
WireGuard est donc la nouvelle coqueluche des enthousiastes du VPN. Ce protocole tout récent a pris le monde du VPN par surprise. On relève notamment un développement éclair, des performances surprenantes, sans oublier son intégration au très select Kernel Linux. Avec autant d'arguments en sa faveur, il a vite trouvé preneur chez de nombreux éditeurs qui n'ont pas manqué d'intégrer le protocole dans leurs services, et même dans leur VPN gratuit.
Le WireGuard, une révolution ? Retour sur le passé des protocoles VPN
Depuis sa création dans les années 90, la technologie VPN a vu de nombreux protocoles se succéder. Quand on parle réseau, un protocole est une méthode, un ensemble de règles, permettant la bonne communication entre au moins deux appareils.
Les protocoles VPN déterminent ainsi comment les données sont acheminées par une connexion. Ces protocoles ont des spécifications différentes en fonction des avantages et des circonstances souhaitées. Par exemple, certains protocoles VPN donnent la priorité à la vitesse du débit de données, tandis que d'autres se concentrent sur le chiffrement des paquets de données pour la confidentialité et la sécurité.
PPTP, le premier protocole du marché
Le protocole PPTP (Point-to-Point Tunneling Protocol) est l'un des plus anciens protocoles VPN existants, développé au milieu des années 90 par une poignée d'ingénieurs de Microsoft. Intégré à Windows 95, ce PPTP fut spécifiquement conçu pour les connexions commutées. Mais avec l'évolution de la technologie, le chiffrement de base du PPTP a rapidement été obsolète, de quoi compromettre sa sécurité. Toutefois, le PPTP est dépourvu d'un grand nombre de fonctions de sécurité présentes dans d'autres protocoles modernes. Il peut ainsi offrir les meilleures vitesses de connexion aux utilisateurs qui n'ont pas besoin d'un cryptage lourd. Mais si le PPTP est encore utilisé dans certaines applications, la plupart des fournisseurs ont depuis évolué vers des protocoles plus rapides et plus fiables.
L2TP/IPSec, le binôme remplaçant
L2TP (Layer 2 Tunnel Protocol) est un remplacement du protocole VPN PPTP. Ce protocole ne fournit pas de cryptage ou de confidentialité, il est souvent associé au protocole de sécurité IPSec (Internet Protocol Security). IPsec est en réalité un ensemble de protocoles conjointement utilisés pour établir des connexions chiffrées entre les appareils. Il fonctionne en chiffrant les paquets IP et en authentifiant la source d'où proviennent ces paquets. Les étapes qui composent l'exécution du protocole sont les suivantes :
- Échange de clés entre les appareils. Ces clés sont nécessaires pour chiffrer et déchiffrer les données envoyées.
- Découpage des données en différents paquets. On distingue deux types de paquets : les « payload » et les « headers ». Les premiers sont les données à envoyer tandis que les seconds sont des informations indiquant à l'appareil quoi en fair…
- Chiffrement des données à l'aide de la clé publique.
- Envoi des données chiffrée.
- Réception et déchiffrement des données à l'aide de la clé privé.
IKEv2/IPSec, le duo qui ne démérite pas
Bien que IKEv2 ne soit pas aussi populaire que d'autres protocoles, il est présent dans de nombreux VPN mobiles. Il doit cela à son principal avantage : être capable de se reconnecter lors d'une perte temporaire de connexion à l'internet, ainsi que lors d'un changement de réseau (du Wi-Fi aux données mobiles, par exemple). IKEv2 est un protocole propriétaire signé Microsoft, avec un support natif pour les appareils Windows et iOS. Des implémentations open source sont disponibles pour Linux, et la prise en charge d'Android est assurée par des applications tierces. Il est lui aussi couplé à IPSec pour assurer l'aspect sécurité.
Malheureusement, si IKEv2 est idéal pour les connexions mobiles, il existe des preuves solides que la NSA exploite activement les failles d'IKE pour compromettre le trafic IPSec. Par conséquent, l'utilisation d'une implémentation open source est vitale pour la sécurité.
OpenVPN, la référence iconique
Dans le petit univers des protocoles VPN, l'open source n'est pas aussi courant qu'on ne le pense. OpenVPN fait partie de ces exceptions. Au niveau des utilisateurs, cela implique qu'ils peuvent examiner leur code source à la recherche de vulnérabilités, ou l'utiliser dans d'autres projets (forks). OpenVPN est rapidement devenu l'un des protocoles les plus utilisés. En plus d'être open source, OpenVPN est également l'un des protocoles les plus sûrs. Il permet aux utilisateurs de protéger leurs données à l'aide d'une clé de chiffrement AES-256 bits, réputée incassable (tant que les vrais ordinateurs quantiques n'existent pas), d'une authentification RSA 2048 bits et d'un algorithme de hachage SHA1 160 bits.
En plus de fournir un chiffrement fort, OpenVPN est également disponible sur une majorité de plateformes : Windows, macOS, Linux, Android, iOS, routeurs, et plus encore. Et même les défunts Windows Phone et BlackBerry peuvent l'utiliser. C'est également le protocole de choix parmi les services VPN populaires.
Un protocole qui surfe sur la sécurité…
À l'échelle du web, la plupart des solutions VPN existantes aujourd'hui ont été conçues il y a longtemps. Elles se veulent donc particulièrement lentes et sophistiquées. C'est là qu'intervient WireGuard, un projet qui privilégie la sécurité et la simplicité. Jason Donenfeld, chercheur en sécurité et développeur, a eu l'idée de WireGuard en 2017. Cette idée est née au moment où il avait besoin d'une solution de tunneling de trafic furtif, pouvant être utilisée lors de missions de tests de pénétration. Plus il examinait les options existantes, plus il se rendait compte que les tunnels VPN comme L2TP et OpenVPN n'étaient pas performants, difficiles à configurer et à gérer optimalement. Il a donc initié la création d'un protocole VPN entièrement nouveau. Sen suivit une mise en œuvre qui contourna les décisions de conception qui ont pu transformer d'autres technologies de tunneling en projets monstrueux grâce à d'énormes bases de code.
Tout d'abord, le protocole WireGuard s'affranchit de l'agilité du chiffrement. En définitive, il n'y a plus de notion de choix parmi différents algorithmes de chiffrement, d'échange de clés et de hachage. Un choix qui a entraîné des déploiements non sécurisés avec d'autres technologies. Au lieu de cela, le protocole utilise une sélection d'algorithmes de chiffrement modernes, minutieusement testés et évalués par des pairs. Ces derniers s'illustrent par des choix par défaut solides que les utilisateurs ne peuvent pas modifier ou mal configurer. Si une vulnérabilité sérieuse est découverte dans les algorithmes utilisés, une nouvelle version du protocole est publiée immédiatement.
WireGuard utilise ChaCha20 pour le cryptage symétrique avec Poly1305 pour l'authentification des messages. Cette combinaison se veut plus performante que l'AES sur les architectures processeurs qui ne disposent pas d'accélération matérielle cryptographique. Il comprend également une protection intégrée contre l'usurpation de clés, le déni de service et les attaques par rejeu, ainsi qu'une certaine résistance cryptographique post-quantique.
Le protocole est également discret puisqu'il ne répond pas aux paquets provenant de pairs qu'il ne reconnaît pas. De ce fait, une analyse du réseau ne révélera pas que WireGuard est exécuté sur une machine. En outre, la connexion entre les pairs, qui peuvent agir en tant que clients et serveurs en même temps, se tait lorsqu'il n'y a pas d'échange de données. Le protocole WireGuard a été examiné par plusieurs équipes de chercheurs en sécurité issus du secteur privé et du monde universitaire, avant d'être audité dans différents modèles de calcul (trouvable sur le site du projet). La principale mise en œuvre de WireGuard est destinée à Linux et se présente sous la forme d'un module du kernel. Le code est conçu pour être facilement vérifiable, Donenfeld affirmant lui-même qu'il peut être lu en un après-midi.
… mais sans sacrifier ses performances
Sur Linux, WireGuard fonctionne exclusivement au sein du kernel. De ce fait, ses performances sont bien meilleures que celles d'OpenVPN. De nombreux benchmarks WireGuard, y compris sur le propre site web du projet, montrent des performances et des vitesses de connexion jusqu'à quatre fois supérieures à celles d'OpenVPN. Ils délivrent même de meilleures vitesses que les VPN basés sur IPsec sur le matériel identique. Cependant, les implémentations de WireGuard pour Android, iOS, macOS, OpenBSD et Windows sont écrites dans le langage de programmation Go ; elles restent fonctionnellement identiques. À l'exception de certains projets de microprogrammes Android, soutenus par la communauté et qui ont intégré le module du kernel développé par Donenfeld, les implémentations WireGuard non Linux fonctionnent dans l'espace utilisateur. Ils ne bénéficient également pas des mêmes performances que l'implémentation du noyau. Cela dit, elles parviennent toujours à égaler ou à dépasser OpenVPN dans une majorité des cas.
OpenVPN, la référence en matière de sécurité pour les protocoles VPN, recense 600 000 lignes de code alors que IPsec, un autre protocole standard de l'industrie, en compte quant à lui pas moins de 400 000. Wireguard ne compte que 4 000 lignes de code et n'a aucune dépendance qui vient alourdir le compte. C'est en partie cette légèreté qui lui a valu d'être intégré au noyau Linux. En outre, au-delà de pouvoir être relu facilement, celui-ci est moins gourmand en ressources et bien plus efficace dans son exécution. Les processeurs sont donc moins impactés par Wireguard que par les protocoles susmentionnés. Cela signifie également une plus grande autonomie de la batterie.
Dernier point qu'il reste à aborder, celui de la vitesse. Il s'agit sans nul doute de la carte maîtresse de WireGuard, sa vraie différence par rapport à ses concurrents. Dans un protocole de test détaillé ici, les résultats sont impressionnants. Le débit d'une connexion Wireguard est jusqu'à 4 fois supérieur à celui d'une connexion établie avec OpenVPN. Du côté du ping, on trouve des écarts du même ordre avec seulement 0,403 ms de temps de réponse chez WireGuard contre 1,541ms chez son concurrent !
Ce gain de vitesse concerne également les vitesses de connexion et de reconnexion. Ainsi, si vous utilisez un VPN sur votre téléphone portable, par exemple, et que vous passez des données mobiles au Wi-Fi, WireGuard devrait être suffisamment rapide dans la plupart des cas pour que vous ne remarquiez pas d'interruption de connexion.
Quand ProtonVPN adopte à son tour WireGuard
Vous l'aurez compris, WireGuard constitue un avantage de poids pour les utilisateurs. C'est donc tout naturellement que ProtonVPN, notre partenaire pour cet article, l'a intégré à la dernière version de son service VPN.
Les ingénieurs de l'éditeur ont même ajouté une couche logicielle supplémentaire pour garantir une confidentialité accrue. L'implémentation du protocole par ProtonVPN utilise en effet doubleNAT pour créer dynamiquement des sessions de connexion. Cela a pour effet de garantir le même niveau de confidentialité lors de l'utilisation de WireGuard qu'avec OpenVPN ou IKEv2. De plus, WireGuard fonctionne en conjonction avec VPN Accelerator, avec des petites optimisations au niveau du serveur. La marque promet ainsi des gains d'environ 400 % que nous avons pu éprouver dans notre récent test du service VPN.
- storage8633 serveurs
- language112 pays couverts
- lan10 connexions simultanées
- moodEssai gratuit 30 jours
- descriptionPas de log de données
Proton VPN constitue l'un des fournisseurs VPN qui a le plus évolué au cours des derniers mois. Affichant de l'une des plus belles interfaces du marché, Proton VPN intègre désormais un accélérateur de VPN qui augmente jusqu'à 400 % les vitesses de connexion. Réputé pour son haut niveau de sécurité et de confidentialité, ce service, qui s'adressait essentiellement aux journalistes et aux dissidents par le passé, possède aujourd'hui tous les atouts pour séduire le grand public.
- Le plus haut niveau de sécurité
- Interface moderne et intuitive
- Serveurs dédiés au streaming/P2P
- Protocole Stealth (fonctionne en Russie)
- Vitesse de connexion optimisée
- Pas de profils par usages spécifiques
- Pas de possibilité d'ajouter rapidement des serveurs en favoris
Tout savoir sur les VPN. Consultez nos autres définitions
- Onion over VPN : comment et pourquoi utiliser Tor en plus d'un VPN
- Qu'est-ce que le split tunneling et à quoi ça sert ?
- Quelles différences entre la navigation privée, TOR et un VPN ?
- Tout savoir sur votre adresse IP
- Qu'est-ce que le kill switch d'un VPN ?
- VPN ou proxy : quelles différences ?
- Protocoles et VPN : tout savoir et identifier celui qu'il vous faut
- Sécurité vs protection de la vie privée : les différences-clés
- Zoom sur les protocoles NordLynx et WireGuard