Ce que vous devez savoir sur les protocoles VPN ? OpenVPN, WireGuard & Co.

VPN protocol Articles

Vous êtes intéressé par les solutions VPN, mais vous ne savez pas grand-chose de termes comme IPSec, OpenVPN et WireGuard ? VPNheroes vous explique ce qu’il y a derrière !

De nombreux fournisseurs commerciaux de services VPN prennent généralement en charge plusieurs protocoles VPN pour sécuriser la communication entre l’ordinateur domestique et le serveur Internet. Les protocoles VPN sont au cœur d’un réseau privé virtuel (VPN) et permettent des connexions Internet sécurisées et anonymes.

La multitude de protocoles et de normes utilisés ne permet pas de s’y retrouver facilement. VPNheroes vous aide et vous présente les protocoles VPN les plus populaires.

Les meilleurs services VPN

NordVPN

ExpressVPN

Surfshark

Note VPN : 4,8

Note VPN : 4,5

Note VPN : 4,5

  • 3,99 $ / mois

  • Sécurité Premium

  • Vitesse 6730+ Mbps

  • Serveurs VPN 5400 et plus

  •  WireGuard

  • Nombre de dispositifs : 6

  • Remise: 51%

  • 6,76 $ / mois

  • Sécurité Premium

  • Vitesse 2220+ Mbps

  • Serveurs VPN 3000 et plus

  • OpenVPN

  • Nombre de dispositifs : 5

  • Remise: 49%

  • 2,49 $ / mois

  • Haute sécurité

  • Vitesse 58.46 Mbps

  • Serveurs VPN 3200 et plus

  • WireGuard

  • Nombre de dispositifs : Illimité

  • Remise: 82%

Qu’est-ce qu’un protocole VPN ?

Pour communiquer entre deux ordinateurs ou entre un client et un serveur, il est nécessaire de convenir d’un langage commun. Les commandes et les processus forment différents ensembles de règles, qui sont combinés dans un protocole. Le protocole constitue ainsi la base d’une conversation ordonnée entre votre PC domestique et, par exemple, un serveur Internet.

La particularité des protocoles VPN par rapport aux autres ensembles de règles est que le “langage VPN” fournit des outils supplémentaires pour crypter les données à l’aide de méthodes cryptographiques. Comme dans un tunnel, cela rend la communication mutuelle des participants invisible pour les personnes extérieures.

OpenVPN : la norme industrielle

OpenVPN est un logiciel gratuit utilisé par la plupart des fournisseurs de VPN et l’un des protocoles VPN les plus populaires. Il s’est imposé comme la norme de facto et convient à la plupart des cas d’utilisation.

En tant que projet open source, il bénéficie également de l’expertise d’une communauté de développeurs importante et, surtout, gratuite, qui vérifie en permanence que le code du programme, très étendu, ne présente pas de lacunes et améliore les performances. En outre, le processus est transparent et permet de faire vérifier les lignes de code par des tiers.

OpenVPN dans iOS

OpenVPN ios

OpenVPN dans Windows

OpenVPN Windows

Pour construire un réseau privé virtuel, OpenVPN utilise la bibliothèque OpenSSL, mais supporte également les connexions avec TLS. OpenVPN fonctionne avec différents algorithmes de cryptage, notamment 3DES, AES, RC5 et Blowfish.

Correctement mis en œuvre, OpenVPN offre un très haut niveau de sécurité et de stabilité dans différents réseaux, tels que le (W)LAN et le cellulaire. Pour le transport des données, OpenVPN utilise soit TCP soit UDP, ce qui garantit une transmission flexible des données. En outre, le protocole VPN fonctionne très bien avec les pare-feu.

Les méthodes d’authentification utilisées sont les mots de passe ou les certificats. En outre, OpenVPN est disponible sur de nombreuses plateformes et est pris en charge par tous les systèmes d’exploitation courants, notamment Windows, macOS, Linux, Unix, Android et iOS. Mais avant de pouvoir l’utiliser sur un système, des logiciels supplémentaires et d’autres configurations sont généralement nécessaires.

Pour

  • Très sécurisé
  • Source ouverte
  • Disponible sur de nombreuses plateformes et systèmes d’exploitation
  • Connexions stables
  • Compatible avec les pare-feu

Cons

  • Effort élevé pour le dépannage
  • Non utilisable “prêt à l’emploi

IKEv2/IPSec : Stabilité en mouvement

La première version d’Internet Key Exchange (IKEv1) a été co-développée par la société de télécommunications Cisco Systems, tandis que la version 2 (IKEv2) a été créée en coopération avec Microsoft. Détail intéressant : IKEv1 est basé en partie sur le protocole ISAKMP (Internet Security Association and Key Management Protocol), que l’Agence nationale de sécurité américaine (NSA) a également contribué à développer.

IKEv2 fait partie de la collection de protocoles IPSec et assure l’échange sécurisé des clés utilisées pour IPSec. IPSec (Internet Protocol Security) prend en charge un certain nombre d’algorithmes de chiffrement différents, notamment 3DES, AES, Blowfish et Camellia.

La configuration du système IKEv2/IPSec est complexe du côté du serveur et utilise un port UDP fixe pour la communication, ce qui entraîne souvent des conflits avec les pare-feu. IPSec fait partie du protocole Internet IPv4 et IPv6 et est généralement considéré comme un protocole VPN sûr et très rapide.

Cependant, il y a eu des allégations dans le passé selon lesquelles la NSA a craqué l’algorithme de cryptage sous-jacent dans le cadre du programme Bullrun.

Cela n’a toutefois jamais été confirmé par les experts et la vulnérabilité sous-jacente a depuis été corrigée. IKEv2 est très bien adapté aux connexions mobiles, car il se reconnecte automatiquement si vous perdez temporairement votre connexion Internet, par exemple en entrant dans un ascenseur ou en traversant un tunnel.

Pour

  • Très rapide
  • Disponible sur de nombreuses plateformes
  • Sécurisé
  • Connexions stables, solides en utilisation mobile

Cons

  • Configuration complexe du côté serveur
  • Le port UDP fixe entraîne des conflits avec le pare-feu

WireGuard : La lueur d’espoir

Parmi les protocoles VPN actuels, WireGuard est le représentant le plus jeune et aussi le plus prometteur du lot, mais il n’en est encore qu’à ses débuts selon son développeur. Le projet open source prétend fournir un protocole VPN particulièrement simple, sécurisé et, surtout, rapide.

La particularité de WireGuard est que le protocole fait partie du noyau Linux et a une taille de code très réduite. Les développeurs s’attendent à ce que cela offre des avantages significatifs en termes de maintenance et de dépannage du code du programme, ainsi que des vitesses de traitement nettement plus élevées. En outre, l’intégration de Linux est censée réduire sensiblement l’effort de calcul et donc les besoins énergétiques, ce qui est particulièrement intéressant pour les appareils mobiles.

WireGuard utilise un algorithme appelé ChaCha20 pour le cryptage des données. Bien que le protocole VPN ait été initialement développé pour Linux, il est également disponible pour d’autres plateformes, notamment Windows, macOS, Android et iOS. Malgré son statut de développement, WireGuard est déjà utilisé par certains fournisseurs commerciaux de VPN, notamment Hide.me, Mullvad VPN, NordVPN et Surfshark.

NordVPN contourne le problème des adresses IP statiques dans sa solution WireGuard avec un serveur NAT supplémentaire qui distribue des adresses IP dynamiques.

Pour l’instant, WireGuard est encore un chantier sur lequel on travaille assidûment. Néanmoins, vous pouvez déjà avoir une bonne idée de ce à quoi ressemblera le véhicule cryptographique au final.

Un problème pour le moment est l’anonymat comparativement plus faible, puisque WireGuard fonctionne avec des adresses IP fixes. L’avenir montrera dans quelle direction le nouveau venu se développera et comment il se comportera dans la pratique – et si les éloges anticipés sont finalement justifiés.

Pour

  • Très stable, même en cas de changement de réseau
  • Extrêmement rapide
  • Source ouverte
  • Fait partie du noyau Linux
  • Disponible pour de nombreuses plateformes

Cons

  • Premier stade de développement
  • L’anonymat n’est garanti qu’avec des solutions complémentaires

SoftEther VPN : thèse de maîtrise du Japon

SoftEther a été développé à l’Université japonaise de Tsukuba dans le cadre d’un mémoire de maîtrise par l’étudiant Daiyuu Nobori et est disponible en téléchargement gratuit depuis 2013. Le protocole VPN surmonte les pare-feu et est considéré comme immunisé contre ce qu’on appelle l’inspection approfondie des paquets (IAP), une technique également utilisée par les régimes autoritaires pour filtrer le trafic de données individuelles.

Les paquets de données qui passent par un tunnel VPN portent généralement le cachet VPN en grosses lettres. Bien que les données contenues dans le paquet restent protégées, les autorités gouvernementales et les fournisseurs d’accès à Internet peuvent facilement repérer et bloquer ces paquets VPN. C’est une pratique courante en Chine, en Iran et en Russie, par exemple, où le flux de données des services VPN est largement bloqué.

Le protocole fait partie du logiciel SoftEther VPN et, comme OpenVPN et WireGuard, est publié sous une licence open source. Le logiciel peut gérer plusieurs protocoles VPN et fonctionne sur diverses plateformes telles que Windows, macOS, Linux, FreeBSD et Solaris.

Il est installé en tant que logiciel client et serveur séparés et convient également aux utilisateurs qui souhaitent exploiter leur propre VPN. La solution japonaise est l’un des représentants les moins connus parmi les protocoles VPN. Actuellement, Hide.me est le seul fournisseur commercial de VPN qui utilise SoftEther.

Pour

  • Open Source
  • Surmonte les pare-feu
  • Disponible pour de nombreuses plateformes et polyvalent

Cons

  • Pas très répandu

Catapulte Hydra et Caméléon : Les brasseurs maison

Catapult Hydra, le nom sonne fringant et mystérieux à la fois et rappelle un peu l’organisation secrète des bandes dessinées Marvel. Le protocole VPN est un développement propriétaire de la société américaine de logiciels AnchorFree (aujourd’hui : Aura) et est utilisé entre autres dans Hotspot Shield, le service VPN du fabricant.

Catapult Hydra est basé sur le protocole de cryptage largement utilisé Transport Layer Security (TLS). Le fabricant promet une vitesse nettement accrue par rapport aux solutions VPN classiques basées sur TLS. Cependant, le fabricant est ostensiblement réticent à fournir des détails sur Catapult Hydra.

Un processus d’audit transparent, comme cela est courant avec les projets open source tels que OpenVPN et WireGuard, n’a pas lieu avec Catapult Hydra, qui est protégé par un brevet. Ainsi, le protocole VPN reste fermé aux personnes extérieures à des fins d’audit. Néanmoins, d’autres fournisseurs de VPN comme Kaspersky et Bitdefender utilisent également Catapult Hydra dans leurs produits.

Comme Catapult Hydra, Chameleon fait partie des protocoles VPN propriétaires et n’est actuellement utilisé que par un seul fabricant. Les développeurs de Golden Frog promettent pour leur service VPN VyprVPN que les données VPN identifiées par Deep Packet Inspection (DPI) ne pourront plus être bloquées.

Le protocole Caméléon, qui est basé sur OpenVPN, tente à ce stade de changer de forme et de s’adapter à son environnement en apparaissant aussi discret que les paquets non chiffrés dans le grand flux de données d’Internet. Toutefois, ces fonctions d’obscurcissement – avec d’autres techniques basées sur les proxy – sont également disponibles auprès d’autres fournisseurs de VPN tels que NordVPN, Surfshark et Hide.me.

Pour

  • Adaptation optimale au service
  • Vitesses rapides

Cons

  • Le code ne peut pas être vérifié pour les vulnérabilités

L2TP/IPSec, PPTP, SSTP : la vieille garde

Le protocole L2TP (Layer 2 Tunneling Protocol) est souvent combiné à IPSec pour le cryptage, car L2TP ne fournit pas sa propre procédure cryptographique pour le flux de données. Par conséquent, toutes les déclarations concernant la sécurité d’IPSec peuvent en principe être appliquées à L2TP.

L2TP/IPSec supporte de très bons algorithmes de cryptage avec 3DES et AES, mais n’est pas nécessairement l’un des représentants les plus rapides parmi les protocoles VPN. En outre, il se heurte souvent aux paramètres de sécurité du pare-feu, qui bloque le port UDP utilisé par L2TP/IPSec. Il est disponible sur de nombreuses plateformes, mais est soupçonné d’être compromis par l’agence de renseignement américaine NSA.

Le protocole PPTP (Point-to-Point Tunneling Protocol) a été utilisé pendant longtemps par Microsoft pour les VPN internes et a été le premier protocole VPN pris en charge par Windows, ce qui explique pourquoi il était très courant. En raison de graves failles de sécurité dans le protocole et de la vulnérabilité des méthodes de cryptage intégrées, il est désormais généralement déconseillé d’utiliser le PPTP comme protocole VPN.

Le Secure Socket Tunneling Protocol (SSTP) provient également de Microsoft et a été spécialement développé pour être utilisé dans des scénarios dits “end-to-site”. Dans ce cas, l’ordinateur d’un employé doit pouvoir accéder au réseau de l’entreprise depuis son domicile, protégé par un tunnel VPN.

Le SSTP s’appuie sur les méthodes cryptographiques disponibles dans TLS, telles que AES et ChaCha20, pour le cryptage. SSTP est considéré comme très sûr et permet aux clients d’accéder à un réseau derrière un pare-feu. Il ne souffre donc pas des problèmes typiques des autres protocoles VPN tels que IPSec et PPTP. Cependant, la spécialisation sur un seul scénario d’utilisation conduit également à une importance plutôt faible dans la compétition des protocoles VPN.

Protocoles VPN : également une question de confiance

Les services VPN, les protocoles et les méthodes de cryptage utilisés sont avant tout une question de confiance. Vous devez avoir confiance que le service fait exactement ce qu’il prétend faire, et vous devez vous appuyer sur le fait que les mesures de protection sont à la pointe de la technologie. Mais quel est le protocole VPN qui vous convient le mieux ?

Le protocole soumis à un processus d’audit continu et transparent, comme c’est souvent le cas pour les projets open source, est-il plus fiable ? Ou bien faites-vous confiance au protocole propriétaire d’un seul fabricant, qui a été adapté précisément au service VPN concerné, mais qui est en même temps développé, optimisé et contrôlé à l’abri des regards ? Si l’on considère la fiabilité pure, les solutions basées sur des sources ouvertes sont les meilleures en raison de leur niveau élevé de transparence.

Quel est le meilleur protocole VPN ?

Il n’est pas si facile de répondre à la question du meilleur protocole. En principe, un choix entre plusieurs protocoles est idéal, car cela donne à l’utilisateur plusieurs options en fonction du cas d’utilisation. OpenVPN offre le meilleur compromis entre stabilité, sécurité et vitesse et convient à de nombreux scénarios d’application. Il est suivi de près par WireGuard, qui a de bonnes perspectives d’avenir et qui se distingue par ses fonctions de sécurité sophistiquées et sa vitesse fulgurante.

De nombreux fournisseurs de VPN ont déjà comblé ce point faible avec des adresses IP statiques. Néanmoins, vous devez garder à l’esprit que WireGuard n’est pas encore tout à fait au point. IKEv2 est particulièrement adapté aux connexions mobiles, par exemple avec un smartphone. À long terme, cependant, WireGuard pourrait surpasser IKEv2, car l’un des points forts de WireGuard est sa protection contre les changements soudains de réseau, par exemple du WLAN au LTE.

David West
Évaluer l'auteur
VPN heroes