WireGuard est une technologie VPN (Virtual Private Network) moderne dotée d’une cryptographie de pointe.
Par rapport à d’autres solutions similaires, telles que IPsec et OpenVPN, WireGuard est :
- plus rapide
- plus facile à configurer
- plus performant
Il s’agit d’un réseau multi-plateforme qui peut fonctionner presque partout, y compris sous Linux, BSD, Windows, Android et MacOS.
Veuillez noter que dans le paysage de WireGuard, il n’y a pas de « serveur » ni de « client » au sens traditionnel du terme. Les ordinateurs et les appareils connectés entre eux sont appelés « pairs ».
| Avantages | Inconvénients |
|---|---|
| Simplicité | Relativement récent |
| Haute sécurité | Manque de tests à grande échelle |
| Connexion ultra-rapide | Conservation obligatoire des adresses IP (peut poser problème pour la confidentialité) |
| Performance optimisée | Configurations additionnelles nécessaires pour l’anonymat |
| Débit élevé | Problèmes de compatibilité avec certains systèmes |
| Faible surcharge | Soutien limité chez certains fournisseurs VPN |
| Compatible avec les appareils mobiles | Usage hybride nécessaire dans certains contextes |
Comment fonctionne WireGuard
- WireGuard fonctionne en créant une interface réseau sur chaque appareil pair qui agit comme un tunnel
- Les pairs s’authentifient mutuellement en échangeant et en validant des clés publiques
- Elles imitent le modèle SSH
- Les clés publiques sont mises en correspondance avec une liste d’adresses IP autorisées dans le tunnel
- Le trafic VPN est encapsulé dans l’UDP
L’installation d’un VPN
Si vous avez déjà mis en place un service VPN tel qu’OpenVPN, vous savez que l’installation peut devenir compliquée en raison de toutes les étapes à franchir :
- La génération de certification
- la délivrance de clés et de certificats
- la création de plusieurs fichiers de configuration
- la configuration de règles de pare-feu
- la mise en place de la redirection du trafic
L’installation de WireGuard
WireGuard change tout cela en simplifiant le processus de mise en place et de fonctionnement en un rien de temps et en permettant une configuration facile pour connecter plusieurs clients (pairs).
Pourquoi utiliser WireGuard ?
- Un VPN permet de vous protéger contre les attaques sur votre connexion
- Protéger votre vie privée contre les FAI qui fouillent dans votre trafic
- Contourner la censure d’internet dans certains pays
Avantages de WireGuard par rapport aux autres VPN
- Il est basé sur le noyau, d’où des performances améliorées
- Établit des connexions en moins de 100 ms
- Faible encombrement: peut être exécuté dans pratiquement n’importe quel appareil, même embarqué
- Facile à configurer et à déployer en tant que SSH
- Réduit la surface d’attaque puisqu’il y a moins de complexité
- Utilise des normes cryptographiques modernes et améliorées
- Prise en charge de l’itinérance IP: vous pouvez changer de réseau wifi ou vous déconnecter du wifi sans perdre la connexion au tunnel VPN
Facile à utiliser
Il suffit de spécifier sa propre adresse IP publique, l’IP publique de son homologue, les sous-réseaux que l’on souhaite mettre à disposition de chaque côté, et une clé pré-partagée. Après cela, le VPN est compatible avec tous les fournisseurs qui existent.
WireGuard plus rapide que les autres solutions VPN
Pour presque tous les cas d’utilisation, IPsec et WireGuard sont parfaitement adaptés. Le chiffrement symétrique que vous utilisez (AES ou ChaCha20 ou autre) n’est presque jamais pertinent, sauf sur les réseaux extrêmement rapides (bien au-delà de 10 Gbit/sec).
Les processeurs mobiles sont un peu plus lents que les processeurs de bureau et de serveur lorsqu’il s’agit de chiffrer. Sur les mobiles, il faut s’attendre à ce que la cryptographie symétrique prenne environ 1% du temps, et les réseaux lents 99% du temps.
Certaines plates-formes VPN non-IPsec et non-WireGuard acheminent leur trafic sur TCP. Transporter le trafic VPN sur TCP est une méthode excentrique qui peut entraîner des ralentissements et des retards par rapport au trafic en temps réel :
- comme la voix sur IP
- les appels vidéo
- et les ordinateurs de bureau distants
Mais ni IPsec ni WireGuard n’ont ce problème.
Lorsqu’il est configuré correctement, WireGuard est capable de fonctionner en toute sécurité en mode point à multipoint et de réduire la latence.
Une facilité de déploiement
Un autre avantage du protocole VPN WireGuard par rapport aux autres protocoles est sa facilité de déploiement car il y a extrêmement peu de lignes de code impliquées.
Pour vous donner une idée, OpenVPN fonctionne avec 400 000 lignes de code alors que WireGuard VPN n’en a que 4 000 !
Par exemple, un ordinateur portable équipé de WireGuard peut avoir des connexions ouvertes simultanément vers 3 centres de données, au lieu d’un seul centre de données possédant ensuite plusieurs tunnels.
Rapidité de WireGuard
Les inconvénients de WireGuard
Les choses semblent assez prometteuses, sans aucun doute. Cependant, il y a quelques inconvénients de WireGuard dont vous devez être conscient :
Pas d’obfuscation par défaut
Parce que son objectif est de fournir un tunnelage VPN le plus simplement et efficacement possible, WireGuard laisse les portes ouvertes à l’obfuscation sur une couche supérieure.
Cela permet aux utilisateurs qui veulent construire un VPN et aux fournisseurs de VPN de le configurer de la manière qu’ils préfèrent. Malheureusement, cela signifie également que sans dissimulation du tunnel VPN, vous aurez probablement du mal à passer le DPI (Deep Packet Inspection) et ne pourrez donc pas contourner les blocages VPN sur les principaux services de streaming et en Chine.
Sujet à la perte de paquets de données
Ce n’est pas la faute de WireGuard mais plutôt celle de l’UDP (User Datagram Protocol).
Bien que considérablement plus rapide que TCP, il ne vérifie pas si les paquets de données sont arrivés à destination.
WireGuard l’a voulu ainsi ; ses concepteurs ont remarqué que le tunnelage TCP sur TCP réduit les performances du réseau. Au lieu de cela, ils utilisent une fenêtre glissante qui compte le plus grand compteur reçu et enregistrent les 2000 dernières valeurs.
Ils suggèrent également d’utiliser un logiciel tiers pour tunneliser les paquets UDP dans une connexion TCP si nécessaire. Les fournisseurs de VPN font de même, à moins qu’ils n’aient une solution personnalisée à la perte de paquets de données.
Certains problèmes de confidentialité
Les problèmes de sécurité ne s’appliquent qu’à la version non modifiée du protocole.
Chaque fournisseur de VPN a sa solution, exactement ce que le développeur de WireGuard a prédit.
Par exemple, NordVPN utilise un double système NAT dans son protocole VPN interne basé sur WireGuard, NordLynx. Il fournit la même adresse IP à chaque utilisateur, mais dès que le tunnelage est réalisé, chaque tunnel obtient une adresse IP unique.
- De cette façon, NordVPN n’a pas besoin de stocker les journaux
- délègue les adresses IP de façon dynamique
- met en œuvre le tunnelage TCP si nécessaire
- et prend en charge le PFC (Perfect Forward Secrecy)
⇒ Prix de NordVPN : En savoir plus
Tableau comparatif entre WireGuard et OpenVpn
Fonction | OpenVpn | WireGuard |
Origines | OpenVPN est à la fois un protocole VPN et le code nécessaire pour mettre en œuvre ce protocole. Il s’agit d’un logiciel libre développé par James Yonan, et publié sous la licence publique générale GNU (GPL). Publié initialement en 2001, il est devenu le protocole VPN le plus utilisé grâce à sa flexibilité, sa fiabilité et sa capacité à traverser les pare-feu. | WireGuard est une nouvelle approche d’un protocole VPN qui est censé être meilleur que les options actuelles comme IPSec et OpenVPN. Ce processur serait plus simple et plus léger. Alors que le code d’OpenVPN compte des centaines de milliers de lignes, le code de WireGuard en compte actuellement environ 4 000. Ceci, combiné à l’utilisation d’une cryptographie de pointe, génère des résultats qui enthousiasment de nombreuses personnes. |
Vitesse | La vitesse la plus rapide a été atteinte avec un serveur NordVPN à Seattle utilisant le protocole WireGuard (NordLynx) Cela fait officiellement du NordVPN le VPN le plus rapide que nous ayons testé. En moyenne, WireGuard est environ 58% plus rapide qu’OpenVPN. | L’amélioration des performances de WireGuard par rapport à OpenVPN est plus importante avec des serveurs à proximité (faible latence) qu’avec des serveurs à longue distance (forte latence). Dans les tests de vitesse, WireGuard offre normalement de bien meilleures performances qu’OpenVPN. |
Chiffrement | La philosophie de WireGuard est très différente de celle d’OpenVPN en ce qui concerne les algorithmes cryptographiques. Alors qu’OpenVPN est flexible en ce qui concerne les algorithmes qu’il utilise, chaque version de WireGuard utilise un ensemble fixe d’algorithmes. OpenVPN utilise des certificats pour l’identification et le chiffrement. WireGuard utilise le chiffrement à clé publique pour ces tâches. | OpenVPN est très flexible, mais augmente considérablement la complexité du code. La complexité d’OpenVPN peut ralentir son exécution, ce qui est l’une des principales raisons pour lesquelles les gens se tournent vers WireGuard comme remplacement possible. Selon votre point de vue, cela peut aller dans un sens ou dans l’autre.
WireGuard est moins complexe et présente une surface d’attaque plus petite. Mais si un problème est découvert dans l’un des chiffrements ou protocoles utilisés dans sa version, tous les terminaux seront obligés de passer à une nouvelle version de WireGuard. |
Sécurité | WireGuard est très sûr. Il utilise un chiffrement et des algorithmes sécurisés plus rapides et à la pointe de la technologie. Sa petite base de code facilite l’audit tout en offrant une surface d’attaque plus petite à quiconque tente de le pirater. A mesure que WireGuard se développe, ses algorithmes de chiffrement et sa base de code minimale le rendent d’autant plus attrayant. | OpenVPN ne présente aucune faille de sécurité connue. Le code a été audité à de nombreuses reprises et bénéficie du soutien de nombreux experts en sécurité. Il n’y a aucune faille de sécurité connue pour aucun des deux protocoles. Si la sécurité est votre première priorité, l’option conservatrice est OpenVPN. Il existe depuis bien plus longtemps que WireGuard, a été soumis à davantage d’audits de sécurité et a un historique bien plus long que WireGuard. |
Le code | WireGuard a été conçu en tenant compte du système d’exploitation Linux. Plus précisément, il a été intégré au noyau Linux. Il y avait plusieurs raisons d’inclure WireGuard dans le noyau Linux :
La présence de WireGuard dans le noyau Linux est l’une des principales raisons de ses performances supérieures par rapport à OpenVPN et aux autres protocoles qui s’exécutent dans l’espace utilisateur du système d’exploitation, avec son surcroît de travail. | OpenVPN est auditable. Mais avec des centaines de milliers de lignes de code, réaliser un audit nécessite une équipe d’experts et beaucoup de temps. WireGuard est également open source et vérifiable. Mais avec environ 4000 lignes de code, il se prête beaucoup mieux à un audit. |
Vie Privée | WireGuard a été conçu pour la rapidité et la sécurité. Il n’a pas été conçu spécifiquement pour des personnes qui se tournent vers leur service VPN pour la sécurité et la vie privée. Cependant, afin de donner aux utilisateurs les avantages de WireGuard, les services VPN ont mis au point des solutions qui ajoutent de solides protections de la vie privée sans sacrifier ce qui fait la spécificité de WireGuard. Voici le problème : WireGuard stocke les adresses IP des utilisateurs sur le serveur VPN. Dans le cadre de son algorithme de routage par crypto-clef, WireGuard cartographie les clefs publiques et les adresses IP (protocole Internet) autorisées. Par défaut, les adresses IP des utilisateurs restent stockées sur le serveur VPN jusqu’à ce que le serveur soit redémarré. C’est incompatible avec le concept d’un VPN sans enregistrement. Cette adresse IP statique pourrait également être exposée par une fuite du WebRTC. Comment résoudre le problème de confidentialité de WireGuard ? Les services VPN ont trouvé plusieurs solutions à ce problème de confidentialité NordVPN a développé un système double-NAT pour l’implémentation de WireGuard, qu’il appelle NordLynx. Le système de double NAT permet d’établir une connexion VPN sécurisée sans stocker de données identifiables sur un serveur. | C’est un domaine dans lequel OpenVPN a un avantage certain. La conception par défaut de WireGuard exige que les adresses IP des utilisateurs restent sur le serveur VPN pendant de longues périodes. Si la protection de la vie privée est une préoccupation majeure, nous vous recommandons de n’utiliser que des solutions qui répondent à ce problème potentiel. |
NordVpn adopte WireGuard
NordVPN, l’une des plus grandes sociétés de fournisseurs de services VPN au monde, a déployé au mois d’avril 2020 une nouvelle technologie basée sur le protocole VPN WireGuard.
Cette nouvelle technologie, baptisée NordLynx, s’appuie sur le protocole VPN WireGuard, dont on vient de dire qu’il offrait une vitesse supérieure à celle d’autres protocoles contemporains comme OpenVPN ou IPSec.
➜ NordLynx rend le service VPN de NordVpn 2 fois plus rapide qu’auparavant
NordVPN a effectué 256 886 tests de vitesse et a découvert que lorsqu’un utilisateur se connecte à un serveur VPN proche et télécharge du contenu qui est servi par un réseau de distribution de contenu (CDN) dans un rayon de quelques milliers de kilomètres, il peut s’attendre à une vitesse de téléchargement en amont et en aval jusqu’à deux fois plus élevée.
En plus de la vitesse, NordVPN a également ajouté son double système de traduction d’adresses réseau (NAT) pour renforcer la confidentialité des utilisateurs. Ce système garantit qu’aucune donnée personnelle de l’utilisateur n’est stockée sur les serveurs du VPN.
La technologie NordLynx a été déployée sur tous les produits VPN proposés sur différentes plateformes, notamment Windows, iOS, Android et Linux.
→ Ici notre test de NordVPN sur le blog |
WireGuard / NordLynx
NordVPN a choisi de ne pas utiliser la version vanille de WireGuard, et a plutôt lancé sa propre version, appelée NordLynx.
NordVPN a choisi cette solution parce qu’il était préoccupé par la façon dont WireGuard attribue les adresses IP aux utilisateurs, qui oblige à stocker les données des utilisateurs sur les serveurs de l’entreprise. Cela irait à l’encontre de la politique de NordVPN en matière de respect de la vie privée.
➜ NordVPN a donc créé ce qu’il appelle un système de « double NAT » .
Ceci pour établir une connexion VPN sécurisée sans stocker sur ses serveurs aucune donnée d’utilisateur identifiable.
Le système de double NAT crée deux interfaces de réseau local pour chaque utilisateur.
- La première interface attribue la même adresse IP locale à tous les utilisateurs connectés à un serveur.
- Une fois que le tunnel VPN sécurisé est établi, la deuxième interface réseau avec un système NAT dynamique entre en action.
Les adresses IP locales dynamiques ne restent attribuées que tant que la session est active et permettent de ne pas stocker de données identifiables sur le serveur.
Comment utiliser WireGuard sur NordVPN
- Pour utiliser NordLynx, ouvrez l’application
- Cliquez sur Paramètres
- Sélectionnez Wireguard dans les options du protocole
- NordLynx apparaît en tant qu’option
OpenVPN reste le protocole par défaut dans NordVPN si vous optez pour la sélection « automatique » du protocole.
Vitesses de téléchargement par protocole
[/su_panel][/su_shadow]
Comparaison des Protocoles VPN : WireGuard, IPSec et OpenVPN
Voici une analyse claire et concise des principaux protocoles VPN (WireGuard, IPSec, OpenVPN), incluant leurs configurations, débits et temps de latence.
| Protocole | Configuration |
|---|---|
| WireGuard | 256-bit ChaCha20, 128-bit Poly1305 |
| IPSec #1 | 256-bit ChaCha20, 128-bit Poly1305 |
| IPSec #2 | 256-bit AES, 128-bit GCM |
| OpenVPN | 256-bit AES, HMAC-SHA2-256, UDP mode |
| Protocole | Débit (Mbps) | Temps de Ping (ms) |
|---|---|---|
| WireGuard | 1,011 | 0.403 |
| IPSec #1 | 825 | 0.501 |
| IPSec #2 | 881 | 0.508 |
| OpenVPN | 258 | 1.541 |
⇒ OpenVPN, c’est quoi ?
Conclusion
- WireGuard est un logiciel libre
- Il peut fonctionner dans une machine virtuelle purement logicielle (ce qui évite les blocages matériels et les goulots d’étranglement)
- Il ne prend en charge qu’une seule suite de chiffrement connue pour être très rapide et très sûre
- Il fonctionne avec le mécanisme d’échange de clés que vous souhaitez superposer
WireGuard est né d’une approche révolutionnaire des réseaux privés virtuels (VPN), dont le développement a débuté en 2016. Le protocole vise à réduire les complexités et les vulnérabilités potentielles en matière de sécurité inhérentes aux bases de code étendues et aux multiples options de configuration de ses prédécesseurs.
L’architecture du protocole se caractérise par une base de code réduite et facilement auditable, ce qui contraste avec les dizaines de milliers de lignes de code que l’on trouve dans les protocoles VPN traditionnels. La conception minimaliste a été choisie pour garantir une plus grande sécurité et une maintenance plus simple. Il met l’accent sur un ensemble fixe de primitives cryptographiques modernes afin d’éviter les risques associés aux méthodes de chiffrement flexibles, ce qui améliore à la fois sa position en matière de sécurité et ses capacités de performance.
Tu as testé d’autres protocoles ? si oui lesquels
Merci de ta participation.
WireGuard est une avancée significative dans le monde de la technologie VPN. Sa combinaison de simplicité, de sécurité et d’efficacité en fait un choix convaincant pour les individus et les organisations qui recherchent une communication sécurisée et privée sur internet.
WireGuard est conçu pour être très efficace. Sa base de code légère lui permet d’atteindre des vitesses remarquables, ce qui en fait un excellent choix pour les applications serveur et mobile. De même, WireGuard est optimisé pour les handshakes rapides, ce qui réduit la latence.
Alors que le paysage numérique continue d’évoluer, WireGuard se distingue comme une solution robuste et pérenne pour protéger les interactions internet. Que vous soyez un professionnel de l’informatique expérimenté ou un utilisateur occasionnel à la recherche d’une solution VPN fiable, WireGuard vaut certainement la peine d’être considéré.
Contrairement à certains protocoles VPN traditionnels, WireGuard est basé sur un concept de « cryptokey routing ». Cela signifie que les itinéraires peuvent être mis à jour dynamiquement en changeant simplement les clés cryptographiques, ce qui facilite la gestion de configurations réseau complexes.