WireGuard® est un protocole VPN rapide et moderne utilisant un chiffrement avancé. Il est plus simple et plus polyvalent qu’IPsec et OpenVPN, ce qui le rend adapté à un large éventail d’utilisations. En tant que dernier ajout à la liste des protocoles VPN, change-t-il ce qu’un VPN est capable de faire ? Quel impact cela a-t-il sur vous, en tant qu’utilisateur ? Voyons cela.
Sommaire
Qu’est-ce que WireGuard ?
WireGuard est un protocole VPN extrêmement rapide et sécurisé qui peut également être utilisé en tant que VPN autonome. En effet, il est considéré comme le protocole VPN le plus rapide disponible à l’heure actuelle, ce qui en fait une meilleure option qu’IPsec/IKEv2 ou OpenVPN lorsqu’il s’agit de vitesse et de performances.
WireGuard a été conçu en tant que protocole de tunnelisation allégé, comptant moins de 4 000 lignes de code, contre 100 000 pour OpenVPN, mais nous y reviendrons plus tard. Son code de base plus court rend WireGuard plus facile à utiliser, plus rapide et plus performant, avec une plus faible surface d’attaque.
WireGuard vise à remplacer IKEv2/IPSec et OpenVPN en tant que solution plus efficace pour les VPN. Celui-ci tente d’incorporer les meilleurs éléments utilisés par d’autres protocoles.
Qu’utilise WireGuard ?
Les parties actives et les éléments fondamentaux qui composent un logiciel sont généralement appelés primitives, ce qui signifie simplement des opérations.
Les protocoles et primitives utilisés par WireGuard sont :
- ChaCha20 pour le chiffrement symétrique, authentifié avec Poly1305, en utilisant la construction AEAD de RFC7539 ;
- Curve25519 pour l’ECDH ;
- BLAKE2s pour le hachage et le hachage à clé, décrits dans RFC7693 ;
- SipHash24 pour les clés hachables ;
- HKDF pour la dérivation de clé, comme décrit dans RFC5869.
Mini glossaire :
- ChaCha20 : un chiffrement de flux et une version raffinée de l’algorithme Salsa20 qui utilise une clé de 256 bits ;
- Poly1305-AES : un code d’authentification de message à clé secrète ;
- AEAD (Authenticated Encryption with Associated Data) : chiffrement authentifié avec données associées ;
- Curve25519 : une courbe elliptique utilisée en cryptographie à courbe elliptique (ECC) ;
- ECDH (Elliptic-curve Diffie–Hellman) : protocole d’accord de clé Diffie-Hellman à courbe elliptique ;
- Hachage : vérification que l’expéditeur des données est bien celui qu’il prétend être ;
- BLAKE2 : une fonction de hachage cryptographique ;
- SipHash24 : un chiffrement par bloc qui est un algorithme ARX (ajout-rotation-XOR) ;
- HKDF : fonction de dérivation de clé basée sur HMAC ;
- HMAC (Hash-Based Message Authentication Code) : code d’authentification de message basé sur le hachage.
WireGuard : avantages et inconvénients
Avantages | Inconvénients |
|---|---|
Il est léger : 4 000 lignes de code (contre 100 000 pour OpenVPN) facilitent le test et l’utilisation, notamment pour déceler ses faiblesses. | Il n'obscurcit pas : le protocole est sujet à une inspection approfondie des paquets et compte souvent sur le fournisseur de VPN pour disposer de serveurs obscurcis. |
Sa surface d’attaque est plus réduite : moins de lignes de code signifie moins d’endroits pour les failles de sécurité. | Il n’offre pas d’adresse IP dynamique : WireGuard utilise actuellement des adresses statiques partout, et ceux qui recherchent une configuration dynamique doivent envisager d’autres options (par exemple, des serveurs DNS). |
Il est rapide : WireGuard utilise des configurations prédéfinies et moins de ressources pour recevoir des données. Cela devrait lui permettre de fonctionner plus rapidement que les autres protocoles. | Il n’est pas utilisé par tous les VPN : si vous souhaitez utiliser ce protocole et préserver votre confidentialité, vous devrez faire appel à un fournisseur qui le prend en charge. |
Pour plus d’informations, veuillez consulter l’article de WireGuard sur les limitations connues du protocole.
Comment fonctionne le protocole WireGuard ?
WireGuard utilise une combinaison d’opérations cryptographiques avancées pour chiffrer les données échangées. Le protocole utilise une cryptographie de pointe appelée routage de clé de chiffrement (Cryptokey), qui fonctionne en associant des clés publiques à une liste d’adresses IP utilisées explicitement pour la tunnelisation.
Les clés publiques sont utilisées par les pairs pour s’authentifier mutuellement. La clé peut être transmise par n’importe quelle méthode en dehors du canal de communication principal, semblablement à la façon dont nous pourrions envoyer une clé publique Secure Shell (SSH) à un ami pour accéder à un serveur Shell.
Lors de l’utilisation de WireGuard, les configurations de sécurité entre votre client et le serveur sont prédéfinies. Cela le rend plus rapide, car vous n’avez pas besoin de vous connecter ou de vous reconnecter au serveur. Pour cette raison, WireGuard est non connecté.
Il vous suffit de disposer de votre clé et de celle du serveur. L’échange de clés dans le cadre du protocole WireGuard est basé sur NoiseIK (un seul échange de clés aller-retour). Les protocoles le font automatiquement en coulisse. Il vous suffit de choisir le serveur souhaité et l’application s’occupe du reste.
WireGuard et configuration manuelle
Le protocole WireGuard étant relativement nouveau sur le marché des VPN, tous les fournisseurs de VPN ne le proposent pas. Nous disposons de WireGuard et sommes très heureux de pouvoir vous le proposer. Par ailleurs, nous proposons une configuration par le biais d’une application ET une configuration manuelle.
La configuration manuelle de WireGuard est une excellente option pour tous ceux qui :
- Se trouvent dans un pays où l’utilisation des VPN est interdite ;
- Souhaitent utiliser leur VPN via un routeur ;
- Possèdent des appareils non compatibles avec notre application qui pourraient bénéficier d’un chiffrement ;
- Souhaitent protéger de nombreux appareils sans rencontrer de baisse de vitesse.
WireGuard est-il mieux qu’OpenVPN et IKEv2 ?
WireGuard est conçu pour être plus efficace qu’OpenVPN et IKEv2. Toutefois, cela ne signifie pas nécessairement qu’il sera plus performant que les autres protocoles VPN.
Étant donné que les utilisateurs adorent comparer les protocoles VPN, ils opposent souvent WireGuard à OpenVPN et IKEv2. Nous avons fait de même.
Avant de commencer, nous avons remarqué que certains utilisateurs souhaitent comparer l’utilisation de la batterie par les protocoles. Nous avons interrogé nos experts et ils nous ont répondu que la différence est si minime qu’il est pratiquement inutile de comparer.
WireGuard vs OpenVPN
WireGuard | OpenVPN | |
|---|---|---|
Vitesse | Plus rapide | Plus lent |
Fiabilité | Excellent, mais pas aussi fiable sur les réseaux instables | Bien, meilleur sur les réseaux instables |
Open source | Oui | Oui |
Accessibilité | Proposé par moins de fournisseurs de VPN | Proposé par la plupart des fournisseurs de VPN |
OpenVPN affirme que son protocole compte environ 70 000 lignes de code. Étant donné qu’OpenVPN est un service open source, il est facile de vérifier si cela est vrai en consultant le référentiel GitHub (un endroit où vous pouvez stocker votre code). Nous avons jeté un œil et calculé que leur code est composé de 112 000 lignes de code.
Deux raisons pour lesquelles les lignes de code sont importantes : 1) plus il y a de lignes de code, plus le risque d’erreur est grand, et 2) moins il vous faut de lignes de code pour obtenir le même résultat, mieux c’est.
Méthodologie : Nous avons téléchargé le code d’OpenVPN au format Zip depuis leur référentiel GitHub. Le fichier original comprend des lignes de documentation, des tests et d’autres fichiers. Il y a 112 000 lignes dans le code source.
WireGuard vs IKEv2
WireGuard | IKEv2 | |
|---|---|---|
Vitesse | Plus rapide | Plus lent, mais de peu |
Fiabilité | Meilleure fiabilité sur les réseaux instables | Pas aussi fiable |
Open source | Oui | Non |
Accessibilité | Proposé par moins de fournisseurs de VPN | Proposé par plus de fournisseurs de VPN |
Cependant, aussi pratiques que puissent être les tableaux ci-dessus, les comparaisons de protocoles ne sont pas extrêmement précises. En effet, les performances des protocoles VPN dépendent de trop de facteurs :
- La vitesse de votre connexion Internet ;
- La charge des serveurs VPN ;
- La prise en charge des VPN par votre appareil ;
- La distance entre vous et le serveur VPN.
En théorie, le protocole WireGuard fait certaines choses mieux qu’OpenVPN et IKEv2. Cela signifie-t-il qu’il fonctionnera mieux pour vous ? Il n’y a pas de réponse concrète à cela. Essayez chaque protocole et utilisez celui qui vous offre l’expérience la plus fluide.
WireGuard VPN est-il sûr ?
WireGuard est considéré comme l’un des protocoles VPN les plus sûrs et les plus sécurisés à l’heure actuelle. Une architecture de protocole simplifiée avec moins de code se traduit par moins de bugs et moins de failles de sécurité. WireGuard propose également une cryptographie plus rapide et plus sûre, appelée routage de clé de chiffrement (Cryptokey).
Comme les créateurs l’ont eux-mêmes indiqué, certains compromis se présentent sous la forme d’inquiétudes exprimées lors de la période d’engouement initial de WireGuard. Voyons-les de plus près :
- WireGuard Stocke les adresses IP (Internet Protocol) connectées ;
- WireGuard n’obscurcit pas la connexion de l’utilisateur ;
- WireGuard n’attribue pas d’adresses IP dynamiques.
Ces problèmes ne concernent pas la plupart des fournisseurs de services VPN, car ce sont eux qui configurent le protocole.
Chez Surfshark, nous ne stockons pas votre adresse IP connectée. Par ailleurs, nous attribuons des adresses IP dynamiques à tous nos utilisateurs et obscurcissons leur connexion pour plus de protection.
Donc, quels que soient les problèmes rencontrés par WireGuard en tant que protocole VPN, les fournisseurs peuvent les résoudre de leur côté.
Sur quelles plateformes peut-on utiliser WireGuard ?
En tant que version autonome, WireGuard est disponible sur de nombreuses plateformes différentes : Windows, macOS, Ubuntu, Android et iOS.
La liste complète des logiciels pouvant exécuter WireGuard ou l’intégrer : Debian, Fedora, Mageia, Arch, OpenSUSE/SLE, Slackware, Alpine, Gentoo, Exherbo, NixOS, Nix on Darwin, OpenWRT, Oracle Linux 8, Red Hat Enterprise Linux 8, CentOS 8, Oracle Linux 7, Red Hat Enterprise Linux 7 , CentOS 7, FreeBSD, OpenBSD, Termux, Void, Adélie Linux, Source Mage, Buildroot, EdgeOS, AstLinux, Milis ainsi que macOS Homebrew et MacPorts.
Retrouvez plus d’information concernant l’installation sur la page d’installation de WireGuard.
La prise en charge ou non de WireGuard en tant que protocole VPN dépend des appareils sur lesquels votre fournisseur le configure.
L’application Surfshark VPN prend actuellement en charge WireGuard sur les systèmes d’exploitation suivants : Windows, Android, macOS, iOS et Linux.
Essayez WireGuard à votre rythme
Dans l’ensemble, WireGuard est excellent : il est rapide, léger, sécurisé et facile à faire évoluer. Celui-ci ne fait que s’améliorer en tant que protocole VPN.
Si vous souhaitez le voir en action, essayez Surfshark. Nos services fonctionnent à merveille avec WireGuard !
WireGuard est une marque déposée de Jason A. Donenfeld
Questions fréquentes
WireGuard est-il un VPN ?
Étant donné qu’il est conçu comme un VPN à usage général, WireGuard peut être utilisé en tant que protocole (partie d’un VPN) et en tant que VPN, en particulier pour ceux qui souhaitent créer eux-mêmes un réseau privé en utilisant une cryptographie de pointe.
WireGuard est-il gratuit ?
Oui, WireGuard est gratuit et open source. Il a été conçu dans l’intention d’être implémenté et utilisé librement par les développeurs de VPN ou les passionnés de confidentialité férus de technologie.
WireGuard masque-t-il l’adresse IP ?
Pour ceux qui configurent leur propre VPN domestique avec WireGuard (serveur VPN WireGuard), celui-ci ne masque pas votre adresse IP : il affiche votre adresse IP publique et votre emplacement. WireGuard enregistre également les données utilisateur et attribue la même adresse IP à chaque fois.
Si vous souhaitez masquer votre adresse IP publique, acheminez votre trafic VPN WireGuard sortant via un autre VPN pour masquer votre adresse IP publique domestique. Pour clarifier, cela ne concerne pas les utilisateurs abonnés à un fournisseur de VPN haut de gamme.
WireGuard peut-il être piraté ?
Les services VPN peuvent être piratés, mais ceci est extrêmement difficile. Le protocole WireGuard associé au chiffrement AES ou ChaCha est presque impossible à déchiffrer en utilisant la technique de piratage la plus courante : les attaques par force brute.
Dans son état actuel, un pirate devrait passer des centaines d’années à essayer de cracker WireGuard pour avoir une chance d’y parvenir.
WireGuard est-il un bon protocole VPN ?
WireGuard est l’une des options de protocole VPN les plus sûres et les plus sécurisées à l’heure actuelle. WireGuard se démarque par une conception simplifiée, une cryptographie moderne et des paramètres de sécurité par défaut supérieurs.
Quel port WireGuard utilise-t-il ?
Le port par défaut utilisé par WireGuard est 51820. Si vous souhaitez utiliser des tunnels supplémentaires, vous devez utiliser un port différent. L’interface graphique utilisateur (GUI) suggérera automatiquement le prochain port disponible le plus élevé.
Surfshark fonctionne-t-il avec WireGuard ?
Oui ! Surfshark a implémenté WireGuard sur toutes les applications et plateformes.
Pourquoi WireGuard est-il important ?
WireGuard est plus simple à configurer, à débuguer et à déployer, grâce à moins de lignes de code, soit environ 4 000 lignes. D’autres protocoles comme IPSec et OpenVPN présentent des codes de base plus grands, ce qui peut constituer un risque de failles de sécurité cachées sous la plus grande surface d’attaque.
Il est conçu pour offrir le même niveau de sécurité (si ce n’est meilleur) avec moins de contraintes. WireGuard a été créé pour simplifier une architecture de protocole VPN complexe et peu efficace. Son objectif était de fournir un protocole VPN rationalisé et sécurisé qui surpasse ses concurrents.
