L’utilisation d’un VPN est une pratique de plus en plus courante. Cela s’explique facilement compte tenu de l’essor de la surveillance (de masse), des pirates et du suivi en ligne opéré par les agences de publicité. Sans oublier que le temps où les VPN n’étaient réservés qu’aux férus d’informatique est bien loin. Toutefois, pour tirer le meilleur parti de votre service VPN, il est important de choisir le protocole le mieux adapté à vos besoins. C’est pourquoi nous vous expliquerons dans cet article ce qu’est un protocole VPN, les différentes options existantes ainsi que leurs avantages et inconvénients respectifs.
Qu’est-ce qu’un protocole VPN ?
Un VPN, entre autres choses, chiffre votre trafic de données avant qu’il ne soit envoyé vers son ou ses serveurs. Le système responsable de ce chiffrement est généralement appelé protocole de chiffrement ou protocole VPN. La plupart des fournisseurs de VPN modernes proposent plusieurs protocoles de chiffrement. Il est très important de choisir avec soin votre protocole. Chacun présente en effet ses avantages et inconvénients. Les protocoles VPN les plus populaires sont les 6 suivants :
- OpenVPN avec un port UDP
- OpenVPN avec un port TCP
- PPTP
- IKEv2
- L2TP/IPSec
- Wireguard (ce protocole expérimental est encore en développement)
Il va sans dire que pour choisir le meilleur protocole VPN, il est important de connaître ce qui les distingue des uns des autres.
Différences entre les protocoles VPN les plus populaires
OpenVPN | PPTP | L2TP/IPSec | IKEV2 | Wireguard | |
---|---|---|---|---|---|
Général | Protocole VPN open source populaire offrant des fonctionnalités multiplateformes. | Protocole VPN assez basique. Il s’agit du premier protocole VPN à avoir été pris en charge par Windows. | Protocole tunnel exploitant le protocole IPSec pour la sécurité et le chiffrement. L2TP ne propose que des ports UDP (connus pour être plus rapides, mais moins fiables et sécurisés que les ports TCP). | Comme L2TP, IKEv2 est un protocole tunnel qui repose sur IPSec pour le chiffrement. Cependant, ce protocole est pris en charge par moins de périphériques et de systèmes. | Un nouveau protocole open source expérimental encore en développement qui est loué pour sa rapidité, son efficacité et sa base de code réduite. Ce dernier point facilite l’inspection et l’audit (l’évaluation) du protocole. |
Chiffrement | OpenVPN offre un chiffrement fort et de qualité qui exploite OpenSSL. Algorithmes utilisés : 3DES, AES, RC5, Blowfish. Chiffrement 128 bits avec clés 1024 bits. | PPTP exploite le protocole MPPE pour chiffrer les données. L’algorithme utilisé est le RSA RC4 avec une longueur de clé de 128 bits. | Exploite IPSec pour le chiffrement avec l’algorithme 3DES/AES, ainsi qu’une clé 256 bits. | Tout comme L2TP/IPSec, IKEv2 exploite IPSec pour le chiffrement. IKEv2 peut utiliser les algorithmes de chiffrement suivants : 3DES, AES, Blowfish, Camellia. | Wireguard utilise l’algorithme de chiffrement ChaCha20. Un audit de Wireguard réalisé en juin 2019 n’a révélé aucune faille de sécurité grave. Les auditeurs ont toutefois indiqué que la sécurité du protocole pouvait encore être améliorée. C’est certainement l’une des raisons pour lesquelles les développeurs du protocole n’ont pas encore publié de version stable. Il est important de souligner que Wireguard fait encore l’objet de nombreux développements et qu’il devrait dès lors être considéré comme un protocole expérimental. |
Ergonomie | Peut être installé via un logiciel distinct (non intégré dans les systèmes d’exploitation) et utilise des fichiers de configurations *.ovpn associés à un nom d’utilisateur et un mot de passe. Également intégré dans de nombreux logiciels (par exemple, les VPN les plus modernes). | Peut être directement installé dans votre système d’exploitation. De plus, PPTP est intégré à de nombreux logiciels (de nombreux fournisseurs VPN proposent ce protocole). | Peut être directement installé dans votre système d’exploitation. De plus, L2TP/IPSec est intégré à de nombreux logiciels (de nombreux fournisseurs VPN proposent ce protocole). | Peut être directement installé dans votre système d’exploitation. De plus, IKEV2 est intégré à de nombreux logiciels (de nombreux fournisseurs de VPN proposent ce protocole). | Wireguard étant en cours de développement, la majorité des fournisseurs VPN ne proposent pas (encore) ce protocole. Cependant, il est compatible avec la plupart des systèmes d’exploitation. |
Vitesse | Dépend de nombreuses variables différentes, telles que la rapidité de votre système et celle du ou des serveurs auxquels vous êtes connecté. OpenVPN avec un port UDP donne en général des vitesses plus élevées qu’avec un port TCP. | La vitesse dépend de nombreuses variables différentes, telles que la rapidité de votre système et celle du ou des serveurs auxquels vous êtes connecté. De manière générale, PPTP est connu pour être un protocole rapide, principalement en raison de son chiffrement relativement simple et de bas niveau (par rapport aux protocoles plus modernes). | La vitesse dépend de nombreuses variables différentes, telles que la rapidité de votre système et celle du ou des serveurs auxquels vous êtes connecté. Le protocole L2TP lui-même est très rapide (car il ne propose qu’un tunnel de communication, mais pas de chiffrement), mais l’ajout nécessaire d’IPSec pour la sécurité (principalement pour le chiffrement) rend L2TP/IPSec plus lent qu’OpenVPN. | À l’instar du protocole L2TP, IKEv2 utilise le port UDP 500, ce qui en fait un protocole assez rapide. Certaines sources prétendent même que IKEv2 est capable d’atteindre des vitesses plus élevées que OpenVPN. | Selon ses concepteurs, l’efficacité et la taille réduite du code associé au fait que Wireguard réside dans le noyau Linux devraient permettre d’atteindre des vitesses élevées. Ceci est également confirmé par les tests de performances disponibles sur le site internet de Wireguard. |
Stabilité et fiabilité | Offre une grande stabilité et fiabilité, quel que soit le type de réseau utilisé (WLAN, LAN, réseaux mobiles, etc.) Disposer d’une connexion stable avec OpenVPN ne nécessite généralement pas la configuration avancée et complexe qu’IKEv2 peut exiger. | PPTP, toutes proportions gardées, souffre de quelques problèmes de stabilité et de fiabilité. La plupart de ces problèmes peuvent être attribués à des problèmes de compatibilité. | Comparable à OpenVPN, mais dépend parfois de la stabilité du réseau. | IKEv2 est un protocole plus complexe qu’OpenVPN. C’est pourquoi il nécessite parfois une configuration plus avancée et plus complexe pour bien fonctionner. | Wireguard étant en cours de développement, il est difficile d’évaluer sa stabilité et sa fiabilité pour le moment. |
Confidentialité et sécurité | OpenVPN est connu pour contenir très peu de failles de sécurité, voire aucune. Vous souhaitez une confidentialité maximale et une protection VPN sans passer par une configuration avancée ? Si c’est le cas, OpenVPN sera dans la plupart des cas le protocole adapté. | Parmi les utilisateurs Windows, PPTP est connu pour avoir plusieurs failles de sécurité. | L2TP, lorsqu’il est combiné à IPSec, est connu pour être un protocole très sûr. Selon Edward Snowden, L2TP/IPSec a déjà été percé par la NSA (National Security Agency) | .Beaucoup considèrent que IKEv2 est aussi sûr que L2TP/IPSec, car ils utilisent le même protocole de chiffrement (IPSec). Malheureusement, des présentations de la NSA ayant fuité suggèrent que le protocole IKEv2 a également été percé dans le passé par des personnes malintentionnées. | Le principal avantage de Wireguard à cet égard réside dans le fait que sa base de code est relativement limitée (moins de 4000 lignes, tandis que OpenVPN et L2TP/IPSec en comptent plus de 100 000). Cela signifie que la surface d’attaque exploitable par les pirates est beaucoup plus restreinte. Cela facilite aussi la détection des failles de sécurité. |
Avantages | Offre des vitesses élevées et la meilleure sécurité parmi tous les protocoles VPN.
Capable de contourner la plupart des pare-feux, restrictions des réseaux et des FAI. |
Facile à configurer.
Généralement rapide. Compatible avec de nombreux appareils et systèmes |
Facile à configurer.
Capable de contourner les restrictions géographiques et celles mises en place par les FAI. |
Facile à configurer.
Bonnes vitesses. |
Base de code limitée (plus facile à auditer et offrant moins de surface d’attaque).
Selon les concepteurs et certaines critiques, il s’agit d’un protocole rapide et facile à utiliser. |
Inconvénients | L’installation nécessite parfois un logiciel distinct. | Le degré de stabilité et de fiabilité est très variable.
Pas aussi sûr et privé que les protocoles modernes (surtout par rapport à OpenVPN). Détection et blocage des utilisateurs de PPTP faciles pour les sites web, le gouvernement et les FAI. |
Relativement lent, il peut être bloqué par un pare-feu puisqu’il utilise un port souvent bloqué : UDP 500. | Souvent bloqué par des pare-feux (utilise le port UDP 500).
Compatible avec moins de systèmes et de logiciels qu’OpenVPN, L2TP/IPSec et PPTP |
Encore en développement. Il est donc difficile de tirer des conclusions définitives concernant la sécurité et la stabilité du protocole.
À ce jour, Wireguard semble être incompatible avec une politique d’absence de journaux (nous reviendrons sur ce point). |
Conclusion | Pour beaucoup, OpenVPN sera (à juste titre) le meilleur choix de protocole VPN. OpenVPN est rapide, stable et sûr. | Le protocole PPTP est généralement facile à configurer, mais moins stable et sécurisé que les protocoles modernes tels que OpenVPN et L2TP/IPSec. C’est pourquoi nous recommandons principalement d’utiliser PPTP lorsque d’autres protocoles ne fonctionnent pas ou s’avèrent trop difficiles à configurer. | L2TP/IPSec est souvent plus lent que OpenVPN et PPTP, mais peut parfois contourner les blocages que ces deux-là ne parviennent pas à contourner. Nous vous recommandons d’utiliser L2TP/IPSec comme alternative si OpenVPN ne répond pas à vos besoins spécifiques. | Selon plusieurs critiques, IKEv2 semble offrir le même niveau de sécurité que L2TP/IPSec, mais offre des vitesses plus élevées. Cependant, la vitesse d’IKEv2 dépend de nombreuses variables. Pour garantir une connexion stable et une bonne fiabilité, IKEv2 peut nécessiter une configuration complexe. C’est pourquoi, en particulier pour les débutants, nous ne recommandons ce protocole que si OpenVPN ne fonctionne pas. | Wireguard montre sans aucun doute beaucoup de potentiel. Cependant, le protocole est encore en développement. C’est pourquoi, à l’instar de ses développeurs et de nombreux fournisseurs de VPN, nous recommandons d’utiliser le protocole uniquement à des fins expérimentales ou lorsque la confidentialité et l’anonymat ne sont pas cruciaux. Cela peut être le cas pour contourner des blocages géographiques, par exemple. |
Nous allons maintenant passer en revue ces protocoles de manière un peu plus détaillée.
OpenVPN
OpenVPN (qui signifie réseau privé virtuel open source) est le protocole VPN le plus populaire en raison de son chiffrement puissant de haut niveau et de son code ouvert. OpenVPN est compatible avec tous les systèmes d’exploitation actuels, tels que Windows, macOS et Linux. Ce protocole est également compatible avec les systèmes d’exploitation mobiles, tels qu’Android et iOS.
Bien entendu, l’un des principaux objectifs d’un protocole VPN est de fournir un chiffrement de haut niveau des données. Dans ce domaine, OpenVPN répond à nos attentes. En effet, OpenVPN exploite un chiffrement 265 bits via OpenSSL. En outre, de nombreux services VPN (la plupart en fait) prennent en charge l’utilisation d’OpenVPN.
OpenVPN prend en charge l’utilisation de deux types de ports différents : TCP et UDP.
- OpenVPN-TCP est le protocole le plus utilisé et le plus fiable. L’utilisation d’un port TCP signifie que chaque « paquet de données » doit être approuvé par la partie destinataire, avant qu’un nouveau ne soit envoyé. Cela rend la connexion très fiable et sécurisée, mais plus lente.
- OpenVPN-UDP est considérablement plus rapide que OpenVPN-TCP. Tous les « paquets de données » sont envoyés sans approbation préalable du destinataire. Cela se traduit par une connexion VPN plus rapide, mais entraîne une perte de fiabilité et de stabilité.
Avantages et inconvénients d’OpenVPN
- + OpenVPN est très sûr
- + compatible avec de nombreux logiciels et pratiquement tous les fournisseurs VPN modernes
- + compatible avec pratiquement tous les systèmes d’exploitation
- + audité et testé de manière approfondie
- – nécessite parfois un logiciel distinct
Protocole PPTP VPN
Le protocole PPTP (Point-to-Point Tunneling Protocol) est l’un des protocoles VPN les plus anciens du marché. En fait, il s’agissait du premier protocole VPN pris en charge par Windows. La NSA a réussi à exploiter les failles de sécurité du protocole PPTP et si l’on ajoute à cela l’absence de chiffrement de haut niveau, on comprend pourquoi ce protocole n’est plus considéré comme sûr. Cependant, l’absence d’un chiffrement robuste en fait un protocole très rapide.
PPTP étant un protocole très ancien, il s’agit du protocole VPN offrant la meilleure compatibilité avec différents périphériques et systèmes. Cependant, les pare-feux qui tentent de bloquer les utilisateurs de VPN reconnaîtront généralement assez facilement les utilisateurs de PPTP. Ce protocole n’est donc pas le meilleur en matière de déblocage (et nous avons déjà vu que sa sécurité laisse aussi à désirer).
Avantages et inconvénients de PPTP
- + très rapide
- + simple et facile à utiliser
- + compatible avec pratiquement tous les systèmes d’exploitation
- – offre uniquement un chiffrement de bas niveau
- – facilement détecté et bloqué par les pare-feux
- – les pirates exploitent souvent les failles de sécurité de PPTP
L2TP/IPSec
Le protocole L2TP (Layer 2 Tunneling Protocol) est un protocole utilisé pour créer un « tunnel VPN » (par lequel votre trafic de données transite). Cependant, L2TP ne chiffre aucune donnée. C’est pourquoi, dans la quasi-totalité des cas, le protocole L2TP est associé au protocole IPSec, qui chiffre les données (et le fait très bien). C’est de là que vient le nom L2TP/IPSec.
IPSec signifie Internet Protocol Security (protocole de sécurité en ligne) et se charge du chiffrement de bout en bout des données au sein du tunnel L2TP. L’utilisation de la combinaison L2TP/IPSec en tant que protocole VPN est beaucoup plus sûre et offre une confidentialité accrue par rapport à PPTP. Comme tout protocole, L2TP/IPSec présente toutefois des inconvénients. Notamment le fait que certains pare-feux bloquent les utilisateurs de ce protocole, car il utilise le port UDP 500 qui est bloqué par certains sites web. En ce qui concerne la vitesse, le protocole L2TP seul est très rapide en raison de son absence de chiffrement. Cependant, l’ajout nécessaire d’IPSec peut ralentir un peu la connexion. Au final, OpenVPN est généralement plus rapide que L2TP/IPSec.
Avantages et inconvénients de L2TP/IPSec
- + meilleur chiffrement que PPTP
- + directement compatible avec de nombreux systèmes d’exploitation
- – plus lent qu’OpenVPN
- – selon Snowden, la NSA a déjà exploité les failles de sécurité du protocole L2TP/IPSec
- – ce protocole peut être bloqué par certains pare-feux
Protocole VPN IKEv2
IKEv2 signifie Internet Key Echange Version 2. Il s’agit donc du successeur de IKE. Lorsque vous utilisez IKEv2 comme protocole VPN, votre trafic de données est d’abord chiffré par le protocole IPSec, un tunnel VPN est ensuite créé et l’intégralité de vos données (chiffrées) transite par ce tunnel sécurisé. Tout comme L2TP/IPSec, IKEv2 utilise le port UDP 500. Cela signifie que certains pare-feux bloquent les utilisateurs de IKEv2. Grâce à son utilisation d’IPSec pour le chiffrement, IKEV2 est considéré par beaucoup comme aussi sûr que L2TP/IPSec. Il faut cependant noter que lorsqu’on utilise un mot de passe faible, IKEv2 reste très vulnérable aux pirates.
Avantages et inconvénients de IKEv2
- + IKEv2 est très rapide
- + chiffrement assez robuste
- + capable de restaurer les connexions perdues
- + facile et simple à utiliser
- – facilement bloqué par certains pare-feux
- – potentiellement percé par la NSA
- – non sécurisé lors de l’utilisation d’un mot de passe faible
- – pas aussi compatible que OpenVPN et L2TP/IPSec
Wireguard
Wireguard est protocole VPN récent et expérimental conçu par Jason A. Donenfeld. Ce protocole est encore en développement, mais plusieurs fournisseurs VPN le prennent déjà en charge. Sa base de code très limitée (environ 4 000 lignes) par rapport à ses concurrents est l’une de ses fiertés. Cette base de code plus réduite devrait rendre le protocole encore plus sûr et beaucoup plus facile et rapide à auditer (évaluer). En outre, elle devrait, en combinaison avec le code lui-même, créer un protocole VPN plus simple, plus rapide, performant et simple à utiliser. Cependant, étant donné que ce protocole fait encore l’objet de nombreux développements, ses concepteurs et les fournisseurs VPN recommandent de l’utiliser uniquement à des fins expérimentales pour le moment ou pour des tâches où la confidentialité n’est pas cruciale. De plus, la version actuelle de Wireguard n’est compatible qu’avec l’utilisation d’adresses IP statiques, il n’est donc pas compatible avec une politique d’absence de journaux.
Avantages et inconvénients de WireGuard
- + en théorie, et selon les tests de performance disponibles sur son site web, Wireguard est un protocole VPN très rapide
- + sa base de code limitée devrait faciliter l’audit du protocole
- – la plupart des fournisseurs de VPN ne le prennent pas encore en charge et donc ne le proposent pas
- – pour l’instant, Wireguard fournit uniquement des adresses IP statiques et n’est donc pas compatible avec une politique d’absence de journaux
Conclusion
Il va sans dire qu’il est très important de choisir le protocole VPN qui vous convient le mieux. Chaque protocole présente ses propres avantages et inconvénients. Dans la plupart des cas, OpenVPN reste le meilleur choix. PPTP est un protocole que nous ne recommandons pas d’utiliser en raison de son niveau de chiffrement relativement bas. Cependant, vous pouvez essayer ce protocole lorsque la confidentialité et la sécurité ne sont pas vos priorités, par exemple pour le déblocage de flux. Si OpenVPN n’est pas pris en charge ou ne fonctionne pas correctement, vous pouvez envisager d’utiliser L2TP/IPSec ou IKEv2.