WireGuard, bien sûr. Ou peut-être Lightway. NordLynx ? Ah non, c’est OpenVPN…
Si vous explorez les sites web de nombreux fournisseurs de VPN, vous serez certainement confronté à une abondance de discours vantant la compatibilité avec tel ou tel protocole VPN.
La question essentielle demeure : lequel privilégier ? Les explications à ce sujet sont souvent sommaires.
C’est en partie parce qu’il n’existe pas de solution unique, un protocole universellement optimal. Votre choix idéal est conditionné par divers facteurs, allant de la nature de votre appareil et de la configuration de votre réseau à vos impératifs de sécurité et à l’utilisation que vous souhaitez en faire.
Heureusement, une compréhension de ces enjeux ne requiert pas une expertise technique de niveau expert. Nous allons donc examiner les protocoles VPN les plus courants, en détaillant leurs avantages et leurs inconvénients, afin de vous donner les informations nécessaires pour effectuer des choix éclairés.
WireGuard
WireGuard, bien que relativement récent dans l’univers des VPN, a su s’imposer avec force.
Ce protocole privilégie la simplicité, en éliminant la complexité fonctionnelle d’OpenVPN au profit d’une conception allégée et minimaliste (nous y reviendrons).
La plupart des utilisateurs ne percevront pas de différences majeures en termes de fonctionnalités. Une connexion via OpenVPN peut utiliser des algorithmes de cryptage tels qu’AES, Camellia, ChaCha20, Poly1305 ou GOST 28147-89, tandis que WireGuard se limitera à ChaCha20. Cependant, étant donné son niveau de sécurité élevé, cela ne devrait pas poser de problème.
Le passage à WireGuard se traduit généralement par des améliorations notables en termes de performance. Les temps de connexion sont souvent réduits à quelques secondes (contre 10 à 20 secondes avec d’autres protocoles), et lors de tests récents, les vitesses de téléchargement obtenues avec WireGuard étaient au moins deux fois supérieures à celles observées avec OpenVPN. Les meilleurs VPN du marché intègrent désormais WireGuard (ou des versions propriétaires basées sur ce dernier).
Cependant, il existe quelques inconvénients. WireGuard est moins adaptable qu’OpenVPN et peut rencontrer des difficultés pour contourner les pare-feu ou se connecter dans des pays appliquant une censure internet, comme la Chine.
De plus, son support n’est pas encore aussi répandu chez les fournisseurs de VPN ou sur divers appareils. Un routeur prenant en charge un VPN sera plus susceptible de proposer OpenVPN. Bien que l’installation d’OpenWRT puisse permettre l’utilisation de WireGuard, cela représente un sujet à part entière.
Néanmoins, WireGuard offre un niveau de sécurité élevé, associé à d’excellentes performances de vitesse. Il constitue un excellent choix de protocole à tester en priorité.
Protocole OpenVPN
OpenVPN, créé il y a une vingtaine d’années, reste une référence sur le marché grâce à sa combinaison de fonctionnalités, de sécurité et de rapidité.
Sa flexibilité est un atout majeur. Lorsqu’une application VPN se connecte via OpenVPN, elle dispose d’un large éventail d’options. Le choix entre les protocoles UDP ou TCP, le port utilisé, les méthodes d’authentification du serveur ou les algorithmes de cryptage ne sont que quelques exemples.
Cette richesse fonctionnelle se traduit par un code plus complexe qu’avec d’autres protocoles. Cependant, le caractère open source d’OpenVPN permet à chacun d’examiner le code, de vérifier son bon fonctionnement, de contribuer à la correction de bugs ou de suggérer des améliorations.
Cette complexité a un impact sur la performance. OpenVPN ajoute une charge supplémentaire au trafic VPN, et peut mettre de 10 à 20 secondes pour établir une connexion, là où IKEv2, WireGuard et d’autres protocoles modernes ne nécessitent que quelques secondes. Lors de nos récents tests de vitesse, OpenVPN atteignait généralement 200 à 400 Mbps, tandis que WireGuard atteignait 450 à 900 Mbps.
Ces différences de vitesse n’auront pas d’incidence pour tous les utilisateurs (combien ont besoin de plus de 200 Mbps sur un réseau Wi-Fi public ?). OpenVPN reste un excellent choix pour la plupart des utilisateurs. Il est flexible, sécurisé, offre des fonctionnalités pour contourner certains pare-feu et affiche une vitesse suffisante pour la majorité des utilisations.
Cependant, si vous privilégiez des connexions rapides, moins de latence sur les appareils mobiles lors des changements de réseau, ou les vitesses de téléchargement maximales, il est préférable de considérer WireGuard ou un autre protocole moderne.
L2TP/IPsec
Le protocole L2TP (Layer 2 Tunneling Protocol)/IPsec (Internet Protocol Security), souvent abrégé L2TP ou IPsec, est un protocole VPN développé par Microsoft et supporté sur de nombreuses autres plateformes et appareils.
Il n’offre pas autant de fonctionnalités qu’OpenVPN, mais elles sont suffisantes pour assurer le service. L2TP ne peut rivaliser avec OpenVPN en termes de choix d’algorithmes de cryptage. Cependant, lors de l’utilisation d’AES, le protocole assure un niveau de sécurité comparable aux autres solutions.
À l’instar du protocole IKEv2 de Microsoft, L2TP n’est pas conçu pour contourner les pare-feu. Son utilisation des ports UDP 500 et 4500 le rend relativement facile à bloquer.
Une autre préoccupation est apparue en 2013, suite aux révélations d’Edward Snowden qui suggéraient que la sécurité d’IPsec avait été compromise par la NSA. Si cette faille existait il y a une dizaine d’années, il est fort probable que d’autres ont découvert comment l’exploiter.
Ces considérations restent théoriques, et dans la pratique, L2TP/IPsec est facile à configurer et assure un niveau de sécurité suffisant pour des utilisations courantes sur un réseau Wi-Fi public.
Cependant, ce ne serait pas notre premier choix et nous recommanderions plutôt WireGuard, OpenVPN ou le protocole personnalisé d’un fournisseur.
IKEv2
IKEv2 est l’appellation courante du protocole IKEv2/IPsec, ou Internet Key Exchange version 2 / Internet Protocol Security.
Conçu par Microsoft et Cisco, IKEv2 existe depuis 2005. Cette ancienneté ne doit pas vous décourager. Cette technologie a su éviter les erreurs de protocoles plus anciens, tels que PPTP, et est toujours considérée comme très sûre. Sa maturité lui assure un support étendu, aussi bien sur les ordinateurs de bureau que sur les applications VPN mobiles.
IKEv2 affiche de bons résultats en termes de temps de connexion lors de nos tests, et se montre souvent opérationnel en moins de deux secondes. Par comparaison, une connexion OpenVPN peut nécessiter de 10 à 20 secondes pour être établie. Ces différences peuvent être significatives pour les utilisateurs qui activent et désactivent fréquemment leur VPN, par exemple pour consulter leurs e-mails.
Les vitesses de téléchargement sont acceptables et peuvent dans certains cas surpasser celles d’OpenVPN, mais restent inférieures à WireGuard. Lors de nos récents tests, IKEv2 a atteint une vitesse maximale de 290 Mbps, tandis que WireGuard a culminé à 900 Mbps.
Dans l’ensemble, IKEv2 ne brille pas dans un domaine particulier. Il ne propose pas la flexibilité d’OpenVPN, et ne peut rivaliser avec la vitesse de WireGuard. Cependant, si ces deux protocoles ne sont pas adaptés à votre situation, IKEv2 reste un choix fiable, capable d’assurer la sécurité de votre trafic et une vitesse suffisante pour la plupart des utilisations.
SSTP
Le protocole SSTP (Secure Socket Tunneling Protocol) est une technologie Microsoft intégrée à Windows.
SSTP fonctionne de manière similaire à OpenVPN, en utilisant SSL (et éventuellement TCP et le port 443) pour éviter la détection et établir des connexions dans des environnements hostiles aux VPN.
Le principal inconvénient est que SSTP est une norme propriétaire de Microsoft. Contrairement à OpenVPN, WireGuard et d’autres protocoles, son code source n’est pas accessible, ce qui rend impossible la vérification de son fonctionnement. Étant un produit Microsoft, le support SSTP est limité à certaines plateformes et applications VPN.
De manière générale, SSTP semble offrir une sécurité élevée. Il peut être utile pour établir manuellement une connexion VPN sur un système Windows sans avoir à installer d’applications tierces.
Cependant, si vous utilisez l’application de votre fournisseur, nous vous recommandons de privilégier OpenVPN (si disponible) par rapport à SSTP.
PPTP
Apparu dans les années 1990, PPTP (Point-To-Point Tunneling Protocol) est l’un des plus anciens protocoles VPN.
Son principal avantage est sa simplicité, avec peu de charge de traitement, ce qui le rend très rapide. Il fonctionne également bien sur les anciens appareils, qui n’ont pas forcément la puissance nécessaire pour exécuter des protocoles plus récents.
Cependant, plusieurs faiblesses ont été découvertes au fil des ans, et Microsoft recommandait déjà aux utilisateurs de passer à d’autres protocoles dès 2012.
La plupart des fournisseurs de VPN ont abandonné le support de PPTP, ce qui est justifié. Ce protocole n’est pas sûr et il est préférable de l’éviter.
Si votre fournisseur propose toujours PPTP, il peut être utile dans des situations où la sécurité n’est pas une priorité (pour débloquer un site web spécifique, par exemple). Cependant, ne l’utilisez qu’en dernier recours et assurez-vous de passer à un protocole plus sûr avant d’effectuer des opérations sensibles.
Protocoles Propriétaires
Certains des principaux fournisseurs de VPN ont choisi de ne pas se limiter aux protocoles standard et ont développé leurs propres technologies innovantes.
ExpressVPN propose Lightway ; NordVPN a développé NordLynx ; Hotspot Shield utilise Catapult Hydra et VyprVPN propose son protocole Chameleon.
Le développement de protocoles propriétaires est un signe positif, témoignant des ressources, de l’expertise technique et des efforts déployés par ces entreprises pour améliorer la qualité de service.
Cependant, il existe aussi des inconvénients. OpenVPN, WireGuard et Lightway d’ExpressVPN sont open source, permettant à quiconque de vérifier leur code. La plupart des protocoles propriétaires sont à source fermée, ce qui nécessite une confiance aveugle envers le fournisseur.
Toutefois, l’analyse des spécifications techniques et nos propres tests montrent que ces protocoles sont très sécurisés et permettent d’atteindre des vitesses élevées. NordVPN a par exemple atteint 880 Mbps lors de nos derniers tests.
Certains protocoles personnalisés sont conçus pour des utilisations spécifiques. Le protocole Chameleon de VyprVPN peut être efficace pour contourner les blocages en Chine, mais WireGuard offre de meilleures performances pour un usage courant.
Les protocoles Lightway, NordLynx et Catapult Hydra sont conçus pour un usage général et fonctionnent très bien. Si vous êtes abonné à ExpressVPN, NordVPN ou Hotspot Shield, nous vous recommandons de privilégier ces protocoles pour de meilleurs résultats.