WireGuard, évidemment. Ou Lightway. NordLynx ? Non, OpenVPN…
Parcourez la plupart des sites Web de fournisseurs de VPN et vous trouverez des vantardises sur la prise en charge de ce protocole VPN ou cela.
Lequel devriez-vous utiliser, cependant? Ils n’ont pas grand-chose à dire là-dessus.
L’une des raisons est qu’il n’y a pas de solution à protocole unique qui soit le meilleur choix dans chaque situation donnée. Votre option idéale dépend d’une série de facteurs, du type de votre appareil et de la configuration du réseau à vos priorités en matière de sécurité et à tout ce que vous essayez de faire.
Heureusement, vous n’avez pas besoin de compétences en réseautage de niveau ninja pour comprendre cela. Ici, nous examinerons les protocoles VPN les plus populaires, parlerons de leurs forces et faiblesses et vous donnerons les détails dont vous avez besoin pour faire des choix de protocole plus intelligents.
Table des matières
WireGuard
WireGuard est peut-être encore un nouveau venu dans le monde VPN, mais il a eu un réel impact.
Le protocole est axé sur la simplicité, éliminant une grande partie de la surcharge de fonctionnalités d’OpenVPN au profit d’un design épuré et minimaliste (plus de détails ci-dessous).
La plupart des utilisateurs ne remarqueront aucune différence de fonctionnalité. Connectez-vous avec OpenVPN, par exemple, et votre trafic peut être crypté via AES, Camellia, ChaCha20, Poly1305, GOST 28147-89 et plus encore ; connectez-vous avec WireGuard et il n’utilisera que ChaCha20, mais comme c’est aussi sûr que possible, vous en soucierez-vous beaucoup ? Nous soupçonnons que non.
Le passage à WireGuard devrait cependant vous donner une différence de performances très notable. Les temps de connexion peuvent n’être que de quelques secondes (contre 10 à 20 secondes avec certains protocoles), et lors de tests récents, les vitesses de téléchargement de WireGuard étaient au moins deux fois plus rapides que tout ce que nous avons vu d’OpenVPN. Jetez un œil à notre compte à rebours VPN le plus rapide, et les meilleurs joueurs disposent tous de WireGuard (ou au moins une version propriétaire basée sur celui-ci).
Il y a quelques complications. WireGuard n’est pas aussi flexible qu’OpenVPN, par exemple, et il peut avoir plus de difficulté à contourner les pare-feu ou à se connecter dans des pays hostiles aux VPN – en essayant d’utiliser votre VPN en Chine, par exemple.
Il n’est pas non plus aussi bien pris en charge par les fournisseurs de VPN ou d’autres appareils. Si votre routeur prend en charge les VPN, par exemple, il est beaucoup plus susceptible d’utiliser OpenVPN. Vous pourrez peut-être utiliser WireGuard en installant OpenWRT, mais c’est un tout autre article.
En général, cependant, WireGuard offre une sécurité à toute épreuve avec des vitesses de pointe, et c’est un excellent protocole à essayer en premier.
Protocole OpenVPN
OpenVPN existe depuis 20 ans, mais son mélange de fonctionnalités, de sécurité et de vitesse signifie que le protocole est toujours l’un des leaders du marché.
Sa flexibilité est un gros plus. Lorsqu’une application VPN se connecte via OpenVPN, elle dispose potentiellement de toutes sortes d’options. Vous connectez-vous via UDP ou TCP ? Quel port utilisez-vous ? Comment pouvez-vous vous connecter au serveur ? Comment le serveur doit-il vous prouver son identité ? Quels algorithmes de cryptage utilisez-vous ? Et la liste continue.
Toutes ces fonctionnalités nécessitent beaucoup de code, ce qui rend OpenVPN plus complexe que de nombreux concurrents. Il s’agit cependant d’un projet open source, ce qui signifie que n’importe qui peut consulter les éléments internes, confirmer qu’il fonctionne correctement, aider à corriger les bogues qu’il trouve ou suggérer de meilleures façons de faire quelque chose.
Pourtant, OpenVPN ajoute plus de surcharge à votre trafic VPN que de nombreux concurrents, avec des effets très notables. IKEv2, WireGuard et de nombreux protocoles modernes peuvent se connecter en quelques secondes ; OpenVPN prend souvent 10-20. Lors de nos récents tests de vitesse, OpenVPN gérait généralement 200 à 400 Mbps ; WireGuard a atteint 450-900 Mbps.
Cela ne fera pas beaucoup de différence pour de nombreux utilisateurs (combien de fois avez-vous eu besoin de plus de 200 Mbps sur le Wi-Fi public ?), et OpenVPN reste un excellent choix de protocole pour la plupart des utilisateurs : flexible, sécurisé, quelques fonctionnalités pratiques pour contourner les pare-feu , et c’est assez rapide pour la plupart des situations.
Mais si vous recherchez des temps de connexion rapides, moins de tracas sur les appareils mobiles lorsque vous vous déplacez entre les réseaux et les vitesses de téléchargement maximales possibles, WireGuard ou un autre protocole moderne peut vous donner de meilleurs résultats.
L2TP/IPsec
L2TP (Layer 2 Tunneling Protocol)/IPsec (Internet Protocol Security), parfois appelé L2TP ou simplement IPsec, est un protocole VPN Microsoft qui est également pris en charge sur de nombreuses autres plates-formes et appareils.
Il n’a pas beaucoup de fonctionnalités, mais il y en a assez pour s’en sortir. L2TP ne peut pas égaler OpenVPN pour son choix d’algorithmes de cryptage, par exemple, mais lors de l’utilisation d’AES (le choix typique), il est aussi efficace que toute autre chose.
Comme avec IKEv2 de Microsoft, L2TP n’est pas conçu pour contourner les pare-feu. Il utilise généralement les ports UDP 500 et 4500, par exemple, ce qui le rend relativement facile à bloquer.
Une préoccupation différente est apparue en 2013, lorsque les révélations d’Edward Snowden ont suggéré que la sécurité IPsec avait été compromise par la NSA. Et même si vous n’êtes pas surveillé par un État-nation, si IPsec a été contourné il y a dix ans, il est fort probable que d’autres aient compris comment faire de même maintenant.
Tout cela est très théorique, et dans le monde réel, si vous souhaitez simplement faire des achats en ligne via le Wi-Fi public, L2TP/IPsec est facile à configurer et devrait vous garder en toute sécurité.
Ce ne serait pas notre premier choix, cependant, et nous opterions d’abord pour WireGuard, OpenVPN ou le protocole personnalisé d’un fournisseur.
IKEv2
IKEv2 est le nom commun du protocole IKEv2/IPsec, ou Internet Key Exchange version 2 / Internet Protocol Security.
Développé par Microsoft et Cisco, IKEv2 existe depuis 2005. Mais ne vous laissez pas décourager par son âge. La technologie a évité les erreurs des protocoles antérieurs, tels que PPTP, et est toujours considérée comme hautement sécurisée, même aujourd’hui. Et comme IKEv2 est mature, il est désormais largement pris en charge par de nombreux VPN sur les ordinateurs de bureau et les applications VPN mobiles.
IKEv2 obtient généralement de bons résultats pour les temps de connexion dans nos tests, et nous le voyons souvent opérationnel en moins de deux secondes. Pendant ce temps, les connexions OpenVPN peuvent prendre 10 à 20 secondes avant d’être établies. Si vous activez et désactivez votre VPN régulièrement, peut-être pour consulter vos e-mails, cela peut faire une énorme différence.
Les vitesses de téléchargement ne sont pas mauvaises, avec le protocole capable de surpasser OpenVPN dans certains cas, mais bien en retard sur WireGuard. IKEv2 a culminé à 290 Mbps dans notre récente mise à jour VPN ; WireGuard a atteint 900 Mbps et aurait pu faire encore mieux si nous avions eu une connexion réseau plus rapide.
Dans l’ensemble, IKEv2 n’excelle dans rien de particulier. Il n’a pas les fonctionnalités ou la configurabilité d’OpenVPN, il ne peut pas correspondre à la vitesse de WireGuard. Mais s’ils ne fonctionnent pas pour vous, pour une raison quelconque (ou s’ils ne sont tout simplement pas disponibles), IKEv2 est un choix complet et solide qui assurera la sécurité de votre trafic et offrira une vitesse plus que suffisante pour la plupart des situations.
SSTP
Le protocole SSTP (Secure Socket Tunneling Protocol) est une technologie Microsoft intégrée à Windows.
SSTP fonctionne un peu comme OpenVPN, en utilisant SSL (et, éventuellement, TCP et le port 443) pour éviter la détection et se connecter dans des environnements hostiles aux VPN.
Le problème est que SSTP est une norme propriétaire appartenant à Microsoft. Contrairement à OpenVPN open-source, WireGuard et autres, il n’est pas possible d’examiner le code source pour vérifier ce qu’il fait. Et comme il s’agit d’un produit Microsoft, vous ne trouverez pas SSTP pris en charge par de nombreuses plates-formes ou applications VPN.
En général, SSTP semble très sécurisé. Et si vous devez configurer manuellement une connexion VPN sur un système Windows, SSTP peut faire le travail sans avoir à installer d’applications tierces.
Si vous installez quand même l’application de votre fournisseur, nous choisirons OpenVPN (le cas échéant) avant SSTP.
PPTP
Apparu pour la première fois dans les années 1990, PPTP (Point-To-Point Tunneling Protocol) est l’un des plus anciens protocoles VPN.
Cela présente certains avantages. PPTP est très simple, avec peu de frais généraux, ce qui le rend très rapide. Il fonctionne également bien sur les anciens appareils, qui n’ont peut-être pas la puissance ou les fonctionnalités nécessaires pour exécuter des protocoles plus récents.
Le problème est que les chercheurs ont trouvé plusieurs problèmes PPTP au fil des ans, et Microsoft suggérait aux utilisateurs de passer à autre chose dès 2012.
En conséquence, la plupart des fournisseurs de VPN ont abandonné la prise en charge de PPTP, et nous pensons que cela a du sens. Ce n’est pas sûr et il vaut mieux l’éviter.
Si votre fournisseur propose toujours PPTP, cela peut être utile dans les situations où la sécurité n’est pas importante (lorsque vous avez seulement besoin de débloquer un site Web particulier, par exemple). Mais ne l’utilisez que si tous les autres protocoles ont échoué, et assurez-vous de passer à quelque chose de mieux avant de commencer les opérations bancaires en ligne, ou toute autre chose même légèrement sensible.
Protocoles propriétaires
Certains grands fournisseurs de VPN ne se sont pas limités aux protocoles standards : ils ont en fait développé leurs propres technologies innovantes.
ExpressVPN propose Lightway, par exemple ; NordVPN a NordLynx ; Hotspot Shield utilise Catapult Hydra et VyprVPN a son propre caméléon.
Nous pensons que c’est un signe très positif pour tout fournisseur, car cela montre une entreprise avec de réelles ressources et une expertise technique, qui fait également d’énormes efforts pour améliorer le service à ses clients.
Il peut aussi y avoir des inconvénients. OpenVPN, WireGuard et Lightway d’ExpressVPN sont tous open source, permettant à quiconque de vérifier le code et de vérifier qu’il respecte ses promesses de confidentialité. Mais la plupart des autres protocoles propriétaires sont des sources fermées, et les utilisateurs doivent être sûrs que le fournisseur sait ce qu’il fait, et qu’il n’y a pas de bogues cachés dans le code.
Cependant, lorsque nous examinons les spécifications techniques et nos propres tests, tous ces protocoles semblent très sécurisés et peuvent fournir des vitesses très élevées – par exemple, NordVPN a culminé à 880 Mbps lors de nos dernières vérifications.
Certains protocoles personnalisés sont conçus pour des situations spécifiques uniquement. Le caméléon de VyprVPN peut faire du bon travail pour vous mettre en ligne en Chine, par exemple, il vaut donc la peine d’essayer si vous voyagez dans un endroit où les VPN sont bloqués. Mais WireGuard de VyprVPN offre de meilleures performances en utilisation générale.
Lightway, NordLynx et Catapult Hydra sont cependant conçus comme des protocoles polyvalents et, selon notre expérience, ils fonctionnent très bien. Si vous vous êtes inscrit avec ExpressVPN, NordVPN ou Hotspot Shield, nous vous recommandons de choisir les protocoles ci-dessus plus standard pour obtenir les meilleurs résultats possibles.