Blog

OpenVPN vs WireGuard : quel protocole est le meilleur ?

OpenVPN et WireGuard



Vous avez probablement beaucoup entendu parler de WireGuard ces derniers temps. Certains prétendent que cela marque le début de la fin pour OpenVPN. Cependant, cette vision est un peu simpliste. En fait, il existe même des situations dans lesquelles le protocole VPN vieux de 20 ans surpasse son nouveau rival.

Pour vous permettre de mieux comprendre ces protocoles VPN open source, nous allons approfondir ce qui rend chacun d’entre eux unique. Cela signifie explorer les tenants et les aboutissants de leurs systèmes de cryptage, voir dans quelle mesure ils fonctionnent sur de longues distances et examiner les façons dont ils tentent d'éviter d'être détectés dans des endroits soumis à une censure numérique stricte. Mais avant de commencer, voici un bref aperçu de chacun :



Historique d'OpenVPN et WireGuard

OpenVPN a été lancé pour la première fois en mai 2001. Même si le protocole PPTP existait déjà depuis cinq ans, OpenVPN est devenu populaire car il offert un cryptage plus fort sans trop de baisse de vitesse . Au fil des années, des vulnérabilités ont été corrigées et de nouveaux clients ont été développés, apportant la prise en charge d'OpenVPN à une plus grande gamme d'appareils. Ce niveau de polyvalence inédit a sans aucun doute contribué à ce qu'OpenVPN devienne le protocole par défaut pour la plupart des applications VPN commerciales jusqu'à il y a seulement quelques années.

WireGuard est beaucoup plus récent, n'ayant lancé sa première version stable qu'en 2020. Cependant, la même année, il a été accepté dans les noyaux Linux et Windows. Le principal attrait de WireGuard est qu’il est nettement plus rapide et plus efficace que la plupart des protocoles concurrents , tout en maintenant un haut niveau de sécurité des données. Cependant, malgré son adoption rapide, WireGuard reste en développement et n'est pas encore entièrement intégré aux plateformes comme OpenBSD ou FreeBSD.



OpenVPN vs WireGuard : quel est le meilleur ?

Ce n'est pas si simple . OpenVPN et WireGuard ont tous deux des domaines dans lesquels ils excellent et d’autres où ils échouent. En d’autres termes, ce qui convient à un utilisateur peut ne pas convenir à un autre.

Pour créer une comparaison aussi juste et impartiale que possible, nous devons adopter une approche plus granulaire. Ci-dessous, nous avons répertorié quelques domaines de fonctionnement clés et mis en évidence les différences dans les performances d’OpenVPN et de WireGuard dans chacun d’eux.

Vitesse

Vitesse WireGuard et OpenVPN

Tout d’abord, vous devez noter que vos vitesses Internet de base limiteront la vitesse de votre connexion lorsque vous utilisez un VPN. De plus, chaque fournisseur VPN est configuré différemment, de sorte que deux services utilisant le même protocole peuvent offrir des vitesses très différentes.

OpenVPN a toujours été considéré comme « assez rapide ». Ce n’était pas aussi rapide que PPTP ou IPSec mais offrait des vitesses décentes, avec une réduction d’environ 30 % considérée comme standard. Cela signifie que tant que votre connexion de base était d'au moins 40 Mbps, votre VPN devrait toujours être suffisamment rapide pour toutes les tâches quotidiennes.

WireGuard a fait irruption sur le marché d'un seul coup, les principaux services l'ayant rapidement adopté, citant ses vitesses nettement plus élevées comme argument de vente clé. Bien que cela ne soit pas entièrement attribuable à WireGuard (puisque les mises à niveau et l'optimisation du réseau sont toujours en cours), nous avons vu des fournisseurs comme IPVanish et CyberGhost plus de doubler leur vitesse moyenne peu de temps après avoir introduit la prise en charge du protocole WireGuard.

Il y a plusieurs raisons pour lesquelles WireGuard a pu offrir des vitesses aussi élevées. Tout d'abord, sa base de code était beaucoup plus rationalisée , à environ 4 000 lignes. À titre de comparaison, OpenVPN compte environ 70 000 lignes de code, résultat de plus de deux décennies de développement. De plus, WireGuard prend en charge le multithreading, ce qui signifie qu'il peut traiter des données en utilisant plusieurs cœurs de processeur à la fois.

Sécurité

Sécurité

OpenVPN est peut-être un peu plus ancien que WireGuard, mais le fait qu’il soit resté si longtemps sans être compromis confirme en fait ses informations de sécurité. Ce protocole prend en charge plus de chiffrements que son rival, notamment CHACHA20-POLY1305, que WireGuard utilise. De plus, il peut fonctionner sur TCP ou UDP, ce qui signifie qu’il est plus flexible et théoriquement utilisable avec une plus large gamme de systèmes.

Le problème est qu’avec autant de code à analyser, OpenVPN est extrêmement difficile à auditer. Un examen professionnel a été réalisé en 2017 et a identifié certaines vulnérabilités clés qui ont été rapidement corrigées. Cependant, beaucoup de choses peuvent changer en une demi-décennie, il serait donc bon de procéder à des audits plus fréquents. De plus, la prise en charge d’un si grand nombre de chiffrements et de périphériques différents augmente le nombre d’options dont dispose un attaquant. Toujours, tant que votre implémentation reste à jour, OpenVPN présente un risque minime.

Le code de WireGuard a été conçu pour être facilement compris par les particuliers, mais il a également été audité par des professionnels (le plus récemment en 2020). Cela n’a révélé aucune vulnérabilité, mais avec le développement en cours, il est toujours possible que certaines apparaissent à l’avenir.

L’un des autres avantages de ce protocole est qu’il est facile à combiner avec d’autres outils d'obscurcissement et les algorithmes. Ceci est important car par défaut, WireGuard stocke l'adresse IP source de l'utilisateur sur le serveur. Néanmoins, les fournisseurs de VPN prenant en charge WireGuard prennent généralement des mesures pour éviter cela, que ce soit en effaçant tous les journaux à la fin d'une session ou en créant des processus d'authentification de remplacement (comme le système double NAT de NordVPN, NordLynx).

Capacité à passer inaperçu

Non détecté

Le blocage des VPN est de plus en plus courant. Après tout, être capable de détecter quand un utilisateur est connecté à un VPN permet aux sites Web de s'assurer que personne ne contourne les interdictions, aux services de streaming de restreindre le contenu par région et aux gouvernements autoritaires d'empêcher les citoyens de parcourir en ligne des contenus autrement inaccessibles.

Dès le départ, OpenVPN a ici un léger avantage. Il peut être configuré pour utiliser soit TCP ou UDP , deux méthodes différentes d'envoi de données. UDP est plus rapide, mais extrêmement facile à bloquer car, par défaut, tout son trafic est envoyé via le port 1194. Cependant, OpenVPN envoie des données TCP sur le port 443 , qui est le même port que celui utilisé par le trafic HTTPS. En bref, essayer de bloquer ce port signifiera que les utilisateurs ne pourront accéder à aucun site qui crypte le trafic des utilisateurs ( environ 95 pour cent de tous les sites suggérés par Google au moment de la rédaction).

Ceci dit, cette méthode n’est pas infaillible . Les organisations plus déterminées peuvent utiliser une technique connue sous le nom de inspection approfondie des paquets (DPI) pour examiner vos paquets de données, ce qui révélera des modèles qui correspondent étroitement au trafic OpenVPN. Les VPN doivent masquer davantage le trafic afin d’éviter cela, mais tous les fournisseurs ne le font pas.

WireGuard n'a pas été conçu pour masquer le trafic des utilisateurs à ce degré et ne prend en charge que UDP. Cela signifie qu'une connexion WireGuard simple et autonome est facile à détecter. Cependant, comme WireGuard est très extensible, la plupart des fournisseurs de VPN ont ajouté leurs propres méthodes d'obscurcissement. Leur efficacité varie, mais nous avons vu des services prenant en charge WireGuard qui fonctionnent même dans Chine , le protocole n’est donc clairement pas un facteur limitant à cet égard.

Niveau de soutien

OpenVPN est actuellement disponible dans presque tous les VPN grand public et est relativement simple à utiliser. installer manuellement car il est pris en charge par tous les principaux micrologiciels de routeur. Surtout, les fournisseurs VPN les plus réputés permettent aux utilisateurs de télécharger les fichiers de configuration OpenVPN , ce qui signifie que vous n’avez pas besoin de créer votre propre VPN uniquement pour protéger votre réseau domestique.

WireGuard est moins courant pour le moment mais sa popularité continue de croître. Il existe cependant deux problèmes principaux en matière de support. Tout d’abord, très peu de VPN proposent les fichiers de configuration nécessaires pour utiliser ce protocole sur un routeur. Deuxièmement, lorsque WireGuard est disponible, il est généralement complété d'une manière ou d'une autre, ce qui signifie que, même si les fichiers de configuration étaient disponibles, les routeurs prenant en charge le trafic WireGuard régulier peuvent ne pas fonctionner avec des protocoles propriétaires comme NordLynx.

Conclusion WireGuard vs OpenVPN

En fin de compte, il n’existe pas de meilleur protocole VPN. Jusqu'à ce que WireGuard puisse être facilement installé sur les routeurs et échapper à la détection sans avoir besoin d'outils d'obscurcissement supplémentaires, OpenVPN restera un choix viable.

Les utilisateurs doivent plutôt choisir le bon outil pour la tâche à accomplir. Si vous rencontrez des difficultés pour contourner un blocage géographique tenace, une connexion OpenVPN basée sur TCP pourrait être le meilleur choix, tandis que si vous cherchez à maximiser les vitesses, WireGuard est probablement une option plus efficace.

Voir également: Meilleurs VPN avec Wireguard

Questions fréquemment posées

L’utilisation d’OpenVPN est-elle toujours sûre ?

Oui, même si OpenVPN a plus de 20 ans, il reste sûr et sécurisé. S’il est possible qu’il existe des vulnérabilités non découvertes, il en va de même pour n’importe quel logiciel. Compte tenu de l’ampleur de l’utilisation de cette technologie, vous pouvez être assuré que si une vulnérabilité est découverte, elle sera probablement corrigée immédiatement.

WireGuard prend-il en charge les connexions de site à site ?

Il est relativement simple de configurer un VPN WireGuard qui connectera plusieurs réseaux ou serveurs. Cela vous permettra de sécuriser le trafic vers, depuis et à travers le nouveau réseau. Il existe un bon niveau de prise en charge des connexions de site à site WireGuard, bien que de nombreux fournisseurs de pare-feu ne vous autorisent toujours pas à utiliser ce protocole (Sonicwall et Barracuda en sont deux).

Il est cependant beaucoup plus facile de relier deux routeurs, avec des micrologiciels majeurs comme OpenWRT, DD-WRT, pfSense et Asus proposant tous des guides de configuration WireGuard sur leurs sites Web respectifs.

WireGuard est-il meilleur que L2TP ?

L2TP a des vitesses à peu près comparables à celles d’OpenVPN, il est donc un peu plus lent que WireGuard. Cependant, il est pris en charge par beaucoup plus d’appareils et la plupart des principaux VPN disposent de guides de configuration facilement disponibles dans la section d’aide de leurs sites Web. Les deux protocoles envoient des données via des ports fixes, ce qui signifie qu’il est facile de bloquer complètement leur trafic à moins que d’autres outils d’obscurcissement ne soient utilisés.

Quel protocole VPN est le plus rapide ?

WireGuard est le protocole VPN moderne le plus rapide, avec des vitesses plus élevées qu'OpenVPN et IKEv2, même sur de longues distances. On pourrait affirmer que PPTP est également extrêmement rapide, mais c’est parce qu’il est beaucoup moins sécurisé. En fait, son cryptage est extrêmement simple à déchiffrer, ce qui signifie qu’il n’offre aucun avantage en matière de sécurité.

^