Wireguard – Protocole VPN

Wireguard est un protocole de VPN très prometteur. Wireguard est simple, léger et Opensource sous license GPLv2. Le développeur derrière WireGuard est Jason Donenfeld, fondateur de Edge Security. Son livre blanc est disponible ici.

Beaucoup de services VPN (Private Internet Access – NordVPN – VPN.AC – TorGuard) y placent de nombreux espoirs car les premiers développements s’ affirment très positif. Private Internet Access et NordVPN le proposent déjà sur l’ ensemble de leurs réseaux (en alternative à OpenVPN).

Attention: Le protocole WireGuard est en cours de développement et nécessite encore un peu de reculs. Question vitesse de connexion il est évident qu’ il est supérieur à OpenVPN. Néanmoins pour tout ce qui est sécurisation OpenVPN a déjà fait ses preuves.

Wireguard se présente comme une alternative complète à l’ OpenVPN. WireGuard propose 3 caractéristiques fortes: Meilleures performances en termes de débit – Sécurisation renouvelée entièrement – Itinérance

Vitesse de connexion avec Wireguard

Les VPN ont comme principal défaut de réduire les vitesses de connexion. Plus votre Ligne Internet est puissante plus les écarts sont importants. Malgré les améliorations constantes de l’ OpenVPN (Mode opératoire GCM) et des capacités de débits des serveurs cela reste à champ technique à perfectionner. Wireguard a été conçu en premier lieu dans le but d’ améliorer les vitesses de connexion (l’ auteur dit que c’ est en utilisant Netflix en OpenVPN qu’ il en aurait eu l’ idée!).

Le principal avantage selon les développeurs de Wireguard seraient les performances de vitesse et de connexion de ce nouveau protocole. Il serait d’ une part plus rapide et aurait d’ autre part les Pings bien inférieurs à ceux d’ OpenVPN.

Les raisons de tels résultats sont multiples:

• Linux kernel module. WireGuard est exécuté comme un module à l’intérieur du noyau Linux.

• Le processus de connexion entre le client et le serveur est simplifié. WireGuard utilise un couple clef publique / clef privée pour gérer l’authentification du serveur et des différents clients (fonctionnement à la «SSH»).

• Son code source actuel est inférieur à 4 000 lignes de code, ce qui facilite les implantations et rend les programmes plus performants.

Niveau de sécurisation avec Wireguard

WireGuard fournit un «package» cryptographique complet, assurant la connectivité sans avoir à sélectionner quoi que ce soit. Ce package a été conçu par la même personne (Daniel J. Bernstein):

• ChaCha20 pour le chiffrement. ChaCha20 (dérivé de l’ancien Salsa20) est un algorithme de chiffrement symétrique. La méthode et famille de chiffrement ChaCha, qui a des fonctionnalités similaires mais une fonction de tour à tour différente, est proposée par Bernstein en 2008 et améliore les performances de Salsa20. ChaCha20 doit son nom au fait qu’il exécute 20 tours (rounds).

• Poly1305 comme authentificateur. Poly1305 est utilisé pour vérifier l’ intégrité des données et l’authenticité d’un message. Comme avec tous les excellents modes opératoire (GCM), l’ authenticité n’est pas dissociée de l’ intégralité. C’ est probablement une des raisons pour lesquelles Wireguard est davantage rapide.

• Curve25519 pour l’échange de clés Diffie-Hellman. Curve25519 est une courbe elliptique offrant 128 bits de sécurité et conçue pour être utilisée par le protocole d’échange de clés Diffie-Hellman. Les ECC sont déjà très courantes dans le protocole OpenVPN. La courbe a été publiée pour la première fois par Daniel J. Bernstein en 2005

Quel est le niveau de sécurité du nouvel algorithme ?: Son prédécesseur Salsa20 a bénéficié d’analyses de sécurité sérieuses (Salsa20 security et The eSTREAM Portfolio). ChaCha20 a comblé les failles connues de Salsa.

Itinérance de la connexion VPN

WireGuard est conçu pour l’itinérance. Si votre appareil change de réseau, par exemple de WiFi à données mobiles, la connexion persistera. Ce principe d’ itinérance est essentiel. C’ est une reprise de l’ option AgileVPN du protocole IKEv2. Ainsi, votre connexion VPN ne sera pas interrompue tant que le client envoie des données correctement authentifiées.

Un protocole encore en développement

Wireguard est très prometteur, mais ce protocole est encore en cours de développement. Il reste encore des points qui soulèvent questions:

• La maturité du protocole. Là où OpenVPN peut se prévaloir de décennies de développement, Wireguard atteint à peine les 5 ans. Ce protocole n’ a toujours pas été audité. Mais comme il y a très peu de lignes de code par rapport à OpenVPN, donc les audits pourraient être effectués en très peu de temps

• La question des LOGS et de la confidentialité – WireGuard n’a pas de gestion d’adresse dynamique, les adresses des clients sont fixes. Il est donc nécessaire de stocker certaines données personnelles sur ce réseau: le VPN doit connaître et garder votre IP F.A.I pour la gestion des clés. Ce  gros problème semble se résoudre grâce à un système de double NAT qui crée deux interfaces réseaux pour chaque utilisateur. Ce système est celui de NordLynx, version Wireguard de NordVPN.

• Connexion UDP seulement – Il semble que WireGuard n’utilise que UDP, bien que les développeurs n’aient pas précisé quel port le protocole utilise. Si les administrateurs réseaux coupent tout le trafic UDP, et n’autorisent que le trafic TCP (80 / 443 ), votre connexion WireGuard ne passera pas.

• On a une cryptographie tout-Bernstein, ce qui peut aussi amener à se poser des questions.

Conclusion:

Ce protocole qui répond aux nouveaux usages des utilisateurs. OpenVPN a été conçu à une époque où le VPN devait sécuriser. La vitesse de connexion et de téléchargement est depuis toujours le point faible d’ OpenVPN car ce protocole sert avant tout à sécuriser: « OpenVPN provides flexible VPN solutions to secure your data communications« .

Maintenant les utilisateurs de VPN consomment du multimédia en direct. Les nouveaux utilisateurs ont besoin de vitesse à mesure que les débits Internet progressent et que le Streaming sous toutes ces formes (Streaming – KODI – FireStick – Netflix) devient l’ activité numéro UN. L’ usage premier est maintenant le contournement des barrières géographiques pour accéder à du contenu multimédia !.

Il est évident que ce protocole a été conçu pour réponde à cette nécessité de vitesse et de débit. Cette amélioration des vitesses est impressionnante. Tous nos tests (Private Internet Access – NordVPN) de vitesse entre WireGuard et l’ OpenVPN ont montré que la vitesse réelle de WireGuard est le double de celle d’ OpenVPN.