OpenVPN vs. IPSec, WireGuard, L2TP, & IKEv2 (Les protocoles VPN de 2020)

Les VPN sont plus en plus populaires, surtout dans un contexte où les actes de malveillance sur internet se multiplient. Cet état de fait vaut tant pour les entreprises que pour les particuliers et les familles.

Dans cet article, nous allons vous présenter les différents protocoles VPN pour les particuliers et les familles. Nous n’allons pas évoquer ici les protocoles VPN dédiés aux entreprises ou aux archives sécurisées.

Les protocoles sont un des aspects les plus méconnus de l’univers des VPN. Ceux qui ont déjà cherché dans les paramètres d’un VPN moderne ont dû voir des protocoles avec des noms comme OpenVPN ou L2TP / Ipsec. Nous vous proposons de découvrir leur fonctionnement et un tour d’horizon des différents protocoles disponibles. Ainsi, en vous présentant les plus populaires d’entre eux, vous pourrez vous faire une idée plus précise de ce à quoi ils servent et connaîtrez également les avantages et inconvénients de chacun d’eux.

De manière plus précise, nous vous proposons de:

• Vous expliquer le rôle d’un protocole VPN
• En savoir plus sur OpenVPN et sur d’autres protocoles
• Découvrir un projet très prometteur dans l’univers des protocoles VPN
• Comparer OpenVPN à chacun des autres protocoles, et comprendre les avantages et inconvénients de chacun d’eux

Au terme de votre lecture, vous devriez avoir une meilleure connaissance du fonctionnement d’un protocole VPN. Vous connaîtrez également. Enfin, vous comprendrez comment et dans quelles circonstances utiliser au mieux les autres protocoles VPN.

Quel est le rôle d’un protocole VPN?

Pour résumer très brièvement, le rôle d’un protocole VPN est d’être un outil qui assure une connexion permanente entre votre ordinateur et le serveur VPN. Le protocole a donc un rôle d’intermédiaire indispensable pour maintenir votre connexion privée et sécurisée.

Voyons maintenant plus en détail les deux technologies qui permettent à un VPN de maintenir votre connexion privée, protégée et sécurisée : l’encapsulation et le chiffrement.

L’encapsulation

Le tunneling (encapsulation en français) est un système qui a pour but de protéger les messages, lors de leur transit entre votre ordinateur et les serveurs du VPN. Pour comprendre le fonctionnement de ce système, vous devez savoir que les messages prennent la forme de “paquets” de données. C’est un peu comme quand vous envoyez des objets par la poste : vous les mettez dans un paquet qui doit aller d’un point A à un point B.

Sauf que ces paquets sont constitués de données. Ils comprennent le message que vous souhaitez transmettre, mais pas seulement. Il y a également le protocole utilisé (HTTP, HTTPS, ou BitTorrent, par exemple), votre adresse IP et celle du site Web que vous consultez.

Sans VPN, les messages qui transitent entre votre ordinateur et le site Web peuvent être interceptés et très facilement consultés. Votre IP et celle du site Web sont encore plus facilement exposés, mettant à mal la protection de votre vie privée. Ces informations présentent donc un risque fort en n’étant ni sécurisées ni privées.

Pour éviter ce genre de problème, le VPN crée un tunnel virtuel pour faire transiter les informations par internet. Ce tunnel est difficile d’accès et rend donc l’interception des paquets de donnés très peu probables. Les hackers et autres espions auront beaucoup de mal à voir votre adresse IP, à lire les contenus des messages, etc.

La création de ce tunnel virtuel est très simple : le VPN prend vos paquets de données, les place dans ses propres paquets et les envoie. C’est ce qu’on appelle l’encapsulation. Personne ne peut donc savoir que dans les paquets du VPN qui traversent le réseau internet, il y a vos paquets, avec vos informations personnelles. Il est donc très difficile de les intercepter.

En plus de ça, il faut comprendre le rôle d’intermédiaire que joue le VPN. En plus de placer vos paquets dans les siens, les données ne transitent pas directement de votre ordinateur au site Web. Les paquets encapsulés de votre ordinateur vont d’abord arriver sur le serveur du VPN. Une fois sur le serveur du VPN, vos données sont extraites de leur coque de protection. Le serveur VPN modifie alors vos informations, en changeant votre adresse IP et en chiffrant le contenu des messages (nous y reviendrons dans la section suivante). Ce processus, qui s’appelle “offuscation”, permet de cacher votre IP du monde extérieur et protéger ainsi votre vie privée.

Une fois modifié, votre paquet est alors envoyé au site Web. Le site Web reçoit donc un paquet, non de vous directement, mais du VPN. C’est l’un des rôles du VPN : servir d’intermédiaire pour faire transiter vos données et brouiller les pistes sur l’expéditeur original. Il est impossible pour le site Web de déterminer de qui viennent ces données.

Dans le sens inverse (du site Web à votre ordinateur), le système est identique. Lorsque le site Web vous envoie un paquet, il est encapsulé, passe par le serveur VPN, extrait, modifié et renvoyé sur votre ordinateur.

Comme vous l’avez compris, le système d’encapsulation est très efficace pour masquer l’expéditeur et protéger sa confidentialité sur internet. Il ne suffit cependant pas à protéger le contenu même du message.

Le chiffrement

L’encapsulation permet de protéger l’identité de l’expéditeur, ce qui est déjà une bonne base. Mais les hackers peuvent tout de même détourner le paquet de leur route et lire le contenu des messages. Ainsi, même s’ils ne savent pas de qui vient le message, ils pourront avoir accès à l’information contenue dans le paquet. Ces informations peuvent parfois être très sensibles (numéro de carte bancaire par exemple) et il est donc important de les garder protégés et privés.

C’est pourquoi la plupart des VPN récents ajoutent une deuxième couche de protection : le chiffrement. Ici, l’objectif est de rendre illisible le contenu du paquet s’il est détourné par quelqu’un de malveillant.

Le VPN va chiffrer l’intégralité des messages avant de les encapsuler. Il existe de nombreux algorithmes de chiffrements différents utilisés selon les VPN. Ce système est conçu pour que seul le serveur VPN ait la clef pour chiffrer et déchiffrer le message. Ainsi, même si le tunnel virtuel créé par le VPN est compromis, que votre message encapsulé saisi par un espion, il est impossible pour quiconque de lire votre message. Ce système est totalement inviolable. Le seul moyen de contourner le chiffrement serait de hacker directement le serveur du VPN.

Existe t-il un moyen plus simple de se proteger?

Il est vrai que pour protéger un simple paquet de données, le nombre d’étapes (tunnel virtuel, encapsulation, chiffrement, transit par le serveur VPN) peuvent sembler très importants. Ne serait-il pas plus simple de simplement chiffrer le message et ignore la partie encapsulation?

Et bien, pas vraiment.

Il existe des protocoles qui ne font que du chiffrement. C’est le cas du très célèbre HTTPS, excellent dans son domaine et présent sur tous les sites internet modernes. La connexion HTTPS n’offre aucune encapsulation des données, qui sont simplement chiffrées de manière très forte. Que ce soit votre numéro de compte bancaire ou n’importe quelle autre information sensible, elles seront totalement en sécurité.

Cependant, les paquets qui transitent de cette manière, même s’ils sont illisibles, exposent les adresses IP de l’expéditeur. Au final, même si vos messages sont protégés, votre FAI ou toutes autres personnes ayant accès à l’historique de vos connexions peuvent savoir que vous avez échangé des paquets avec certains sites Web. Ils sauront que vous avez communiqué, même s’ils ne peuvent pas savoir ce que disent les messages. C’est ainsi que les cookies fonctionnent par exemple, pour ensuite vous proposer des publicités ciblées.

C’est alors que l’on comprend le double rôle que joue un VPN, lorsqu’il chiffre et propose d’encapsuler votre paquet dans un autre paquet. Le paquet externe est le seul visible, celui qui expose ses informations. Les informations visibles disent que le paquet transite entre un ordinateur inconnu et un serveur central, ou entre un serveur central et un site Web. Ce serveur central appartenant à un VPN qui reçoit des millions de paquets chaque seconde, il est impossible de savoir qui l’a envoyé et de retrouver votre trace.

Tout ce que verra une personne se frayant un chemin dans votre tunnel virtuel, c’est que votre VPN déplace des paquets vers son serveur central.Ils ne pourront donc pas connaître la destination finale de ces paquets. De même, si cette même personne se fraye un chemin dans le tunnel virtuel à destination du site web, il verra qu’un serveur VPN lui envoie des paquets, sans savoir d’où ils proviennent initialement.

Cette dualité encapsulation/chiffrement protège donc à la fois votre identité et le contenu de vos messages. Les deux sont indissociables pour offrir la plus grande protection possible. Maintenant que vous comprenez l’intérêt d’avoir ces deux exigences pour un VPN, parlons des protocoles VPN que vous allez rencontrer en eux-mêmes et détaillons ce qu’ils proposent.

Le leader actuel: OpenVPN

OpenVPN est le protocole VPN le plus utilisé au monde. C’est un SSL VPN (Secure Sockets Layer virtual private network), c’est-à-dire un VPN utilisable avec un navigateur Web standard. OpenVPN est conçu pour transporter des données via des NAT (Network Address Translators) et des pare-feu. Les algorithmes de chiffrement proposés sont vastes et comprennent également l’AES-256 (celui utilisé par le gouvernement américain pour protéger des données classifiées).

En d’autres termes, OpenVPN est un protocole rapide, sûr et stable.

Un autre point positif pour OpenVPN est d’être open source, c’est-à-dire que tout le monde peut avoir accès au code source, vérifier qu’il n’y a pas de bogues ou de parties du code qui présentent des failles. Cela assure une protection permanente de la part des utilisateurs eux-mêmes. De nombreux protocoles VPN (dont nous parlerons par la suite) ont leur code source fermé. Il est donc impossible d’inspecter le code et il faut faire confiance à la maintenance de son propriétaire.

L’administrateur d’OpenVPN peut utiliser le port de son choix (qu’il soit UDP ou TCP) tant qu’il n’entre pas en conflit avec d’autres ports en cours d’utilisation. De même, le port 443 / HTTPS peut être utilisé pour la communication. (voir les commandes «port» pour la configuration d’OpenVPN). Couplé à un VPN qui possède un mode furtif (système qui permet de modifier les données pour qu’elles ressemblent au trafic normal), il est alors très difficile de savoir que vous utilisez un VPN.

Un dernier bon point à évoquer est qu’OpenVPN est implémenté dans l’espace utilisateur. L’intérêt est simple : OpenVPN s’exécute dans la mémoire réservée aux applications et non dans le noyau. Ainsi, il est possible de télécharger et d’installer ce protocole par vous-même, absolument partout !

Mais quel est le but de l’exécution hors noyau? Tout simplement, cela offre la possibilité d’utiliser le protocole VPN sur n’importe quel outil. Par exemple, de nombreux services VPN utilisent OpenVPN. Mais peu de services VPN sont disponibles pour Linux. En téléchargeant directement OpenVPN et en le configurant correctement au VPN, vous pourrez utiliser ce VPN même si celui-ci n’a pas été conçu pour fonctionner sous ce système d’exploitation.

Pour résumer, OpenVPN propose de nombreux points positifs. Il est donc logique que ce soit le protocole VPN le plus populaire au monde à l’heure actuelle.

Maintenant que vous connaissez les points forts d’OpenVPN il est temps de regarder quels sont les autres principaux protocoles populaires, disponibles sur le marché.

D’autres protocoles populaires: IPsec, L2TP/IPsec, IKEv2/IPsec

Comme nous l’avons évoqué dans la partie précédente, un protocole VPN peut s’exécuter soit dans l’espace utilisateur, soit dans l’espace noyau. L’espace noyau est réservé aux fonctions principales du système d’exploitation. Les données y sont implémentées par le fabricant lui-même. Il est impossible d’y ajouter des éléments par soi-même. Ainsi, si un protocole fonctionne sur le noyau et n’est pas installé en amont par le fabricant, vous ne pourrez tout simplement pas l’utiliser. Contrairement à OpenVPN qui peut être téléchargé et installé sur n’importe quel système d’exploitation, puisqu’il ne fonctionne pas sur le noyau.

Voyons maintenant le fonctionnement des autres protocoles, en commençant par Ipsec.

IPsec

IPsec est un protocole qui fonctionne sur l’espace noyau. Il s’exécute dans la couche IP du protocole internet et couvre tous les aspects de la sécurité.

Il est défini par TechTarget en ces mots :

“Ipsec (également connu sous le nom d’Internet Protocol SECurity ou IP Security), définit l’ensemble de l’architecture des services de sécurité conçus pour le trafic du réseau et l’IP. IPsec décrit le cadre dans lequel il assure la sécurité de la couche IP, ainsi que les différents protocoles conçus pour fournir cette sécurité et qui permettent l’authentification et le chiffrement des paquets de réseau. IPsec liste également les algorithmes utilisés pour chiffrer, déchiffrer et authentifier les paquets, ainsi que les protocoles nécessaires à l’échange et à la gestion des clefs sécurisés.”

Ipsec peut implémenter des VPN via deux modes:

• Le mode tunnel (mode par défaut), qui fonctionne comme l’encapsulation décrite plus haut dans l’article.
• Le mode transport, qui sert à l’exécution d’une session avec un bureau à distance.

Un autre sujet important consiste à comprendre ce qu’est VPN SPIN 9. La NSA (Agence de Sécurité Nationale Américaine) cherche à avoir accès à un maximum de données, y compris celles qui transitent par internet. VPN SPIN 9 est un système de la NSA qui sert à déchiffrer les données chiffrées par les VPN. Or, un rapport appelé Fielded Capability: End-to-End VPN SPIN 9 Design Review” a fuité en 2014. Il nous indique que ce système a la capacité de“détecter et déchiffrer les communications sélectionnées, qui sont chiffrées à l’aide d’algorithmes et des protocoles de sécurité IPsec.”

Le document évoque également la grande variété de moyens d’exploiter les éléments d’échange de clés Ipsec, afin de collecter des métadonnées qui peuvent ensuite servir pour l’analyse empirique des données.

Qu’est-ce que cela signifie concrètement? Difficile à dire. Il semblerait néanmoins que la méthode de chiffrement proposée par IPSec soit compromise et que la NSA ait réussi, au moins partiellement, à rompre le chiffrement en 2014. Pourtant de nombreux experts affirment qu’IPsec est toujours entièrement sécurisé.

Même s’il existe quelques VPN pour iOS qui utilisent encore IPsec seul, on le retrouve en général couplé soit à L2TP, soit à IKEv2. Nous allons les détailler par la suite, mais si IPsec est compromis, l’autre système ne suffit pas forcément à compenser.

D’autant que d’autres rumeurs sont sorties. Hackernoon a signalé des failles de sécurité dans le protocole IKEv2 (qui est souvent utilisé avec IPsec dans les VPN grand public). Mais cela n’est qu’une rumeur de plus et aucun document officiel n’atteste d’une telle faille.

Il est donc difficile de se positionner sur ce sujet, certains affirmants qu’IPsec est entièrement sécurisé, d’autres affirmants qu’il est facilement déchiffrable par le gouvernement américain et donc devenu obsolète.

Passons maintenant à la compréhension d’L2TP / IPsec.

L2TP/IPsec

L2TP (Layer 2 Tunneling Protocol) est un protocole d’encapsulation créée en 2000. Il est donc très ancien et est lui-même issu de la fusion et de l’amélioration des deux protocoles d’encapsulation précédents: PPTP et L2F.

En tant que système d’encapsulation, L2TP n’offre aucune sécurité particulière. Comme expliqué précédemment, il permet uniquement de rester anonyme et plus difficile à saisir. Il faut donc lui adjoindre un système de chiffrement pour rendre illisibles les paquets. On retrouve donc la paire L2TP/IPsec, dite « L2TP over Ipsec ».

L2TP s’occupe d’encapsuler les paquets à transférer et IPsec chiffre le message et offre une deuxième encapsulation. Cela rend la combinaison très sécurisée et populaire. Cette double encapsulation peut paraître étrange mais elle est efficace.

L’une des raisons de sa popularité est qu’il est intégré au noyau de nombreux systèmes d’exploitation, allant de Windows à macOS en passant par Linux, iOS, ou Android.

Si la double encapsulation est populaire, elle a tendance à ralentir considérablement la réception et l’émission des paquets de données. Le protocole OpenVPN et son unique encapsulation est par exemple beaucoup plus rapide. Enfin, il vous faudra parfois ouvrir manuellement les ports du pare-feu sur votre appareil pour autoriser les connexions L2TP / IPsec.

IKEv2/IPsec

IKEv2 (Internet Key Exchange version 2) est un protocole qui sert à mettre en place l’association sécurisée entre deux systèmes. Comme son nom l’indique, c’est la 2ème verion d’IKE. La combinaison d’IKEv2 et d’IPsec est naturelle puisque la 1ère version d’IKE faisait elle-même partit des premières versions d’IPsec et est inclue dans les récentes spécifications d’IPsec. IKEv2 / Ipsec est donc un duo, pris en charge sur les versions les plus récentes de Windows, macOS, iOS et Android, et même sur les Blackberry.

IKEv2 est un système d’encapsulation, comme L2TP. Leur chiffrement (et donc la réelle sécurité) dépendent d’IPsec. La véritable différence réside donc dans la méthode d’encapsulation. De plus la paire IKEv2 / IPsec présente certains avantages par rapport à L2TP / IPsec, en particulier pour les utilisateurs mobiles.

Parmi ceux-ci, nous pouvons citer:

• IKEv2 / IPsec ne double pas l’encapsulation des données. Il est donc en général plus rapide que la paire L2TP / IPsec.
• IKE2v / IPsec gère mieux les changements de réseau grâce à son MOBIKE. Ceci est important pour les appareils mobiles car ils changent de réseau en permanence lorsque vous voyagez.
• Il existe des implémentations open source de IKEv2 qui offrent donc une sécurité accrue.

La paire IKEv2 / IPsec est donc un peu plus complète que L2TP / IPsec, offrant une encapsulation simple, plus rapide et adapté au réseau mobile. Il nécessite également parfois l’ouverture manuelle des ports du pare-feu.

Un concurrent prometteur: WireGuard

La connexion VPN des protocoles proposés précédemment est de bonne qualité. Pourtant, ils peuvent rapidement devenir obsolètes ou être compromis (comme le montrent certaines rumeurs tenaces autour de la NSA et d’IPsec). IPsec étant le protocole de chiffrement dans toutes les alternatives à OpenVPN, il est normal que certains cherchent à améliorer la situation en proposant des innovations.

Parmi ceux-ci, WireGuard est particulièrement prometteur. Selon ses concepteurs, le protocole WireGuard est:

WireGuard s’exectue dans le noyau Linux. C’est un “FOSS“(free and open-source software), conçu avec moins de lignes de code (ce qui facilite considérablement la maintenance par les utilisateurs et le piratage beaucoup plus visible), plus facile à configurer et utilisant des algorithmes de chiffrement plus puissants et innovants. Ce sont tous ces éléments qui ont attiré l’attention des passionnés de nouvelles technologies internet.

L’un de ses principaux fans n’est autre que Linus Torvalds, le fondateur de Linux. Dans un post d’août 2018, Linus Torvalds a donné son point de vue sur WireGuard :

Une personnalité aussi respectée du monde des NTIC qui offre autant d’éloges est quelque chose qui ne peut que donner beaucoup d’espoir à WireGuard. Si WireGuard souhaite devenir le protocole le plus répandu à la place d’OpenVPN un jour, il faudra être patients. En effet, les développeurs du protocole WireGuard indiquent qu’ils sont toujours en train de travailler dessus. Il est donc difficile de réellement évaluer son efficacité.

WireGuard n’est pas encore opérationnel, mais il connaît déjà une première polémique dans sa conception. En effet WireGuard impose d’enregistrer l’adresse IP de chaque utilisateur dans un journal.

Or, ceux qui veulent utiliser un VPN veulent être sûrs d’être totalement anonymes. Cette obligation pourrait donc repousser beaucoup d’utilisateurs potentiels. Mais encore une fois, WireGuard n’est pas finalisé et il est possible que leur choix stratégique à ce sujet évolue au fur et à mesure du développement.

Comparaison entre OpenVPN et la concurrence, que privilégier ?

Maintenant que nous avons effectué un tour d’horizon complet sur les différents protocoles disponibles et avons une bonne compréhension des avantages et inconvénients de chacun d’entre eux, il est temps de les comparer au leader du secteur : OpenVPN.

OpenVPN vs IPsec

IPsec seul est très peu utilisé (sauf cas particuliers. Il est en général couplé à un autre protocole qui permet l’encapsulation, comme L2TP ou IKEv2. OpenVPN est de facto plus complet.

OpenVPN vs L2TP/IPsec

Quand on compare les deux protocoles, ils offrent tous deux l’encapsulation et le chiffrement.

• Pourtant, OpenVPN est globalement plus rapide puisqu’il n’encapsule qu’une fois les données contre deux pour L2TP / IPsec.
• De même, en utilisant les ports HTTPS, OpenVPN est plus difficile à bloquer.
• Autre point avantageux pour OpenVPN est qu’il est open source contrairement à L2TP / IPsec qui est lui, un logiciel propriétaire.
• Certains rapports indiquent que le chiffrement d’IPSec est compromis par la NSA, ce qui pousse à la précaution, surtout si vous devez envoyer des données sensibles. Aucun rapport de ce genre n’existe en ce sens pour OpenVPN.
• Enfin, le point positif de L2TP / IPsec est qu’il est directement inclus dans le noyau des systèmes d’exploitation. Il fonctionne donc sur des appareils anciens qui ne prennent pas en charge OpenVPN.

OpenVPN étant meilleur sur quasiment tous les aspects et n’étant pas compromis, il faut sans doute le privilégier si possible. Si votre ordinateur dispose d’un système d’exploitation ancien, utiliser L2TP / IPsec peut-être une solution de repli acceptable.

OpenVPN vs IKEv2/IPsec

Tout comme pour L2TP / IPsec, IKEv2 / IPsec propose à la fois l’encapsulation et le chiffrement.

• Un point positif pour OpenVPN est qu’il est open source. C’est un vrai plus car en général, les systèmes open source sont plus fiables et mieux maintenus. IKEv2/IPsec possède une architecture fermée et quelques implémentations open source seulement.
• OpenVPN est également beaucoup plus difficile à bloquer pour les pare-feu. En utilisant les mêmes ports que HTTPS, il se faufile mieux entre les gouttes que son concurrent IKEv2 / IPsec
• Tout comme pour la paire L2TP / IPsec, IPsec semblent être compromis selon des documents de la NSA, dévoilés en 2014. Des rumeurs indiquent également que l’encapsulation d’IKEv2 n’est pas sécurisée.
• En fonctionnant dans le noyau, IKEv2 / Ipsec est directement intégré dans tous les systèmes d’exploitation modernes, y compris sur Blackberry.
• IKEv2 / Ipsec est également en général plus rapide qu’OpenVPN.
• Contrairement à OpenVPN, IKEv2 / Ipsec dispose d’un système le rendant particulièrement adapté aux appareils mobiles. Il continue à fonctionner pendant que l’appareil mobile passe d’un réseau à un autre.

IKEv2 / Ipsec semble être un concurrent plus solide à OpenVPN que ne l’est L2TP / IPsec.

OpenVPN vs WireGuard

WireGuard n’étant qu’au stade embryonnaire, OpenVPN gagne forcéement. Il faudra attendre la fin du développement et le lancement officiel de WireGuard pour en tirer des conclusions définitives.

Néanmoins, la question de la journalisation des adresses IP est un point de vigilance important qui peut rebuter de nombreux utilisateurs potentiels.

Conclusion

Excepté dans quelque cas spécifiques, OpenVPN est le meilleur protocole à utiliser pour la plupart des utilisateurs. Il est rapide, sécurisé, open source (et donc moins bogué et moins susceptible d’être vulnérable aux hackers).

Tableau de comparaison

Voici un bref tableau, résumant en quelques points les protocoles VPN dont nous avons parlé dans cet article.