Qu’est-ce que L2TP ?

Un protocole de compatibilité, pas une solution sérieuse en 2026

L2TP (Layer 2 Tunneling Protocol) est un protocole d’encapsulation qui opère à la couche liaison (couche 2) et qui, contrairement aux protocoles VPN modernes, n’assure aucun chiffrement par lui-même.

Illustration : Picto L2TP

Résumé exécutif

  • L2TP n’offre aucun chiffrement : toute la sécurité repose sur IPsec.
  • L2TP/IPsec crée un tunnel lourd, lent et fragile derrière NAT.
  • L’usage quasi systématique de PSK partagées dans le VPN commercial en fait un montage structurellement vulnérable.
  • En 2026, L2TP/IPsec n’a d’intérêt que pour la compatibilité legacy.
  • Alternatives modernes : WireGuard, IKEv2, OpenVPN.

Fonctionnement de L2TP: un double tunnel hérité du passé

L2TP (RFC 2661, 1999) encapsule des sessions PPP via UDP. Isolé, il n’offre ni chiffrement, ni intégrité, ni authentification.

Dans la pratique, L2TP/IPsec correspond à deux tunnels superposés :

PPP → L2TP → UDP → encapsulé dans IPsec ESP → IP

L2TP fournit le tunnel logique.
IPsec fournit le tunnel cryptographique.

Les deux couches ne sont pas intégrées mais empilées, ce qui engendre :

  • un overhead typique de 80–130 octets,
  • une latence supérieure aux protocoles modernes,
  • une charge CPU accrue, surtout sur mobiles et routeurs.

Cette superposition est l’origine de la lourdeur du protocole : L2TP encapsule, IPsec ré-encapsule.

Ports utilisés

L2TP/IPsec dépend de trois ports UDP :

  • 1701 (L2TP)
  • 500 (IKE)
  • 4500 (NAT-T)

Ce triptyque le rend particulièrement sensible aux pare-feux, aux réseaux filtrés et aux environnements NAT symétriques.

Illustration : Tunneling

L2TP/IPsec : couplage artificiel, sécurité entièrement déportée sur IPsec

L2TP n’apporte aucune sécurité. C’est IPsec qui assure :

  • la confidentialité (AES),
  • l’intégrité (HMAC),
  • l’authenticité (PSK ou certificats).

Seul ESP en mode tunnel est pertinent. AH ne chiffre pas et pose des problèmes NAT.

Le vrai problème : les PSK partagées

Deux méthodes d’authentification existent :

PSK (pré-shared key)

  • Simple à déployer
  • Massivement utilisée dans les VPN commerciaux
  • Si la PSK est faible ou statique, la sécurité du tunnel est compromise
  • Et lorsque la même PSK est partagée entre des milliers d’utilisateurs, elle devient une cible idéale pour une compromission à grande échelle

Certificats X.509

  • Robustes
  • Nécessitent une PKI
  • Rares dans les offres VPN grand public
Dans la grande majorité des VPN commerciaux, la solidité réelle du tunnel dépend d’un secret partagé entre des milliers d’utilisateurs.
La faiblesse provient du modèle de déploiement, pas d’IPsec lui-même.

Limites techniques : performances faibles, compatibilité médiocre

Performances

  • latence plus élevée,
  • overhead important,
  • charge CPU plus élevée.

En usage réel, L2TP/IPsec reste systématiquement derrière IKEv2 et WireGuard, qui offrent de meilleures performances pour un coût cryptographique inférieur.

NAT et réseaux restrictifs

IPsec ESP ne traverse pas nativement les NAT → nécessité de NAT-T (UDP 4500).

Même avec NAT-T, L2TP/IPsec échoue régulièrement dans :

  • les réseaux d’entreprise avec inspection profonde,
  • les WiFi publics filtrés,
  • les box opérateur strictes,
  • et plus généralement les environnements NAT symétriques.

Complexité opérationnelle

L2TP/IPsec exige une configuration multi-couches :

  • paramètres IKE (phase 1/phase 2),
  • paramètres PPP,
  • gestion du MTU,
  • multiples ports à ouvrir,
  • PSK/certificats,
  • problèmes de compatibilité NAT.
Cette complexité expose à des configurations faibles — exactement le type d’implémentations ciblées dans les révélations Snowden (PSK prévisibles, RNG biaisés, matériel compromis).

Pourquoi certains VPN le proposent encore : la véritable raison

Ce n’est pas pour sa qualité technique. C’est pour l’inertie.

Raison réelle Explication
Compatibilité native Fonctionne sans app sur Windows/macOS/Android anciens
Backend ancien Infrastructures IPsec non modernisées
Argument marketing “Plus de protocoles disponibles” = poudre aux yeux
Parc legacy Entreprises/administrations utilisant du matériel ancien

Un fournisseur qui met L2TP/IPsec en avant n’affiche pas une maîtrise technique moderne.

Cas d’usage résiduels : très rares, très encadrés

Acceptable uniquement si :

  • parc ancien (Windows XP/7, équipements IPsec-only),
  • impossibilité d’installer une application,
  • usage de certificats X.509 avec une configuration IPsec correctement implémentée,
  • migration impossible à court terme.

À proscrire pour :

  • vie privée,
  • mobilité,
  • contournement de censure,
  • streaming,
  • besoin de performance.
Dans la majorité écrasante des cas modernes, IKEv2 offre la même compatibilité native avec une stabilité et des performances très supérieures.

Alternatives modernes : supérieures dans tous les scénarios

WireGuard — cryptographie moderne, vitesse, code minimal.
IKEv2/IPsec — mobilité excellente (MOBIKE), compatibilité native OS.
OpenVPN — flexible, transparent, robuste.

L2TP/IPsec n’offre aucun avantage objectif face à ces protocoles.

 

Tableau comparatif

Critère L2TP/IPsec IKEv2/IPsec WireGuard OpenVPN
Vitesse Faible à moyenne Élevée Très élevée Moyenne
Latence Haute Basse Très basse Moyenne
NAT Fragile Robuste Excellent Excellent
Mobilité Mauvaise Excellente Très bonne Moyenne
Complexité Élevée Moyenne Faible Moyenne
Transparence / auditabilité Faible Correcte Excellente Excellente

Position VPN Mon Ami

Nous déconseillons formellement L2TP/IPsec pour tout usage actuel.

Ses seules justifications sont la contrainte technique et l’héritage d’infrastructures anciennes.

Un fournisseur sérieux propose au minimum IKEv2, WireGuard® ou OpenVPN.

Conclusion

L2TP/IPsec appartient au passé du VPN.

Sa double architecture, sa dépendance aux PSK partagées, sa fragilité derrière NAT et ses performances inférieures en font un protocole de compatibilité, pas un protocole d’usage moderne.

Il n’est pas “mauvais” : il est simplement dépassé par des alternatives qui font tout mieux, sans compromis.

Pour aller plus loin

L2TP n’est qu’un élément de l’ancienne architecture des VPN, et son intérêt réel dépend presque toujours de son association avec IPsec.
Pour comprendre en quoi les protocoles modernes diffèrent, vitesse, auditabilité, robustesse cryptographique ou simplicité de déploiement, voici les alternatives les plus utilisées aujourd’hui :

  • WireGuard — protocole moderne, minimaliste et très performant
  • IKEv2 — excellent en mobilité et en reprise de session
  • IPsec — base cryptographique et structurelle d’IKEv2
  • OpenVPN — protocole open source flexible et massivement audité
  • SoftEther — suite VPN multi-protocoles orientée flexibilité
  • Comparatif : OpenVPN vs WireGuard
  • Comparatif : IKEv2 vs OpenVPN

  • Shadowsocks — proxy chiffré conçu pour la censure active, pas un VPN, pas d’anonymat

  • PPTP — protocole obsolète et compromis, à éviter
Share This