OpenVPN vs WireGuard® ?

OpenVPN

Publié pour la première fois en 2001, OpenVPN est un protocole VPN open-source qui utilise la bibliothèque OpenSSL, TLS, ainsi qu’une variété d’autres technologies pour créer une connexion VPN à la fois sécurisée et stable. OpenVPN est le protocole le plus largement pris en charge par les services VPN grand public, bien que cette domination commence à être remise en question depuis l’intégration de WireGuard. OpenVPN, si il est correctement configuré avec des paramètres de chiffrement forts, une authentification basée sur un certificat, est toujours considéré comme la référence en matière de sécurité VPN. Il va sans dire que le meilleur VPN utilise des paramètres OpenVPN très forts. OpenVPN utilise deux canaux pour transférer les données : le canal de contrôle et le canal de données.

Le canal de contrôle

Le canal de contrôle établit une connexion TLS entre le client VPN et le serveur VPN. L’ensemble du processus utilise un chiffrement à clé symétrique, mais l’échange de clés réel nécessite un système de chiffrement asymétrique où une clé publique est utilisée pour chiffrer les données, qui ne peuvent être déchiffrées qu’à l’aide d’une clé privée.

Le canal de données

Une fois qu’une connexion TLS est établie, OpenVPN transfère vos données réelles sur le canal de données crypté avec un chiffrement symétrique (AES-256). L’application VPN vérifie le transfert de données pendant une session en utilisant AES-GCM. OpenVPN a été audité indépendamment par l’OSTIF et QuarksLab en 2016, suite à une campagne de crowdfunding réussie. Une vulnérabilité critique/élevée a été découverte, mais elle concernait la susceptibilité à un déni de service, et n’avait pas d’impact sur la sécurité des utilisateurs. Elle a également été corrigée avant que le rapport ne soit rendu public. Il convient toutefois de noter que les techniques avancées d’inspection approfondie des paquets peuvent détecter OpenVPN, quel que soit le protocole ou le numéro de port utilisé. Comparé à la légèreté de WireGuard®, OpenVPN est fait pale figure. Il utilise beaucoup plus de puissance de traitement que WireGuard, ce qui le rend plus lent, surtout sur les appareils de faible puissance. Par ailleurs, la puissance de traitement supplémentaire requise signifie également qu’OpenVPN vide les batteries plus rapidement que WireGuard.

WireGuard

Les travaux sur WireGuard® (lien disponible ici) ont commencé en 2016, suscitant rapidement l’intérêt de la communauté VPN, ProtonVPN soutient le projet depuis 2018. En mars 2020, une version stable WireGuard 1.0.0 a été annoncée, ainsi que la nouvelle de sa fusion avec le noyau Linux 5.6.

Wireguard dispose désormais d’une version stable sur toutes les principales plateformes, notamment Windows, macOS, BSD, iOS et Android. L’accueil du public a été très positif, la prise en charge de WireGuard est une fonctionnalités très demandée pour les utilisateurs de d’appareils mobiles.

Le jeu d’instructions Advanced Encryption Standard (AES-NI) est intégré à de nombreux processeurs modernes, ce qui améliore considérablement la vitesse à laquelle les instructions AES peuvent être traitées. Puisque OpenVPN utilise le plus souvent AES comme son chiffrement de clé symétrique, il bénéficie de cette accélération matérielle cryptographique.

WireGuard ne bénéficie pas d’un tel support matériel dédié (du moins pour le moment), mais malgré cela, il offre des vitesses comparables à celles de l’AES accéléré au niveau matériel.
WireGuard se connecte également beaucoup plus rapidement qu’OpenVPN, prenant généralement moins d’une seconde pour établir une connexion à un serveur VPN.

Le protocole central de WireGuard ne comprend que quelques milliers de lignes de code, ce qui le rend extrêmement léger. Outre l’amélioration des performances sur le matériel bas de gamme, cela se traduit par une meilleure autonomie de la batterie lors de l’exécution sur des appareils, tels que les téléphones mobiles et les ordinateurs portables.

La légèreté de WireGuard (quelques milliers de lignes de code seulement) est un atout majeur pour des audits réguliers du protocole. WireGuard a fait l’objet d’une série de vérifications formelles et de preuves informatiques couvrant les aspects de sa cryptographie, de son protocole et de sa mise en œuvre.

Le protocole lui-même a été vérifié à l’aide de l’outil Open Source Tamarin Prover de vérification des protocoles de sécurité, que tout le monde peut ré-exécuter pour une vérification indépendante.

En plus de tout cela, pour être incorporé dans le noyau Linux, la base de code WireGuard Linux a été auditée de manière indépendante par une tierce partie.

WireGuard est un protocole VPN, a priori, très sûr, mais il est encore nouveau et n’a pas fait ses preuves sur le terrain comme l’a fait OpenVPN.

WireGuard utilise le protocole UDP (User Datagram Protocol) et ne prend pas en charge l’utilisation du protocole TCP (Transmission Control Protocol), ce qui le rend trivial à détecter et à bloquer.

La bonne nouvelle est qu’il est possible (en théorie) d’ajouter des techniques d’obscurcissement au-dessus de WireGuard pour améliorer sa résistance à la censure.

Le respect de la vie privée exige des développements technologiques supplémentaires de la part des fournisseurs de VPN

En l’état, WireGuard offre la sécurité, mais pas nécessairement la confidentialité. Cela est dû au fait que WireGuard a été conçu pour créer des connexions VPN statiques une à une entre le client et le serveur VPN.

La conception de WireGuard signifie également qu’il n’est pas adapté au déploiement commercial de VPN où plusieurs utilisateurs se connectent au même serveur VPN en même temps. A l’heure actuelle, aucun VPN pour entreprise ne propose ce protocole.

WireGuard est maintenant officiellement pris en charge sur tous les principaux systèmes d’exploitation informatiques (Linux, Windows, macOS, BSD, iOS et Android), mais il n’est pas bien pris en charge sur d’autres appareils, les routeurs par exemple.