Protocole VPN

Les protocoles VPN constituent la couche technique qui détermine comment vos données sont encapsulées, authentifiées et acheminées à travers Internet. Ils jouent un rôle central dans la fiabilité d’un VPN, puisqu’ils définissent trois paramètres critiques : la solidité cryptographique (résistance aux attaques), la performance réseau (latence, débit) et la détectabilité (capacité à contourner l’inspection de paquets profonde (DPI) et les blocages techniques).

Contrairement aux discours simplificateurs, aucun protocole n’est « le meilleur » dans l’absolu. Le choix dépend du contexte d’usage : WireGuard excelle en vitesse mais soulève des questions de gestion des métadonnées, OpenVPN reste une référence pour l’audit et la flexibilité, IKEv2 s’impose en mobilité.

Illustration : protocoles de chiffrement
Cette page pose les bases techniques nécessaires pour comprendre ces arbitrages. Les pages dédiées (OpenVPN, WireGuard, IKEv2, IPSec, etc.) entrent dans le détail des implémentations, limites et cas d’usage concrets, tandis qu’une section comparative éclaire les différences d’architecture entre protocoles.
Logo Open VPN, protocole open source sécurité vpn

OpenVPN

OpenVPN est un protocole open source créé en 2001, devenu une référence en matière de sécurité grâce à sa maturité et à ses audits indépendants répétés. Il repose sur TLS (le même protocole que HTTPS) pour établir le tunnel VPN, avec un chiffrement AES-256-GCM et Perfect Forward Secrecy. Son atout majeur est sa flexibilité : il peut fonctionner en TCP (port 443, pouvant se faire passer pour du trafic HTTPS) ou en UDP pour de meilleures performances, et supporte des techniques d’obfuscation pour contourner l’inspection de paquets (DPI) dans les environnements soumis à la censure.
Cette adaptabilité explique pourquoi il reste un choix solide pour les usages sensibles malgré l’émergence de protocoles plus récents.

Limites : base de code importante (~100 000 lignes) rendant l’audit plus complexe, performances inférieures à WireGuard (fonctionnement en espace utilisateur) et configuration manuelle technique, même si les applications VPN modernes masquent cette complexité.

Logo de WireGuard®

WireGuard®

WireGuard (créé en 2019) est basé sur le Noise Protocol Framework et a été conçu pour être simple, rapide et facile à auditer. En effet, sa base de code très réduite (environ 4 000 lignes, contre plus de 100 000 pour OpenVPN) diminue la surface d’attaque et permet des audits de sécurité plus approfondis.
Depuis son intégration directe au noyau Linux en 2020 (kernel 5.6), il fonctionne en espace kernel, ce qui explique ses performances supérieures.
Limites : WireGuard attribue des IP internes persistantes aux clients. Sans mécanisme de rotation côté fournisseur (comme Mullvad qui renouvelle les IP internes ou IVPN qui génère des identités éphémères), cela peut créer un risque de corrélation temporelle entre sessions. Ce n’est pas une faille cryptographique, mais un choix d’architecture à gérer correctement. Sa signature réseau reste également détectable par des systèmes de censure avancés.

Kernel : partie centrale d’un système d’exploitation qui gère la mémoire, les processus et les interactions avec le matériel. Quand un protocole fonctionne dans le kernel, il profite d’un accès plus direct aux ressources, donc plus de vitesse et une latence réduite.

Illustration : Protocole IKEv2

IKEv2

IKEv2 est un protocole de négociation de tunnel VPN qui s’appuie sur IPsec pour le chiffrement. Son principal atout est la gestion automatique de la mobilité : lorsqu’un smartphone passe du Wi-Fi à la 4G/5G, IKEv2 maintient la connexion VPN sans coupure, ce qui en fait un excellent choix pour les usages mobiles. Il est intégré nativement à Windows, macOS et iOS, et utilise un chiffrement moderne (AES-GCM avec Perfect Forward Secrecy).

Limites : certaines implémentations sont propriétaires (Windows, Cisco) et donc non auditables, et ses ports standards (UDP 500/4500) le rendent facilement détectable et bloquable dans les pays soumis à une censure réseau stricte.

Illustration : Protocole IPSEC

IPsec

IPsec (Internet Protocol Security) n’est pas un protocole VPN unique, mais une suite de protocoles conçus pour sécuriser les communications au niveau de la couche réseau. Il sert de fondation à IKEv2 et à L2TP/IPsec. IPsec peut fonctionner en mode tunnel (encapsulation complète) ou en mode transport (chiffrement du contenu uniquement). Il utilise ESP pour chiffrer les données et IKE pour négocier les clés, généralement avec AES-GCM et Perfect Forward Secrecy.

Limite : IPsec est plus complexe à configurer et à maintenir que des solutions modernes comme WireGuard ou OpenVPN, qui intègrent nativement la gestion de tunnel, réduisant ainsi le risque d’erreurs de configuration.

Logo de Softether

SoftEther

SoftEther VPN est un projet open source japonais développé par l’université de Tsukuba, conçu comme une plateforme VPN multi-protocole particulièrement efficace dans les environnements soumis à la censure. Son principal atout est sa capacité à encapsuler le trafic dans HTTPS (mode SSL-VPN), ce qui le rend difficile à distinguer d’un flux web classique par les systèmes d’inspection de paquets (DPI).

Compatible avec plusieurs protocoles (OpenVPN, L2TP/IPsec, SSTP), il offre une flexibilité technique rare, même si sa configuration avancée et son interface moins intuitive le réservent plutôt aux utilisateurs expérimentés ou aux contextes de contournement strict.

Peu déployé par les fournisseurs VPN commerciaux, SoftEther reste surtout étudié pour comprendre les techniques d’anti-censure et les limites des protocoles classiques face aux blocages étatiques.

Selon le protocole, le comportement du serveur varie. Voir : comment fonctionne un serveur VPN.

Illustration : Protocole PPTP

PPTP : un protocole obsolète à éviter

PPTP (Point-to-Point Tunneling Protocol) fut l’un des premiers protocoles VPN largement déployés dans les années 1990-2000, notamment grâce à son intégration native dans Windows.
Ses fondations cryptographiques sont aujourd’hui totalement compromises :

  • MS-CHAPv2 peut être cassé en quelques heures,
  • RC4 est cryptographiquement cassé,
  • absence totale de Perfect Forward Secrecy (PFS),
  • attaques pratiques documentées depuis plus de dix ans.

En 2025, PPTP ne doit plus être considéré comme une option viable. Aucun fournisseur VPN sérieux ne devrait encore le proposer.
Si vous croisez PPTP dans une offre, c’est un signal négatif clair quant à la rigueur du fournisseur.

Comparatifs techniques entre protocoles VPN

Comprendre un protocole indépendamment est une chose. Comparer leur conception, leurs performances et leurs usages en est une autre

Protocole Sécurité (crypto / audit) Performance Mobilité Anti-censure Idéal pour
OpenVPN AES-256-GCM via TLS, open source, audits répétés Bonne Reconnexion manuelle Très bonne (TCP 443 + obfuscation) Contextes hostiles, censure, audit
WireGuard ChaCha20-Poly1305, base de code minimale Excellente Reconnexion rapide Faible à moyenne Performance quotidienne, simplicité
IKEv2 AES-GCM, PFS, basé sur IPsec Bonne Excellente (MOBIKE) Moyenne Smartphones, roaming

Pour aller plus loin, voici nos analyses techniques dédiées :

OpenVPN vs WireGuard — différences d’architecture, vitesse, stabilité et implications en sécurité.

IKEv2 vs OpenVPN — mobilité, reprise de session, performances réseau et choix d’implémentation.

comprendre les enjeux liés aux protocoles VPN

Les protocoles VPN ne fonctionnent jamais seuls. Leur efficacité dépend aussi du chiffrement qui les accompagne, de la manière dont le tunnel VPN est négocié et de la capacité du service à éviter les fuites de données.
Pour compléter cette page, voici les ressources essentielles qui expliquent les mécanismes qui influencent directement la fiabilité d’un protocole VPN.

Vitesse des protocoles VPN — impact des protocoles sur la latence, le débit et les performances réelles.

Fuite DNS sous VPN — comment détecter et prévenir les expositions d’adresses DNS.

Qu’est-ce qu’un tunnel VPN ? — comprendre la structure logique qui encapsule et transporte le trafic.

Share This