Qu’est-ce qu’OpenVPN ?

Le protocole VPN flexible, mature… mais en retrait en 2026.
OpenVPN est un protocole VPN open source conçu en 2001 pour établir des tunnels chiffrés fiables via TLS.
Il fonctionne sur UDP ou TCP, s’intègre facilement dans des infrastructures réseau hétérogènes, et reste l’un des protocoles les plus répandus dans l’industrie VPN.
En 2026, OpenVPN n’est plus le protocole par défaut proposé par la majorité des services VPN : les utilisateurs, et les fournisseurs, privilégient désormais WireGuard pour ses performances supérieures, sa simplicité cryptographique et sa surface d’attaque réduite.

picto qu'est-ce que OpenVPN

Mais OpenVPN conserve des atouts réels : compatibilité étendue, flexibilité de configuration et capacité à fonctionner dans certains environnements restrictifs.
Cette page sert de référence technique et stratégique pour comprendre ce qu’OpenVPN apporte encore aujourd’hui, et dans quels cas il reste pertinent.
comprendre OpenVPN

Comment fonctionne OpenVPN ?

Architecture et tunnel TLS

OpenVPN repose sur une architecture client-serveur :

  • Un serveur VPN écoute sur un port, généralement 1194 UDP ou 443 TCP
  • Un client s’y connecte en établissant un tunnel chiffré via TLS
  • Le tunnel encapsule ensuite tout le trafic IP du client

Le serveur déchiffre et transmet les paquets vers Internet, comme un routeur sécurisé.
L’authentification s’effectue via une infrastructure à clés publiques (PKI) : chaque client possède un certificat signé par l’autorité de certification du serveur.
Une couche de protection supplémentaire (tls-auth ou tls-crypt) permet de filtrer les connexions non valides et d’empêcher les scans de ports.

Chiffrement : TLS et cipher suites

OpenVPN sépare son fonctionnement en deux couches cryptographiques :
Control channel : le handshake TLS (authentification, négociation de clés), sécurisé par TLS 1.2 ou 1.3 selon la version d’OpenVPN, la version d’OpenSSL et les choix du fournisseur. En pratique, une part importante des services VPN utilise encore TLS 1.2 par compatibilité.
Data channel : le trafic utilisateur, chiffré symétriquement.

Les suites recommandées en 2026 sont :

  • AES-256-GCM (standard, accélération matérielle AES-NI)
  • ChaCha20-Poly1305 (très performant sur ARM / mobile)

À éviter :

  • AES-CBC (moins recommandé et plus exposé à certaines classes d’attaques dans des implémentations anciennes)
  • Blowfish/BF-CBC (clé trop courte)
  • Compression (comp-lzo / compress, vulnérable aux attaques de type VORACLE)

Note importante :
OpenVPN repose sur TLS, impliquant un handshake complet et des renégociations périodiques, ce qui explique une partie de son overhead comparé à des protocoles plus minimalistes.

UDP ou TCP : quel impact sur les performances ?

OpenVPN peut fonctionner sur UDP (le mode recommandé) ou TCP.

OpenVPN sur UDP

  • Latence plus faible
  • Pas de « double retransmission »
  • Meilleure stabilité pour le streaming, VoIP, jeux, etc.

C’est le mode standard, celui qui offre le meilleur compromis performance/stabilité.

OpenVPN sur TCP

  • Utile pour contourner des firewalls stricts
  • Peut imiter du trafic HTTPS (port 443)
  • Souffre du problème de « TCP-over-TCP », qui dégrade fortement les performances sur réseaux instables
Ce qu’il faut retenir :

  • UDP = vitesse et fluidité
  • TCP = compatibilité et contournement des restrictions
  • Aucun n’approche les performances d’un protocole moderne comme WireGuard

Les points forts d’OpenVPN en 2026

OpenVPN n’a pas disparu : il a changé de rôle.
Voici ce qu’il apporte encore, et que WireGuard® n’apporte pas toujours.

1. Compatibilité avec presque tout

OpenVPN fonctionne sur :

  • Windows, macOS, Linux
  • Android, iOS
  • Routeurs (pfSense, OpenWRT)
  • NAS (Synology, QNAP)
  • Systèmes embarqués
  • Environnements corporate anciens

C’est l’un des rares protocoles capables de s’intégrer dans des infrastructures legacy, là où WireGuard® n’est pas toujours disponible ou simple à déployer.

3. Résilience dans les environnements restrictifs

En TCP sur le port 443, OpenVPN peut passer sous les radars en imitant du HTTPS chiffré.
Selon les techniques d’inspection (DPI), il peut rester fonctionnel là où certains protocoles plus récents sont détectés ou bloqués.
Des techniques d’obfuscation supplémentaires existent (encapsulation, camouflage protocolaire), mais dépassent le cadre de cette page.

2. Flexibilité extrême

OpenVPN permet une granularité de configuration rare :

  • Split tunneling avancé
  • Push DNS forcé
  • Routage sélectif d’IP ou de sous-réseaux
  • Scripts de gestion (up/down)
  • Multi-hop « maison »
  • Déploiement site-to-site sécurisé

Cette flexibilité intéresse surtout les admins réseau et les déploiements d’entreprise.

4. Un écosystème mûr et abondamment audité

OpenVPN existe depuis plus de vingt ans.
Le projet a fait l’objet d’audits, de tests de sécurité répétés et d’un suivi communautaire constant.
La plupart des vulnérabilités passées (parsing, certificats, dépendances OpenSSL) ont été corrigées rapidement.
Cette maturité reste un atout pour les organisations prêtes à sacrifier un peu de performance au profit d’un historique éprouvé.

Les limites objectives d’OpenVPN

1. Performances nettement inférieures à WireGuard®

La différence est structurelle :
OpenVPN repose sur TLS, fonctionne en user-space, dépend fortement d’OpenSSL et nécessite plusieurs couches d’encapsulation.
WireGuard® est minimaliste, kernel-level et utilise une crypto moderne à faible overhead.
Résultat :

  • Latence plus élevée
  • Bande passante plus faible
  • Consommation CPU plus importante
  • Reconnexion lente en mobilité

3. Complexité de configuration

Sans interface graphique, configurer OpenVPN implique :

  • Générer une PKI (certificats, clés, CA)
  • Gérer les fichiers .ovpn
  • Maîtriser les directives de sécurité
  • Maintenir une liste de révocation
  • Gérer compatibilité TLS / cipher suites

C’est un obstacle pour les utilisateurs non techniques, et un coût de maintenance pour les équipes IT.

2. Reconnexion lente sur mobile

Lors d’un changement réseau (Wi-Fi → 4G → Wi-Fi), OpenVPN peut mettre plusieurs secondes à rétablir le tunnel.
Cela est dû :

  • à l’architecture stateful,
  • au handshake TLS complet,
  • aux renegotiations,
  • et aux délais de rétablissement côté serveur.

WireGuard® repose sur un modèle stateless avec un keepalive léger, ce qui favorise la mobilité.

4. Surface d’attaque plus large

OpenVPN représente environ 70 000 lignes de code C (hors OpenSSL).
WireGuard : environ 4 000.
Plus de code = plus de complexité = plus de points d’attention.
Ce n’est pas une faiblesse rédhibitoire, mais un facteur à considérer dans une stratégie de minimisation de surface d’exposition.
Sa maturité implique aussi une dette technique : OpenVPN dépend d’OpenSSL et d’un code base volumineux qui nécessite une maintenance plus lourde.
Illustration openVPN

OpenVPN dans l’industrie VPN en 2026

1. Un protocole en retrait, mais pas abandonné

Les fournisseurs VPN historiques continuent de le proposer : NordVPN, ExpressVPN, CyberGhost, hide.me, ProtonVPN, Windscribe.
Illustration Symbole de WireGuard®
Mais son rôle a changé :

  • Il n’est plus le protocole phare
  • Il est maintenu pour compatibilité
  • Les utilisateurs migrent massivement vers WireGuard®

Logo de WireGuard®

2. Le signal Mullvad : la transition assumée

En 2025, Mullvad a entamé la suppression progressive d’OpenVPN au profit d’une stack 100 % WireGuard®.
Leur argumentation :

  • Surface d’attaque réduite
  • Maintenance simplifiée
  • Meilleures performances
  • Moins de dépendances externes

Ce choix illustre une tendance lourde : le minimalisme crypto et la performance priment sur la flexibilité.

illustration logo OpenVPN

3. Quand choisir OpenVPN en 2026 ?

✔ À choisir si :

  • Vous devez contourner des firewalls restrictifs (TCP 443)
  • Vous déployez sur routeurs / NAS anciens
  • Vous devez maintenir une compatibilité legacy
  • Vous avez des besoins réseau complexes
  • Vous privilégiez la maturité et l’auditabilité longue

✘ À éviter si :

  • Vous recherchez les meilleures performances
  • Vous êtes sur mobile
  • Vous n’avez aucune contrainte legacy
  • Votre fournisseur propose WireGuard

Dans la majorité des usages grand public en 2026, WireGuard® est le choix naturel.

Comment utiliser OpenVPN en pratique

1. Via une application VPN (recommandé)

Le fournisseur gère automatiquement les certificats, ciphers et paramètres de sécurité.
Ce qu’il faut vérifier :
Si une application propose encore BF-CBC, AES-128-CBC, MD5, compression active ou TLS < 1.2, cela indique une rigueur technique insuffisante.

2. Configuration manuelle (pfSense, Linux, routeurs)

Elle s’impose si vous souhaitez :

  • Monter votre propre serveur OpenVPN
  • Protéger un réseau entier
  • Déployer un accès distant d’entreprise

Exemple minimal sécurisé (extrait .ovpn) :

cipher AES-256-GCM tls-version-min 1.2 tls-crypt ta.key

Conclusion

OpenVPN est un protocole VPN mature, robuste et extrêmement flexible, qui a servi de standard de l’industrie pendant plus d’une décennie.
En 2026, il n’est plus la solution par défaut : WireGuard® domine en performance, mobilité et efficacité opérationnelle.
Mais OpenVPN conserve une valeur réelle :

  • Compatibilité avec des environnements anciens
  • Capacité à contourner certaines restrictions réseau
  • Flexibilité que ne fournissent pas les protocoles plus minimalistes
  • Historique d’audit long et rassurant

Sa pertinence dépend du contexte, non d’un jugement global.
OpenVPN n’est ni dépassé ni indispensable : c’est un outil utile lorsqu’il répond à un besoin concret.

Les autres protocoles

  • IKEv2 — très efficace en mobilité et en reprise de session, basé sur IPsec mais plus léger qu’OpenVPN.
  • IPsec — architecture de sécurité réseau historique, souvent comparée à OpenVPN pour ses usages professionnels.
  • L2TP — protocole d’encapsulation de couche 2, désormais dépassé ; utile pour comprendre le modèle L2TP/IPsec.
  • SoftEther — suite multi-protocoles offrant une couche d’abstraction capable d’intégrer OpenVPN, L2TP/IPsec, SSTP et son propre protocole performant.
  • Shadowsocks — proxy chiffré conçu pour la censure active, pas un VPN, pas d’anonymat
  • Comparatif : OpenVPN vs WireGuard
  • Comparatif : IKEv2 vs OpenVPN
  • PPTP — ancêtre des VPN modernes, obsolète et à éviter.
Share This