Qu’est-ce que SoftEther VPN ?

Un outil polyvalent, open source et multi-protocole

SoftEther VPN est un projet open source développé initialement à l’Université de Tsukuba au Japon. Contrairement aux protocoles VPN actuels qui reposent sur une approche unique (WireGuard, OpenVPN, IKEv2), SoftEther adopte une architecture plus large : il s’agit d’une suite logicielle complète, capable de fonctionner avec son propre protocole natif tout en exposant simultanément plusieurs protocoles VPN standards.

Cette approche, plus proche d’une plateforme d’ingénierie réseau que d’un protocole spécialisé, explique à la fois ses atouts et son positionnement singulier dans l’écosystème VPN actuel.

Illustration : Picto SoftEther

SoftEther : suite logicielle, protocole natif, et broker multi-protocole

SoftEther regroupe :

  • un serveur VPN multi-protocole,
  • des clients et outils d’administration (interface graphique et CLI),
  • la possibilité de créer des topologies complexes : site-à-site, multi-sauts, infrastructures hybrides.

Au centre se trouve le SoftEther VPN Protocol, un protocole basé sur SSL/TLS conçu pour optimiser les performances en réduisant les copies mémoire et en permettant l’encapsulation en HTTPS (port 443).

Mais SoftEther est également capable d’exposer plusieurs protocoles VPN différents en parallèle, un rôle atypique pour un serveur VPN grand public.

Illustration SoftEther VPN

Protocoles pris en charge par SoftEther

Un serveur SoftEther peut accepter des connexions utilisant :

SoftEther VPN Protocol (natif)

Protocole SSL-VPN hautement configurable, encapsulable en trafic HTTPS standard.

OpenVPN (mode compatibilité)

SoftEther peut se comporter comme un serveur OpenVPN et accepter des clients OpenVPN existants.

L2TP/IPsec

Support complet de L2TP + IPsec (IKEv1), compatible avec les clients intégrés Windows, macOS, iOS et Android.

MS-SSTP

Protocole de Microsoft basé sur HTTPS, encore utilisé dans certains environnements Windows.

L2TPv3 / EtherIP (couche 2)

Permettent de transporter des trames Ethernet complètes, utiles pour le bridging LAN ou certains protocoles industriels.

Cette polyvalence constitue l’un des éléments les plus distinctifs de SoftEther, mais elle contribue également à sa complexité structurelle.

Caractéristiques techniques de SoftEther

Fonctionnement en couche 2 (Ethernet bridging)

SoftEther peut fonctionner en couche 2, transportant trames Ethernet, broadcast, multicast et protocoles non-IP.

Cela permet de reproduire un réseau local étendu (LAN over VPN), utile dans :

  • la virtualisation,
  • les migrations d’infrastructures,
  • les environnements industriels,
  • les topologies complexes site-à-site,
  • certains environnements nécessitant la propagation de protocoles ou services hérités dépendants de la couche 2.

Ce mode nécessite cependant une gestion rigoureuse des segments réseau, car il véhicule davantage de trafic de découverte et augmente l’exposition potentielle de certains services internes. Des protocoles comme ARP, NetBIOS ou DHCP, normalement confinés à un réseau local, peuvent traverser le tunnel et potentiellement exposer des informations ou des services non prévus pour être accessibles à distance.

Traversée de pare-feu et encapsulations avancées

SoftEther peut encapsuler son trafic dans :

  • TCP,
  • UDP,
  • HTTPS sur port 443,
  • parfois dans des modes plus atypiques selon les configurations réseau.

Cette flexibilité est intéressante dans les environnements filtrés ou soumis à des politiques réseau strictes.

Cascading : chaînage de serveurs

SoftEther permet de chaîner plusieurs serveurs entre eux, créant :

  • des routes multi-sauts,
  • des infrastructures hybrides,
  • des architectures de redondance avancées.

Ce type de fonctionnalité se situe clairement du côté des besoins d’ingénierie réseau plutôt que de l’usage VPN grand public.

Sécurité, maintenance et auditabilité

SoftEther est open source (licence GPLv2) et activement maintenu sur GitHub. Cette transparence permet à la communauté de signaler et de corriger des bugs via les mécanismes classiques (issues, pull requests, CVE).

Cependant, contrairement à des protocoles spécialisés largement adoptés :

  • WireGuard (audité publiquement par Cure53 en 2019),
  • OpenVPN (audits indépendants multiples par OSTIF, QuarksLab, etc., depuis plus de 20 ans),

SoftEther n’a pas fait l’objet d’audits publics indépendants récents à large portée.

Cette situation s’explique en grande partie par la nature du projet : une base de code étendue couvrant de nombreuses fonctionnalités (multi-protocole, bridging, cascading, encapsulations). La variété de ces mécanismes rend un audit exhaustif plus complexe et plus coûteux.

Pour les fournisseurs VPN commerciaux — dont la crédibilité repose en partie sur des audits externes, cette absence constitue un frein.

Pourquoi les VPN commerciaux n’intègrent presque jamais SoftEther

Complexité d’intégration et de support

Un fournisseur VPN doit assurer :

  • une intégration homogène du protocole dans toutes ses applications,
  • une maintenance identique sur des centaines ou milliers de serveurs,
  • un support client clair et prévisible.

La richesse fonctionnelle de SoftEther, bien qu’intéressante techniquement, n’est pas alignée avec ces objectifs opérationnels.

icone de SoftetherVPN

Un périmètre fonctionnel très large = une surface d’attaque plus importante

Plus un système couvre de scénarios, plus la maintenance, la standardisation et la supervision deviennent exigeantes.

Mais il existe surtout un point fondamental : un périmètre fonctionnel large augmente mécaniquement la surface d’attaque.

Chaque fonctionnalité supplémentaire — bridging Ethernet (couche 2), multi-protocole, cascading, encapsulations HTTPS/DNS/ICMP — introduit potentiellement de nouveaux vecteurs de vulnérabilité.

À titre de comparaison :

  • l’implémentation initiale de WireGuard dans le noyau Linux compte environ 4 000 lignes de code, facilitant son audit ;
  • SoftEther, en tant que suite multi-fonction, dispose d’une base de code bien plus large et hétérogène.

Dans un secteur où les fournisseurs VPN misent sur la simplicité, les audits réguliers et la minimisation des risques, cette asymétrie pèse lourd dans les choix technologiques.

Pas de bénéfice utilisateur évident

Pour un utilisateur lambda cherchant à :

  • sécuriser sa connexion,
  • masquer son IP,
  • contourner des blocages géographiques,

SoftEther ne propose pas d’avantage perceptible par rapport à WireGuard® ou OpenVPN. Ses fonctionnalités avancées (bridging, multi-protocoles) sont pertinentes en entreprise, mais invisibles dans un usage VPN commercial.
Logo de Softether

Cas d’usage réels de SoftEther

Environnements académiques et pédagogiques

SoftEther est idéal pour enseigner :

  • le tunneling,
  • les différentes couches réseau,
  • les méthodes de traversée de firewall,
  • les architectures multi-protocoles.

Il reste utilisé dans certains projets universitaires, notamment au Japon.

Auto-hébergement technique

Pour un utilisateur avancé souhaitant un serveur VPN extrêmement flexible et multi-protocole, SoftEther peut servir de socle.

Toutefois, pour un usage quotidien simple (connexion sécurisée, contournement géographique), WireGuard® ou OpenVPN restent plus appropriés.

Infrastructures d’entreprise avec besoins hybrides

SoftEther peut être pertinent pour :

  • relier plusieurs sites avec des clients hétérogènes,
  • transporter des protocoles non-IP,
  • maintenir des environnements mixtes où cohabitent plusieurs générations de protocoles.

Contournement de censure dans des environnements restrictifs

SoftEther peut encapsuler son trafic dans HTTPS (port 443), ce qui permet de se fondre partiellement dans du trafic web standard. Dans certains environnements avec Deep Packet Inspection agressif, cela peut aider à contourner des blocages ciblant les protocoles VPN classiques.

Cette capacité est utilisée dans certains pays soumis à une censure réseau forte (ex. Chine, Iran). Cependant, dans la pratique, des outils spécifiquement conçus pour contourner la censure, comme Shadowsocks, V2Ray ou OpenVPN avec obfuscation avancée, restent plus répandus.

SoftEther conserve néanmoins un intérêt dans les contextes de recherche ou de test où la polyvalence d’encapsulation est explorée.

Comparaison synthétique avec les principaux protocoles

Critère SoftEther WireGuard OpenVPN IKEv2/IPsec
Nature Suite multi-protocole + protocole natif Protocole minimaliste Protocole mature Standard d'entreprise
Performance Très bonne selon configuration Excellente Bonne Très bonne en mobilité
Auditabilité Pas d'audits publics indépendants récents Audits indépendants (Cure53 2019, etc.) Audits multiples (OSTIF, QuarksLab 2001–2024) Standard IETF, audits réguliers
Complexité Élevée Faible Moyenne Moyenne
Cas d'usage typique Entreprise / labo VPN commercial Grand public / entreprise Mobilité / entreprise

Verdict : SoftEther est-il fait pour vous ?

SoftEther est un projet riche, flexible et techniquement intéressant. Ce n’est ni un protocole obsolète, ni un protocole oublié : c’est une suite conçue pour répondre à une diversité de scénarios que les protocoles spécialisés ne cherchent pas à couvrir.

Pour la majorité des utilisateurs d’un VPN commercial, sécurité, vie privée, contournement géographique, les protocoles spécialisés (WireGuard®, OpenVPN, IKEv2) restent les choix les plus cohérents : plus simples, plus audités, plus standardisés.

Pour un administrateur réseau, un ingénieur ou un utilisateur avancé, SoftEther peut être un outil puissant, notamment lorsqu’il existe des besoins hybrides, multi-protocoles ou des contraintes réseau atypiques.

SoftEther n’est pas un protocole VPN généraliste.
C’est une suite d’ingénierie réseau polyvalente, destinée à des usages techniques spécifiques.
Son absence dans les offres VPN commerciales n’est pas un défaut : c’est une conséquence directe de son périmètre fonctionnel et de ses objectifs initiaux.

Les autres protocoles

SoftEther n’est qu’une des nombreuses approches possibles pour établir un tunnel VPN. Selon les besoins, simplicité de déploiement, performance, auditabilité, compatibilité réseau ou minimalisme cryptographique, d’autres protocoles offrent des modèles très différents :

 

  • WireGuard — protocole minimaliste, moderne et très performant, souvent préféré à SoftEther pour sa faible surface d’attaque.
  • OpenVPN — solution largement adoptée, open source et flexible, intégrée nativement par SoftEther.
  • IKEv2 — protocole robuste en mobilité, basé sur IPsec, particulièrement efficace pour les reconnections rapides.
  • IPsec — architecture de sécurité réseau historique, souvent utilisée dans les environnements professionnels et supportée par SoftEther.
  • L2TP — protocole d’encapsulation de couche 2, dépassé dans les usages modernes, mais toujours compatible avec la suite SoftEther.
  • Comparatif : OpenVPN vs WireGuard
  • Comparatif : IKEv2 vs OpenVPN
  • Shadowsocks — proxy chiffré conçu pour la censure active, pas un VPN, pas d’anonymat
  • PPTP — protocole ancien et obsolète, inclus pour raison historique.
Share This