OpenVPN, SSTP, IKEv2, L2TP, Wireguard : Les Protocoles VPN Expliqués

La sécurité et la confidentialité sont les deux aspects les plus importants des Réseaux Privés Virtuels. Si vous avez lu nos tests de VPN, vous savez que nous mentionnons systématiquement les différents protocoles utilisés par les applications, ainsi que les fonctions de sécurité notables intégrées, comme le fameux Killswitch, ainsi que la politique de confidentialité mise en place par l'entreprise.

Tous cela contribue à la sécurité générale du VPN et vous permet d’avoir une vision d'ensemble de la façon dont vous êtes protégé en ligne. Ceci étant dit, le protocole VPN est la principale préoccupation en matière de sécurité et il peut être difficile de savoir laquelle des options open source et propriétaire doit être utilisée.

En détaillant les différents protocoles VPN utilisés dans l'industrie, nous souhaitons dissiper la confusion. Il existe de nombreux protocoles réseau, c'est pourquoi nous avons fait des recherches et réduit notre liste aux protocoles VPN que vous verrez probablement intégrés directement dans votre application. Avant d'entrer dans les détails, commençons définir ce qu'est un protocole VPN. Gardez à l'esprit qu'il existe bien entendu d'autres protocoles de disponibles.

Cet article tentera d'apporter une réponse aux questions suivantes : quel est le meilleur protocole VPN ? Quel protocole VPN choisir pour son client ?

Qu'est-ce qu'un protocole VPN ?

Un réseau privé virtuel ou VPN sécurise et rend anonyme votre connexion Internet en vous connectant à un serveur distant avant d’accéder à des sites Web. La connexion à ce serveur est également cryptée, ce qui signifie qu'aucune de vos requêtes Web ne peut être vue par le monde extérieur.

Le type et le niveau de cryptage sont déterminés par le protocole de sécurité. Selon le protocole que vous utilisez, vous vous connecterez au VPN via différents ports et avec différents niveaux de sécurité.

Bien que le type de cryptage soit la principale différence entre les protocoles, il affecte également d'autres aspects de l'utilisation d'un VPN. Par exemple, un niveau de cryptage plus sophistiqué protégera davantage votre connexion, mais il ne sera pas aussi rapide qu'un protocole qui utilise un cryptage moins sûr.

Sur le plan pratique, le choix du protocole se résume à la façon dont vous voulez équilibrer sécurité et rapidité. Les protocoles VPN sont une forme de protocole réseau, c'est-à-dire qu'ils réunissent les exigences pour établir une connexion entre deux appareils. Cela inclut la sécurité et la rapidité.

Malheureusement, comme la plupart des sujets concernant la mise en réseau, ce n'est pas si simple. La prise en charge de la plate-forme est importante, de même que l'endroit et le moment où le cryptage a lieu dans la chaîne de communication. Ces différences explique pourquoi les meilleurs fournisseurs de VPN incluent de multiples options de protocole.

Compte tenu de la facilité d'utilisation des VPN, il est peu probable que vous remarquiez ou que vous souhaitiez modifier votre protocole. Néanmoins, nous allons passer en revue les protocoles standards à votre disposition et les différents cas d'utilisation qui s'y rapportent. De cette façon, nous espérons que vous apprendrez pourquoi utiliser OpenVPN lors de la configuration d'un VPN pour un routeur et IKEv2 lorsque vous en utilisez un sur votre téléphone.

Protocoles VPN les plus courants

Protocoles VPN courants

Vous trouverez ci-dessous les principaux protocoles qui existent. Il y a encore quelques variantes, bien sûr, mais la plupart des fournisseurs de VPN utiliseront une combinaison des protocoles suivants.

OpenVPN

OpenVPN est un protocole populaire car il est open source et gratuit. Certains fournisseurs, comme AirVPN et e-VPN, ont construit leurs services autour de ce protocole. OpenVPN a plus de 15 ans et est entouré d'une communauté qui analyse constamment les fichiers sources pour détecter les failles de sécurité, ce qui en fait l'une des options les plus sécurisées disponibles.

Protocoles VPN Logo OpenVPN

Il peut utiliser deux protocoles de transport : TCP ou UDP. Le protocole de contrôle de transmission TCP est le plus courant. Votre machine envoie un paquet, puis attend la confirmation avant d'en envoyer un autre, ce qui rend la connexion plus fiable.

Choix entre protocoles UDP et TCP  sur NordVPN

Le choix entre le protocole TCP et UDP sur NordVPN

Cela renforce la fiabilité, mais pas la rapidité. Comme chaque paquet doit attendre la confirmation, l'utilisation de TCP a tendance à ralentir la connexion réseau. C'est là qu'intervient le protocole de datagramme utilisateur UDP. Il continue d'envoyer des paquets sans confirmation, ce qui rend la connexion plus performante, mais moins fiable.

En ce qui concerne le cryptage, OpenVPN est de premier ordre. Il utilise la bibliothèque OpenSSL, ce qui signifie qu'il a accès à tous les chiffres qui s'y trouvent. Il utilise également un protocole de sécurité personnalisé basé sur SSL/TLS qui fournit un cryptage allant jusqu'à 256 bits.

Le cryptage 256 bits n'est cependant pas nécessaire. Certains fournisseurs, tels que Private Internet Access, utilisent par défaut le cryptage 128 bits. L'utilisation d'une clé de plus petite taille permet généralement une connexion plus rapide, mais cela se fait au détriment de la sécurité.

Cela dit, même les fournisseurs VPN les plus rapides utilisent une clé 256 bits, ce qui explique pourquoi qu’OpenVPN est si populaire. Il offre le meilleur équilibre entre sécurité et rapidité.

En raison de sa nature open-source, il apparaît également dans les protocoles personnalisés de certains fournisseurs VPN. Le protocole Chameleon de VyprVPN brouille les paquets OpenVPN, tout comme le protocole StealthVPN d'Astrill.

VyprVPN et Astrill ont développé leurs protocoles VPN pour contourner la censure en Chine. OpenVPN, bien que hautement sécurisé, ne fait rien de spécial pour se cacher de l'inspection approfondie des paquets. VyprVPN fait partie des meilleurs services VPN pour la Chine parce que son protocole Chameleon peut brouiller les paquets OpenVPN envoyés.

Un autre avantage d'OpenVPN est qu'il peut être adapté à presque toutes les plates-formes. ExpressVPN, par exemple, vous permet d'utiliser OpenVPN sur votre routeur, comme vous pouvez le voir dans notre test ExpressVPN. Il utilise un firmware personnalisé qui inclut une version préconfigurée d'OpenVPN, vous permettant de sécuriser le trafic vers votre routeur et Internet.

Sélection du protocole de cryptage ExpressVPN

Tous les protocoles supportés par le client Mac ExpressVPN

OpenVPN est considéré comme le meilleur protocole VPN à l'heure actuelle !

Layer 2 Tunnel Protocol

L2TP, pour Layer 2 Tunnel Protocol, est un protocole tunnel qui permet aux données de passer d'un réseau à un autre. Contrairement à OpenVPN, L2TP est strictement un protocole de tunneling. Il ne fournit pas le cryptage à lui seul. Pour cette raison, L2TP est souvent associé à un protocole de cryptage pour assurer la sécurité.

Schéma protocole L2TP

L2TP utilise le port UDP 500

Il a été créé en 1999 et est basé sur deux protocoles de tunneling plus anciens appelés L2F et un protocole PPTP. Nous parlerons de ce dernier point dans une section ultérieure. Bien qu'une nouvelle version du protocole, connue sous le nom de L2TPv3, ait été introduite en 2005 pour ajouter des fonctions de sécurité, L2TP est resté pratiquement le même qu’à ses débuts.

L2TP utilise deux types de paquets : les paquets de contrôle et les paquets de données. Les paquets de contrôle servent à établir une connexion vpn et à ouvrir le tunnel entre vous et le serveur auquel vous accédez. Parce que c'est la fonction centrale du protocole tunneling, L2TP possède des fonctions de fiabilité telles que la confirmation de paquets, liée aux paquets de contrôle.

Les paquets de données n'ont pas de telles caractéristiques. L2TP envoie des paquets dans un datagramme UDP, ce qui signifie qu'ils ne sont pas vérifiés lors de leur envoi. Cela permet une connexion plus rapide, mais moins fiable.

Le problème avec L2TP (Layer 2 Tunneling Protocol) seul est que les paquets que vous envoyez ne sont pas cryptés. Ils sont encapsulés, mais il n'y a pas d'algorithme cryptographique pour cacher les données. Pour cette raison, vous trouverez très probablement L2TP associé à IPSec dans votre client VPN.

IPSec Layer 2 fournit le cryptage, encapsulant le paquet déjà encapsulé lorsqu'il passe par le tunnel L2TP. Cela signifie que les adresses IP source et de destination sont cryptées dans le paquet IPSec, créant ainsi une connexion VPN sécurisée.

Paramètres de connexion Cyberghost client Windows

Les options de protocoles chez Cyberghost

En ce qui concerne le cryptage, IPSec offre quelques options, dont HMAC avec un algorithme de hachage approprié, TripleDES-CBC, AES-CBC et AES-GCM. Certains fournisseurs de VPN, comme TorGuard, vous permettent de changer le chiffrement utilisé, mais vous trouverez surtout L2TP/IPSec sécurisé avec AES 128-bit ou 256-bit.

L2TP/IPSec est considéré comme sécurisé, mais certains experts en sécurité émettent des doutes car IPSec a été développé, en partie, par la National Security Agency américaine. Quand bien même, OpenVPN reste un meilleur choix en comparaison. Le port utilisé par L2TP est facilement bloqué par les pare-feux, vous aurez donc du mal à contourner la censure à moins d'utiliser un VPN qui supporte le transfert de port.

Secure Socket Tunneling Protocol

Le protocole SSTP (Secure Socket Tunneling) est une technologie propriétaire de Microsoft qui a été développée pour Windows Vista. Bien qu'il s'agisse d'un protocole développé par Microsoft, SSTP peut également être utilisé sous Linux. Cela dit, il n'est pas supporté sous macOS et ne le sera probablement jamais.

Comme OpenVPN, SSTP permet au trafic point à point de passer par un canal SSL/TLS. Pour cette raison, il a les mêmes avantages et inconvénients que l'utilisation d'un tel système. Par exemple, il utilise SSL/TLS sur le port TCP 443, ce qui le rend excellent pour passer à travers la plupart des pare-feux car le trafic semble normal.

Le problème avec cela, qui est le même problème avec l'utilisation de TCP sur OpenVPN, est que vous êtes vulnérable à une défaillance TCP appelée “TCP Meltdown”. TCP doit attendre la confirmation avant de renvoyer un paquet. Il a des fonctions intégrées pour détecter et tenter de résoudre les problèmes si un paquet n'a pas été confirmé.

Protocole open source SSTP idéal pour contourner les pare-feux

Dans un tel cas, un paquet TCP d'une couche peut tenter de résoudre un problème, provoquant une surcompensation du paquet de la couche supérieure. Lorsque cela se produit, les performances d'une connexion TCP diminuent considérablement. Cela peut être évité avec OpenVPN en utilisant le port UDP à la place. Avec le SSTP (Secure Socket Tunneling Protocol), le problème est inévitable.

Bien que le SSTP soit disponible dans certaines applications VPN, il est rarement utilisé. Il est mieux que L2TP pour contourner les pare-feux, mais OpenVPN est tout aussi bon. Le problème avec le SSTP est qu'il n'est pas aussi configurable qu'OpenVPN, il est donc plus sensible aux problèmes, comme le TCP Meltdown. OpenVPN offre tous les avantages du SSTP sans les inconvénients.

Internet Key Exchange Version 2

Internet Key Exchange est un protocole développé par Microsoft et Cisco en 1998. Techniquement, ce n'est pas un protocole VPN. IKE est utilisé pour configurer une association de sécurité dans la suite de protocoles IPSec. L'association de sécurité comprend des attributs tels que le chiffrement et la clé de cryptage du trafic.

Néanmoins, il est souvent traité comme un protocole VPN, appelé IKEv2, qui est simplement la deuxième version d'IKE, ou IKEv2/IPSec. Contrairement à L2TP/IPSec, qui n'utilise IPSec que pour le cryptage, IKE utilise IPSec pour le transport des données. IKEv2 utilise par ailleurs le port UDP 500.

En ce qui concerne le niveau de sécurité, c'est aussi bon que L2TP ou SSTP, en supposant que vous ayez confiance en Microsoft. Il peut prendre en charge plusieurs versions d'AES et vous le trouverez très probablement jumelé à une clé 128 bits ou 256 bits dans votre application VPN.

Ce n'est pas juste une autre option, cependant. IKEv2 est généralement le protocole le plus rapide offert par les VPN.

IKE utilise des paquets UDP et commence à créer l'association de sécurité après l'envoi des premiers paquets. L'association de sécurité est ensuite transférée à la pile IPSec, qui commence à intercepter les paquets IP pertinents et à les chiffrer ou les déchiffrer selon le cas.

Pour cette raison, IKE fonctionne bien pour se reconnecter après qu'une connexion vpn ait été interrompue. Sur une connexion filaire ou WiFi, c'est moins préoccupant car ils sont généralement statiques et stables. Pour les appareils mobiles, cependant, IKE est beaucoup plus séduisant.

Les réseaux LTE 3G et 4G évoluent constamment au fur et à mesure que votre téléphone ou votre tablette bouge avec vous. Vous pouvez passer de la 4G LTE à la 3G ou perdre temporairement la connexion. Comme IKE se reconnecte rapidement, c'est un choix idéal sur les appareils mobiles. IKEv2 a même été intégré aux appareils BlackBerry.

Point-to-Point Tunneling Protocol

Point-to-Point Tunneling Protocol est un protocole de tunnelage daté et non sécurisé qui ne devrait pas être utilisé si vous êtes préoccupé par le niveau de sécurité offert. Malgré cela, certains fournisseurs VPN l'incluent encore dans leurs applications.

Le meilleur cas d'utilisation pour PPTP est l'accès externe au réseau interne d'un bâtiment d'entreprise, ce pourquoi les VPN ont été développés en premier lieu. PPTP ne spécifie pas le cryptage. Il s'appuie plutôt sur le protocole point à point pour exécuterdes fonctions de sécurité.

En raison de la forme basique de cryptage, PPTP est rapide. C'est presque la même vitesse que votre connexion Internet normale. Dans un cas d'utilisation personnelle, c'est à peu près aussi sûr que votre connexion Internet normale. C'est pourquoi nous vous recommandons d'utiliser un protocole PPTP uniquement si vous faites quelque chose que vous ne pouvez pas faire sans VPN, comme l'accès à un réseau externe.

Cependant, ne vous attendez pas à ce que cette connexion soit sûre. Il existe de nombreux outils pour casser les tunnels PPTP, dont certains peuvent simplement extraire la clé de la méthode d'authentification et d'autres peuvent trouver la clé en quelques heures en utilisant une attaque de force brute.

De plus, la NSA est connue pour espionner activement les réseaux PPTP en raison de sa faible sécurité. A moins que vous n'ayez une raison spécifique de l'utiliser, nous vous recommandons d'éviter le PPTP, même si c'est une option disponible dans votre application VPN.

Wireguard

Wireguard, le futur standard de l'industrie ?

Wireguard est un nouveaux protocole qui a fait couler beaucoup d'encre depuis quelques mois. 

Le protocole WireGuard utilise une cryptographie de pointe et est le résultat d'un long et minutieux processus de recherche et développement universitaire. Le nouveau protocole serait, d'après les premiers tests, plus rapide que les protocoles VPN existants tels que OpenVPN et IPSec, mais il est souvent critiqué pour ses lacunes en matière de protection de la vie privée des utilisateurs, de part sa gestion des logs. Nous allons suivre de près les tests et le développement de ce protocole par les principaux acteurs du marché lors des mois à venir.

> Retrouvez notre article sur le protocole Wireguard.

Le Fournisseur NordVPN a récemment mis au point sa nouvelle technologie NordLynx basée sur le protocole Wireguard et permet à ses clients de basculer sur ce protocole depuis OpenVPN pour de meilleures performances.

Conclusion

Pour la plupart des utilisateurs, le protocole OpenVPN est la meilleure option car il offre une sécurité et une configuration de haut niveau. De plus, sa nature open source vous permet de télécharger des fichiers de configuration et de le modifier à votre guise. Il permet de protéger votre vie privée sur Internet et est le protocole le plus répandu dans l'industrie actuellement !

Les autres options ont leurs forces, mais aussi leurs faiblesses. Le SSTP résout le problème de pare-feu mais peut être victime d'un TCP Meltdown. L2TP est rapide et stable, mais facilement bloqué. La seule exception serait IKEv2, qui, bien qu'inférieur à OpenVPN, a beaucoup d'avantages pour les utilisateurs mobiles.

Approfondir sur ce sujet :

Bernard Jarno

Vrai geek de l'informatique, écrivain et créateur de contenu. Il s'intéresse à tous les aspects de l'industrie informatique. Le travail en freelance est dans sa nature, il voyage beaucoup et aime la vie d'expat pour avoir passé de nombreuses années en Asie notamment en Chine et Thaïlande.

      opportunites-digitales.com