Qu’est-ce que le protocole OpenVPN ? Sécurité, confidentialité et fonctionnement

Qu’est-ce que OpenVPN

OpenVPN est un protocole VPN, qui comprend à la fois des fonctionnalités de client VPN et de serveur VPN. Un protocole est simplement un ensemble de règles qui contrôlent une interaction spécifique (dans ce cas, une connexion VPN).

Open Source

OpenVPN est open-source, ce qui signifie que son code est librement disponible pour être inspecté, redistribué ou modifié. Cela permet la recherche de bogues par la communauté, ce qui devrait théoriquement réduire le risque de bogues importants ou de failles de sécurité.

Comme il s’agit d’un logiciel libre, de nombreux fournisseurs de VPN ont choisi d’intégrer le protocole OpenVPN dans leurs services. Beaucoup construisent un client VPN personnalisé autour d’OpenVPN, souvent avec des fonctionnalités supplémentaires comme un kill-switch ou SmartDNS.

Flexibilité

OpenVPN permet un haut degré de flexibilité en termes d’implémentation du protocole. Par exemple, il prend en charge l’intégralité de la bibliothèque de chiffrement OpenSSL, qui comprend plusieurs chiffrements de différentes puissances de chiffrement. Les fournisseurs de VPN peuvent choisir n’importe lequel, tous ou un seul de ces chiffres.

De même, il existe plusieurs méthodes d’authentification pour prévenir les attaques de type « man-in-the-middle » telles que le « bit-flipping ». La norme industrielle est l’authentification SHA-256, mais OpenVPN vous permet de choisir parmi plusieurs options, jusqu’à SHA512.

Multiplateforme

Contrairement à d’autres protocoles, OpenVPN n’est pas limité à un système d’exploitation ou à un matériel spécifique. Il peut fonctionner sur presque toutes les plates-formes, à condition que le système d’exploitation ou le micrologiciel implémente OpenVPN.

Voici une liste partielle des appareils et des systèmes d’exploitation qui utilisent OpenVPN

• Routeurs : Firmware DDWRT, Tomato et ASUSWRT
• Mobile : iOS, Android, Windows Phone
• Ordinateurs : Windows/Mac/Linux

Caractéristiques d’OpenVPN

Voici quelques caractéristiques importantes du protocole OpenVPN :

• OpenVPN utilise une architecture client/serveur (les deux sont open-source)
• Peut pousser des configurations personnalisées au client VPN
• Supporte IPv6
• Le numéro de port officiel est 1194, mais il peut également écouter sur d’autres ports, notamment 443.
• Il fonctionne sur TCP ou UDP

Sécurité et confidentialité d’OpenVPN

OpenVPN est un protocole hautement sécurisé qui utilise une bibliothèque de chiffres approuvée par le NIST pour le cryptage des données. Celle-ci comprend la norme de cryptage AES, à laquelle le gouvernement américain fait confiance pour les communications critiques en matière de sécurité.

OpenVPN est-il sécurisé ? Oui. OpenVPN est extrêmement sécurisé. Lorsqu’il est correctement mis en œuvre, il est effectivement invincible face aux attaques par force brute et aux attaques de type « man-in-the-middle ».

Puissance de chiffrement

OpenVPN prend en charge les clés de chiffrement jusqu’à 256 bits pour le chiffrement du tunnel et 4096 bits pour l’authentification.

La plupart des implémentations utilisent soit 128-bit (plus rapide) ou 256-bit (plus fort) pour le tunnel VPN, mais d’autres forces de clé sont possibles.

Les suites de chiffrement prises en charge sont les suivantes : AES (norme industrielle), CBC et GCM.

Toutes ces options sont considérées comme sûres. C’est à votre fournisseur de VPN de déterminer laquelle est la plus adaptée en fonction des besoins du client et de l’architecture de son serveur.

Confidentialité

OpenVPN utilise les meilleures pratiques du secteur en matière de confidentialité. Comme tous les VPN, OpenVPN cache l’adresse IP réelle du client au serveur distant (par exemple, un site Web que vous visitez). Mais ce n’est qu’un début.

OpenVPN utilise des échanges de clés Diffie-Hellman pour garantir le secret de transmission. Cela signifie que si la clé de chiffrement est compromise pour une session VPN, elle ne permettra pas le déchiffrement des sessions VPN passées ou futures.

Support des dispositifs

OpenVPN est pris en charge par un large éventail de périphériques et de systèmes d’exploitation, y compris les ordinateurs, les smartphones, les tables, les routeurs et même les lecteurs NAS.

Voici un aperçu détaillé du support des plateformes :

• Firmware de routeur : DD-WRT, Tomato, OpenWRT, ASUSWRT, Synology
• Mobile : iOS, Android
• PC : Windows (depuis XP). MacOS, Linux

Clients OpenVPN

Au-delà du support au niveau du système d’exploitation, il existe de nombreux clients OpenVPN tiers disponibles pour les systèmes d’exploitation de bureau et mobiles. Les clients les plus populaires sont Viscosity & Tunnelblick (MacOS).

Et cela ne s’arrête pas là. La plupart des grands fournisseurs de VPN proposent également un client VPN personnalisé et propriétaire avec OpenVPN intégré (parfois avec d’autres protocoles).

Ces clients étendent les capacités natives d’OpenVPN encore plus loin, en ajoutant des fonctionnalités avancées comme :

• VPN sur Tor
• Connexions à double saut (multi-serveurs)
• La connexion automatique sur les réseaux wifi non fiables
• DNS crypté
• Kill-switch au niveau de l’application
• Mode furtif

TCP ou UDP

Votre fournisseur VPN peut offrir plusieurs options de configuration, y compris le protocole qu’OpenVPN utilisera, TCP ou UDP.

Voici un bref aperçu des différences :

– OpenVPN TCP (Transmission Control Protocol) : délivre les paquets en séquence, et valide la réception de chaque paquet de données. Les paquets perdus doivent être renvoyés. Le TCP est idéal dans les cas où l’intégrité des fichiers est importante1 (pages web, transferts de fichiers).

– OpenVPN UDP (User Datagram Protocol) : UDP n’exige pas que les paquets de données soient livrés en séquence ou renvoyés en cas de perte. Il est parfait pour les utilisations à large bande passante comme les jeux ou le streaming vidéo2.

Pour la plupart des utilisations VPN, UDP sera le meilleur choix, surtout si la vitesse est une priorité (par exemple, le streaming). UDP est également un meilleur choix pour les connexions Internet à faible bande passante. OpenVPN sur TCP peut souffrir de TCP Meltdown si votre connexion est trop lente ou peu fiable.

Comment OpenVPN se compare aux autres protocoles

OpenVPN n’est pas le seul protocole VPN. Il en existe plusieurs autres encore utilisés, tels que L2TP/IPSec et SSTP. Les anciens protocoles comme le PPTP sont tombés en désuétude et le nouveau venu Wireguard a gagné en popularité en offrant de solides performances.

OpenVPN est-il le meilleur protocole VPN ?

Pour de nombreux cas d’utilisation, OpenVPN est le meilleur choix, simplement parce que c’est le protocole le plus courant. OpenVPN offre le meilleur support pour les appareils, le plus grand choix de services et de clients VPN, et plus d’une décennie de sécurité éprouvée.

Les principales alternatives qui méritent d’être considérées sont L2TP, qui est un protocole bien connu et fiable, et Wireguard qui, bien que nouveau, a été fortement adopté par le secteur grâce à ses performances de haut vol.

Verdict sur les protocoles VPN

• PPTP : N’est plus considéré comme sûr, support limité des appareils et options de cryptage. Ok pour les utilisations à faible niveau de sécurité comme le streaming.
• L2TP/IPsec : Prise en charge décente des appareils mais moins de fournisseurs qu’OpenVPN. Cryptage fort et sécurisé avec des vitesses moyennes.
• OpenVPN : Le protocole le plus flexible avec un excellent support pour les appareils. Disponible chez presque tous les fournisseurs de VPN, souvent avec des fonctionnalités supplémentaires. Cryptage ajustable pour équilibrer vitesse et sécurité.
• Wireguard : La base de code VPN la plus légère. Surpasse l’OpenVPN en termes de vitesse. Considéré comme sûr par les cryptographes, mais il est nouveau et n’a pas d’antécédents.