WireGuard ou OpenVPN

OpenVPN, lancé en 2001, est considéré comme l’étalon-or de l’industrie. Cependant, depuis sa sortie en 2015, le protocole VPN WireGuard a fait une entrée remarquée et menace désormais de lui ravir cette couronne.
Dans ce guide approfondi, nous comparons OpenVPN et WireGuard pour déterminer quel protocole VPN vous devriez privilégier.

Nos tests en laboratoire révèlent lequel de ces protocoles excelle dans sept domaines clés, tels que la sécurité, la vitesse, la confidentialité et la facilité d’utilisation.

Nous vous proposons également un aperçu de l’origine de ces protocoles, en vous présentant leurs créateurs et en expliquant leurs différences de fonctionnement.

Tableau récapitulatif : WireGuard ou OpenVPN

Voici un résumé rapide de la comparaison entre OpenVPN et WireGuard dans chaque catégorie clé :

Catégorie	Gagnant
Vitesse	WireGuard WireGuard est deux fois plus rapide qu’OpenVPN, s’il est correctement implémenté.
Sécurité et chiffrement	Ex aequo Aucun des deux protocoles ne présente de faille de sécurité connue.
Confidentialité et journalisation	OpenVPN Les services VPN doivent inclure des mesures d’atténuation pour garantir la confidentialité des utilisateurs lorsqu’ils utilisent WireGuard.
Utilisation des données	WireGuard OpenVPN ajoute une surcharge de données pouvant aller jusqu’à 20%, alors que WireGuard n’utilise que 4% de données en plus (par rapport à la non-utilisation d’un VPN).
Mobilité	WireGuard WireGuard offre une connexion plus fiable pour les utilisateurs mobiles qu’OpenVPN car il gère mieux les changements de réseau.
Contournement de la censure	OpenVPN OpenVPN est plus efficace pour contourner les censeurs (par exemple, le Grand Pare-feu de Chine) parce qu’il peut utiliser le port TCP 443.
Compatibilité des VPN et des appareils	OpenVPN OpenVPN est actuellement supporté par beaucoup plus de VPN, sur beaucoup plus d’appareils, que WireGuard.

Nous nous sommes connectés aux serveurs NordVPN dans le monde entier en utilisant soit OpenVPN soit WireGuard, et nous avons enregistré nos vitesses de connexion :

Nos résultats montrent que WireGuard est toujours plus de 75% plus rapide qu’OpenVPN, peu importe où nous nous connectons dans le monde et sur différents appareils.

Pour les connexions à courte distance, la différence est encore plus marquée, WireGuard étant presque trois fois plus rapide qu’OpenVPN.

Nos tests corroborent également ceux réalisés par NordVPN et WireGuard.

De plus, WireGuard établit une connexion beaucoup plus rapidement qu’OpenVPN. Cela est crucial, car si la connexion est perdue ou si le tunnel VPN se rompt, il est important que votre VPN se reconnecte rapidement.

Une étude de Ars Technica révèle qu’une connexion OpenVPN peut prendre jusqu’à 8 secondes à s’établir, tandis qu’une connexion WireGuard ne nécessite qu’environ 100 millisecondes.

Dans l’ensemble, OpenVPN est nettement plus lent que WireGuard sur notre connexion Internet haut débit. Cependant, avec un VPN sur une connexion de 100 Mbps ou moins, la perte de vitesse ne sera pas aussi perceptible.

	OpenVPN	WireGuard
Algorithmes de chiffrement et protocoles d’authentification	AES, Blowfish, Camellia, ChaCha20, Poly1305 et autres	ChaCha20, Poly1035
Confidentialité persistante parfaite	Supportée	Supportée
Vulnérabilités connues	Aucune	Aucune

OpenVPN vous offre un large éventail d’algorithmes de chiffrement et d’authentification, tandis que WireGuard propose un ensemble fixe pour chaque version.

Ainsi, si une vulnérabilité est découverte dans un algorithme, OpenVPN peut être rapidement configuré pour en utiliser un autre. En revanche, WireGuard nécessiterait une mise à jour sur tous les appareils, ce qui garantit qu’aucun d’eux n’exploite un code non sécurisé.

Actuellement, aucune faille de sécurité n’est connue dans WireGuard ou OpenVPN.

OpenVPN s’appuie sur la bibliothèque OpenSSL pour le chiffrement, publiée pour la première fois en 1998 et ayant fait l’objet de tests approfondis au fil des ans. Cette bibliothèque prend en charge divers algorithmes de chiffrement, dont AES, Blowfish et ChaCha20.

WireGuard, lancé en 2015, ne permet pas de choix de chiffrement. Il impose l’utilisation de ChaCha20 pour le chiffrement et de Poly1305 pour l’authentification.

Par conséquent, WireGuard nécessite beaucoup moins de code qu’OpenVPN : environ 4 000 lignes contre au moins 70 000.

Cette empreinte réduite rend WireGuard beaucoup plus facile à auditer pour les chercheurs en sécurité, et sa surface d’attaque est également beaucoup plus petite que celle d’OpenVPN.

De plus, un code moins volumineux réduit considérablement le risque d’apparition de bugs dans WireGuard.

Les nouveaux algorithmes de chiffrement sont-ils sûrs ?

Les chercheurs en sécurité privilégient les technologies de chiffrement bien établies. En effet, les algorithmes récents peuvent parfois comporter des vulnérabilités encore non détectées. Il est donc souvent plus sûr de choisir des solutions éprouvées.

Dans ce cas, OpenVPN est de loin l’option la plus fiable. Il a été lancé des dizaines d’années avant WireGuard, et son chiffrement AES est presque dix ans plus ancien que les algorithmes ChaCha20 et Poly1305 utilisés par WireGuard.

Dans la pratique, la relative immaturité de WireGuard ne semble pas poser un risque majeur pour la sécurité, pour trois raisons principales :

1. La base de code réduite de WireGuard permet un audit rapide. Cela atténue beaucoup des inquiétudes liées à l’absence de tests rigoureux du protocole, car les experts peuvent l’examiner bien plus rapidement que le code d’OpenVPN.
2. ChaCha20 est très sécurisé. Le « 20 » dans « ChaCha20 » indique qu’il utilise 20 cycles de chiffrement pour protéger les données. En 2008, ChaCha7 (avec sept cycles) a été compromis, mais ChaCha8 reste inviolé à ce jour. Vous pouvez donc être assuré que ChaCha20 offre un niveau de sécurité élevé.
3. WireGuard bénéficie de l’aval de Linux et de Google. Linus Torvalds, le créateur de Linux, a déclaré : « Le code n’est peut-être pas parfait, mais je l’ai examiné et, comparé aux horreurs que sont OpenVPN et IPSec, c’est une œuvre d’art. » WireGuard a depuis été intégré au noyau Linux, ce qui renforce ses références en matière de sécurité. De plus, Google a adopté ChaCha20 et Poly1305 pour le chiffrement de trafic sur ses appareils Android depuis 2014.

	Journalisation	Atténuations
OpenVPN	Le paramètre de verbosité par défaut enregistre les adresses IP réelles	Configuration de serveurs mineurs, serveurs sans disque
WireGuard	La configuration par défaut stocke les adresses IP	Double NAT, serveurs sans disque

Une caractéristique essentielle d’un service VPN fiable est qu’il ne conserve aucune information permettant de vous identifier personnellement, y compris en ce qui concerne le protocole VPN utilisé.

Lors de la configuration des serveurs OpenVPN, un service VPN doit déterminer le niveau de journalisation du serveur (ou « verbosité des fichiers »). Ce niveau varie de zéro, qui enregistre très peu d’informations, à neuf, qui collecte de nombreuses données sensibles.

Nos recherches montrent que la configuration par défaut d’OpenVPN est fixée au niveau 3 de verbosité, ce qui enregistre les adresses IP et les noms d’utilisateur réels.

Cependant, il est très facile pour les VPN de modifier cette configuration pour réduire le niveau de journalisation à zéro, évitant ainsi l’enregistrement des adresses IP réelles. De plus, il est possible de programmer le serveur pour qu’il efface régulièrement toutes les données.

Il est important de noter que, sans un audit réalisé par un tiers, il est difficile de vérifier si ces mesures ont été prises.

De plus, WireGuard nécessite que les adresses IP autorisées soient conservées sur le serveur jusqu’à son redémarrage.

Cela soulève des préoccupations en matière de protection de la vie privée, car si le serveur est compromis, l’adresse IP pourrait être utilisée pour relier vos activités à votre identité, ce qui annule l’un des principaux avantages d’un VPN.

Soyez donc conscient qu’en utilisant l’implémentation standard de WireGuard, votre adresse IP sera probablement enregistrée au moins pendant toute la durée de votre session.

Heureusement, la plupart des services VPN commerciaux qui prennent en charge WireGuard ont mis en place des solutions de contournement pour minimiser ces risques d’atteinte à la vie privée. En voici quelques exemples :

• NordVPN : NordVPN a combiné WireGuard avec sa technologie propriétaire Double Network Address Translation (NAT) pour créer NordLynx. Au lieu de stocker votre adresse IP statique jusqu’au redémarrage du serveur, NordLynx attribue une adresse IP dynamique unique à chaque tunnel VPN, de sorte que chaque session dispose d’une adresse IP différente qui ne dure que le temps de la session.
• Mullvad : Pour maximiser la confidentialité lors de l’utilisation de WireGuard, Mullvad supprime votre adresse IP de ses serveurs après 10 minutes d’inactivité. En outre, Mullvad vous suggère d’utiliser sa fonction multi-sauts pour acheminer votre trafic via deux serveurs ou plus lorsque vous utilisez WireGuard.
• IVPN : IVPN supprime votre adresse IP après trois minutes d’inactivité. Il génère également une nouvelle adresse IP de manière aléatoire toutes les 24 heures, afin d’éviter les problèmes liés à l’utilisation d’une adresse IP statique.

Ces mesures d’atténuation suffiront à la plupart des utilisateurs. Toutefois, si vous vous trouvez dans un pays où la censure est stricte ou dans un pays où les autorités peuvent essayer de poursuivre les utilisateurs de VPN, ce n’est probablement pas un risque à prendre.

Nous vous recommandons également de vérifier auprès de votre fournisseur de VPN les mesures d’atténuation qu’il a mises en place pour les utilisateurs de WireGuard, si vous êtes préoccupé par votre vie privée.

L’utilisation d’un VPN augmente toujours votre consommation totale de données. En effet, la tunnelisation envoie des informations supplémentaires sur Internet, ce qui accroît l’utilisation des données.

Cette surcharge peut ralentir votre VPN. Si vous êtes abonné à un forfait mobile, vous risquez de dépenser davantage ou d’atteindre plus rapidement votre limite de données.

Le protocole VPN que vous choisissez influence également la surcharge de données. Nos recherches montrent que WireGuard consomme beaucoup moins de données qu’OpenVPN :

WireGuard n’ajoute que 4,53% à votre consommation de données, tandis qu’OpenVPN UDP engendre une surcharge significative de 17,23%. Avec OpenVPN TCP, cette surcharge atteint même 19,96%.

En fait, WireGuard présente la plus faible surcharge de données parmi tous les protocoles VPN que nous avons testés, y compris IKEv2 et PPTP. À l’inverse, OpenVPN affiche la surcharge la plus élevée.

Pour évaluer l’utilisation des données de chaque protocole, nous avons utilisé les applications Linux WireGuard et OpenVPN, en mesurant la quantité de données supplémentaires ajoutées à notre connexion par rapport à une utilisation sans VPN.

Pour chaque test, nous avons transféré un fichier de 209 Mo entre deux serveurs virtuels. Chaque test a été réalisé trois fois, et nous avons calculé l’augmentation moyenne des données.

Aujourd’hui, les appareils passent souvent d’un réseau mobile à un réseau Wi-Fi. Un bon protocole VPN doit faciliter cette transition.

WireGuard surpasse OpenVPN en matière de mobilité. Il gère les changements de réseau de manière fluide, tandis qu’OpenVPN a souvent rencontré des difficultés lorsque les utilisateurs changent régulièrement de réseau.

De nombreux services VPN ont également opté pour un autre protocole, l’IKEv2, pour les appareils mobiles.

IKEv2 est un protocole VPN plutôt efficace, mais étant closed-source, certains craignent qu’il ait été compromis par la NSA. En revanche, WireGuard offre une solution open-source innovante pour les connexions VPN mobiles.

Si vous utilisez un VPN en déplacement, nous vous conseillons fortement d’opter pour WireGuard plutôt qu’OpenVPN.

OpenVPN et WireGuard sont deux protocoles VPN fiables, offrant une connexion Internet stable dans la plupart des situations.

Cependant, seul OpenVPN prend en charge nativement le protocole TCP, ce qui est précieux pour contourner des blocages Internet stricts. En effet, les connexions TCP utilisent le port 443, le même que celui du trafic HTTPS.

Il est très peu probable que des pays comme la Chine, la Russie ou la Turquie bloquent le port 443, car cela perturberait des activités essentielles telles que les opérations bancaires et les achats en ligne.

En résumé, OpenVPN est plus efficace que WireGuard pour contourner la censure, car ce dernier ne prend pas en charge le protocole TCP.

Nous recommandons d’utiliser le protocole UDP autant que possible, car il est généralement plus rapide, plus efficace et tout aussi stable lorsqu’il est utilisé dans un tunnel VPN. Toutefois, pour contourner les pare-feux et la censure, le protocole TCP est préférable.

Cela se reflète dans le choix par défaut des services VPN lorsque vous essayez de vous connecter depuis la Chine.

Nous avons remarqué que, dans presque tous les cas, lorsque les fournisseurs de VPN proposent à la fois WireGuard et OpenVPN, le service utilise par défaut le protocole OpenVPN pour les connexions en Chine.

Nous avons également testé plusieurs services VPN réputés pour leur efficacité en Chine, afin de déterminer si OpenVPN ou WireGuard est le plus performant pour contourner le Grand Pare-feu de Chine :

• Astrill VPN a réussi à contourner la censure avec OpenVPN et WireGuard.
• Private Internet Access (PIA), quant à lui, n’a pu se connecter qu’avec OpenVPN, échouant avec WireGuard.

OpenVPN est pris en charge nativement par presque tous les services VPN commerciaux, tandis que WireGuard est encore moins courant.

Cependant, WireGuard gagne rapidement en popularité. Lancé en 2015, il a déjà été intégré dans de nombreux VPN de premier plan, notamment sur les applications de bureau et mobiles.

Voici un aperçu des protocoles pris en charge par dix des VPN les plus populaires :

Protocole VPN	ExpressVPN	NordVPN	CyberGhost	IPVanish	Surfshark	PrivateVPN	PIA	Windscribe	Proton VPN	Astrill
OpenVPN	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
WireGuard	✗	✓	✓	✓	✓	✗	✓	✓	✓	✓

Traditionnellement, la majorité des VPN utilisent OpenVPN comme protocole par défaut, surtout sur les ordinateurs de bureau. Toutefois, de plus en plus de fournisseurs adoptent WireGuard.

Par exemple, CyberGhost a choisi WireGuard par défaut sur Android et iOS, tandis que NordVPN utilise sa version NordLynx de WireGuard par défaut dans la plupart de ses applications.

OpenVPN et WireGuard sont deux types de protocoles VPN. Un protocole VPN est une technologie qui crée un tunnel sécurisé entre votre appareil et un serveur VPN. En d’autres termes, il est essentiel au fonctionnement d’un VPN.

Vous pouvez utiliser OpenVPN et WireGuard séparément pour établir votre propre connexion VPN. Cependant, ils sont souvent intégrés dans des services VPN personnels.

Voici un aperçu des principales caractéristiques de chaque protocole :

	OpenVPN	WireGuard
Date de sortie	2001	2015
Open Source	Oui	Oui
Longueur du code	Plus de 70 000 lignes	~4 000 lignes
Vitesse	Modérée	Très rapide
Utilisation des données	Élevée	Très faible
Sécurité et chiffrement	Très fort	Très fort
Confidentialité	Besoin de configuration	Besoin de configuration
VPN et compatibilité des appareils	Largement soutenu	Largement soutenu

OpenVPN

Le logiciel original de OpenVPN a été créé en 2001 par James Yonan.

Yonan a créé OpenVPN pour s’assurer que sa connexion était privée lorsqu’il voyageait en Asie centrale et utilisait les connexions Internet asiatiques et russes.

Aujourd’hui, M. Yonan est le directeur technique d’OpenVPN Inc. Cette société fournit des services interentreprises et gère OpenVPN.

Le PDG et fondateur de l’entreprise est Francis Dinha, qui a grandi en Irak et partage les préoccupations de M. Yonan concernant la protection de la vie privée contre la surveillance de l’État.

Le logiciel OpenVPN a été téléchargé plus de 60 millions de fois et presque tous les VPN utilisent aujourd’hui ce protocole.

OpenVPN est disponible sous une licence open-source, ce qui signifie que tout le monde peut consulter son code sous-jacent.

Pendant plus d’une décennie, OpenVPN a été considéré comme le summum de la sécurité des VPN. Cependant, avec la sortie de WireGuard, il existe un nouveau prétendant à cette première place.

WireGuard

WireGuard a été créé par Jason A. Donenfeld de Edge Security, et a sorti sa première version stable en septembre 2019.

WireGuard est conçu pour améliorer les protocoles VPN existants en étant plus simple, plus rapide et plus facile à utiliser.

Contrairement à OpenVPN, WireGuard est « cryptographiquement opinionné », pour reprendre les termes de Donenfeld. Cela signifie qu’il a choisi une solution pour chaque aspect de la sécurité du VPN.

Par conséquent, WireGuard offre moins de choix qu’OpenVPN, mais il est aussi beaucoup moins complexe.

Comme OpenVPN, WireGuard est également open source.

Bien qu’il n’ait été publié qu’en septembre 2019, WireGuard a déjà été incorporé dans un certain nombre de services VPN. NordVPN, par exemple, a construit son protocole propriétaire NordLynx au-dessus de lui.