protège-fil


WireGuard est un nouveau protocole VPN intéressant qui a le potentiel d'apporter des changements majeurs à l'industrie VPN. Par rapport aux protocoles VPN existants, tels que OpenVPN et IPSec, WireGuard peut offrir des vitesses plus rapides et une meilleure fiabilité avec des normes de cryptage nouvelles et améliorées.

Bien qu'il offre des fonctionnalités prometteuses en termes de simplicité, de vitesse et de cryptographie, WireGuard présente également des inconvénients notables, dont nous discuterons en détail ci-dessous..

Dans ce guide VPN WireGuard en cinq parties, nous couvrirons:

  1. Qu'est-ce que WireGuard
  2. WireGuard Pros
  3. WireGuard Cons (pourquoi il n'est pas encore recommandé)
  4. Quels fournisseurs VPN prennent actuellement en charge WireGuard
  5. L'avenir de WireGuard

Alors plongeons-nous!

Qu'est-ce que WireGuard?

WireGuard est un nouveau protocole VPN expérimental qui vise à offrir une solution de tunneling VPN plus simple, plus rapide et plus sécurisée que les protocoles VPN existants. WireGuard présente quelques différences majeures par rapport à OpenVPN et IPSec, telles que la taille du code (moins de 4 000 lignes!), La vitesse et les normes de chiffrement.

Le développeur derrière WireGuard est Jason Donenfeld, le fondateur d'Edge Security. (Le terme «WireGuard» est également une marque déposée de Donenfeld.) Dans une interview que j'ai regardée, Donenfeld a déclaré que l'idée de WireGuard est venue quand il vivait à l'étranger et avait besoin d'un VPN pour Netflix.

Pourquoi tant de buzz autour de WireGuard?

Eh bien, il offre certains avantages potentiels par rapport aux protocoles VPN existants, comme nous le verrons plus loin. Il a même attiré l'attention de Linus Torvalds, le développeur derrière Linux, qui avait ceci à dire dans la liste de diffusion du noyau Linux:

Puis-je encore une fois exprimer mon amour pour [WireGuard] et espérer qu'il fusionne bientôt? Peut-être que le code n'est pas parfait, mais je l'ai survolé, et par rapport aux horreurs qui sont OpenVPN et IPSec, c'est une œuvre d'art.

Examinons d'abord les avantages de WireGuard.

WireGuard Pros

Voici quelques-uns des «avantages» proposés par WireGuard:

1. Chiffrement mis à jour

Comme expliqué dans diverses interviews, Jason Donenfeld voulait mettre à niveau ce qu'il considérait comme des protocoles «obsolètes» avec OpenVPN et IPSec. WireGuard utilise les protocoles et primitives suivants, comme décrit sur son site Web:

  • ChaCha20 pour le chiffrement symétrique, authentifié avec Poly1305, utilisant la construction AEAD du RFC7539
  • Curve25519 pour ECDH
  • BLAKE2 pour le hachage et le hachage à clé, décrit dans la RFC7693
  • SipHash24 pour les clés de hachage
  • HKDF pour la dérivation de clé, comme décrit dans RFC5869

Vous pouvez en savoir plus sur la cryptographie moderne de WireGuard sur le site officiel ou dans le livre blanc technique.

2. Base de code simple et minimale

WireGuard se démarque vraiment par sa base de code, qui compte actuellement environ 3 800 lignes. Cela contraste fortement avec OpenVPN et OpenSSL, qui combinent environ 600 000 lignes. IPSec est également encombrant à environ 400 000 lignes au total avec XFRM et StrongSwan ensemble.

Quels sont les avantages d'une base de code plus petite?

  1. Il est beaucoup plus facile de vérifier. OpenVPN prendrait une grande équipe plusieurs jours pour effectuer un audit. Une personne peut lire la base de code de WireGuard en quelques heures.
  2. Plus facile à auditer = plus facile à trouver les vulnérabilités, ce qui permet de sécuriser WireGuard
  3. Surface d'attaque beaucoup plus petite par rapport à OpenVPN et IPSec
  4. Meilleure performance

Bien que la base de code plus petite soit en effet un avantage, elle reflète également certaines limites, comme nous le verrons ci-dessous.

3. Amélioration des performances

Les vitesses peuvent être un facteur limitant avec les VPN - pour de nombreuses raisons différentes. WireGuard est conçu pour offrir des améliorations significatives dans le domaine des performances:

Une combinaison de primitives cryptographiques à très haute vitesse et le fait que WireGuard vit à l'intérieur du noyau Linux signifie que la mise en réseau sécurisée peut être à très haute vitesse. Il convient à la fois aux petits appareils intégrés comme les smartphones et aux routeurs de backbone entièrement chargés.

Théoriquement, WireGuard devrait offrir de meilleures performances en termes de:

  • Vitesses plus rapides
  • Meilleure autonomie de la batterie avec les téléphones / tablettes
  • Meilleure prise en charge de l'itinérance (appareils mobiles)
  • Plus de fiabilité
  • Plus rapide à établir des connexions / reconnexions (prise de contact plus rapide)

WireGuard devrait être avantageux pour les utilisateurs de VPN mobiles. Avec WireGuard, si votre appareil mobile change d'interface réseau, comme le passage du WiFi aux données mobiles / cellulaires, la connexion restera tant que le client VPN continuera d'envoyer des données authentifiées au serveur VPN.

4. Facilité d'utilisation multiplateforme

Bien qu'il ne soit pas encore prêt pour les heures de grande écoute, WireGuard devrait fonctionner très bien sur différentes plates-formes. WireGuard prend en charge Mac OS, Android, iOS et Linux, avec la prise en charge de Windows toujours en développement.

Une autre caractéristique intéressante de WireGuard est qu'il utilise des clés publiques pour l'identification et le chiffrement, tandis que OpenVPN utilise des certificats. Cela crée cependant certains problèmes pour l'utilisation de WireGuard dans un client VPN, tels que la génération et la gestion des clés.

WireGuard Cons

service vpn wireguardBien que WireGuard offre de nombreux avantages intéressants, il présente actuellement certains inconvénients notables.

1. Toujours en développement «lourd», pas prêt, pas audité

Malgré le fait que WireGuard reste en «développement lourd» et n'est pas encore prêt pour une utilisation générale, de nombreuses personnes cherchent à l'utiliser immédiatement comme protocole VPN principal. Vous pouvez trouver de nombreuses promotions WireGuard sur reddit et divers forums - c'est-à-dire chasser la dernière tendance VPN.

Il faut souligner que WireGuard n'est pas complet, qu'il n'a pas passé un audit de sécurité, et les développeurs avertissent explicitement de faire confiance au code actuel:

WireGuard n'est pas encore terminé. Vous ne devez pas vous fier à ce code. Il n'a pas fait l'objet d'audits de sécurité appropriés et le protocole est toujours susceptible de changer. Nous travaillons à une version 1.0 stable, mais ce moment n'est pas encore venu.

Néanmoins, une poignée de VPN se préparent ou offrent une prise en charge WireGuard en ce moment. À ce stade, cependant, vous ne devez utiliser WireGuard à des fins de test uniquement.

2. Problèmes de confidentialité et journaux de WireGuard

Bien que WireGuard puisse offrir des avantages en termes de performances et de sécurité, par conception, il n'est pas bon pour la confidentialité.

Un certain nombre de fournisseurs de VPN se sont inquiétés de la capacité de WireGuard à être utilisé sans journaux et de la manière dont cela pourrait affecter la confidentialité des utilisateurs..

AzireVPN, l'un des premiers VPN à implémenter WireGuard, avait ceci à dire l'année dernière:

Chez AzireVPN, nous nous soucions de notre politique de non-journalisation, c'est pourquoi tous nos serveurs fonctionnent sur du matériel sans disque et tous les fichiers journaux sont dirigés vers / dev / null.

Mais en ce qui concerne WireGuard, le comportement par défaut est d'avoir le point de terminaison et l'IP autorisé visibles dans l'interface du serveur, ce qui ne fonctionne pas vraiment avec notre politique de confidentialité. Nous ne devrions pas connaître votre adresse IP source et ne pouvons pas accepter qu'elle soit visible sur nos serveurs.

 a tenté de contourner ces problèmes en embauchant Jason Donenfeld pour «écrire un module de type rootkit qui supprime la capacité d'un administrateur système ordinaire à interroger le point de terminaison ou les informations IP autorisées sur les pairs WireGuard et désactiver la possibilité d'exécuter tcpdump» (voir ici).

Confidentialité parfaite a fait valoir que WireGuard est "Non utilisable sans journaux" dans un intéressant:

WireGuard n'a pas de gestion d'adresse dynamique, les adresses des clients sont fixes. Cela signifie que nous devons enregistrer chaque appareil actif de nos clients et attribuer les adresses IP statiques sur chacun de nos serveurs VPN. De plus, nous devons stocker le dernier horodatage de connexion pour chaque appareil afin de récupérer les adresses IP inutilisées. Nos utilisateurs ne seraient alors plus en mesure de connecter vos appareils après quelques semaines car les adresses auraient été réattribuées.

Il est particulièrement important pour nous de ne pas créer ou stocker de journaux de connexion. Par conséquent, nous ne pouvons pas stocker les données d'enregistrement et de connexion ci-dessus qui seraient actuellement nécessaires au fonctionnement de WireGuard.

VPN.ac a soulevé des préoccupations similaires concernant les défauts de WireGuard en ce qui concerne la confidentialité des utilisateurs:

Considérations sur la confidentialité: de par sa conception, WireGuard ne convient pas aux politiques de journalisation aucune / limitée. Plus précisément, la dernière adresse IP publique de l'utilisateur serait enregistrée sur le serveur utilisé pour se connecter et elle ne peut pas être supprimée dans la journée conformément à notre politique de confidentialité actuelle. À une date ultérieure, nous apporterons probablement quelques modifications au code source pour assainir ou supprimer la dernière adresse IP publique utilisée..

ExpressVPN est un autre service VPN qui a exprimé des préoccupations concernant la conception de WireGuard et ses implications pour la confidentialité:

L'un des défis auxquels WireGuard est confronté est de garantir l'anonymat des VPN. Aucun utilisateur ne doit se voir attribuer statiquement une seule adresse IP, ni sur un réseau public ni sur un réseau virtuel. L'adresse IP interne d'un utilisateur peut être découverte par un adversaire (via WebRTC, par exemple), qui pourrait alors la mettre en correspondance avec des enregistrements acquis auprès d'un fournisseur VPN (par le vol, la vente ou la saisie légale). Un bon VPN doit être incapable de faire correspondre un tel identifiant à un seul utilisateur. Actuellement, cette configuration n'est pas facile à réaliser avec WireGuard.

ExpressVPN soutiendra les efforts de révision et d'audit du code WireGuard, comme nous l'avons fait par le passé avec OpenVPN. Nous contribuerons au code et signalerons les bogues chaque fois que nous le pourrons et soulèverons les problèmes de sécurité et de confidentialité directement avec l'équipe de développement.

AirVPN a également donné son avis sur les implications de WireGuard pour l'anonymat, comme expliqué dans leur forum:

Wireguard, dans son état actuel, est non seulement dangereux car il manque de fonctionnalités de base et est un logiciel expérimental, mais il affaiblit également dangereusement la couche d'anonymat. Notre service vise à fournir une couche d'anonymat, donc nous ne pouvons pas prendre en considération quelque chose qui l'affaiblit si profondément.

Nous prendrons volontiers Wireguard en considération quand il atteindra une version stable ET offrira au moins les options les plus élémentaires qu'OpenVPN peut offrir depuis 15 ans. L’infrastructure peut être adaptée, notre mission ne peut pas.

Dans leurs forums, ils ont expliqué pourquoi WireGuard ne répond tout simplement pas à leurs exigences:

  • Wireguard n'a pas de gestion d'adresse IP dynamique. Le client doit se voir attribuer à l'avance une adresse IP VPN prédéfinie liée de manière unique à sa clé sur chaque serveur VPN. L'impact sur la couche d'anonymat est catastrophique;
  • Le client Wireguard ne vérifie pas l'identité du serveur (une fonctionnalité si essentielle qu'elle sera sûrement implémentée lorsque Wireguard ne sera plus un logiciel expérimental); l'impact sur la sécurité de cette faille est très élevé;
  • La prise en charge TCP est manquante (un tiers ou de toute façon un code supplémentaire est requis pour utiliser TCP comme protocole de tunneling, comme vous le suggérez, et c'est une régression horrible par rapport à OpenVPN);
  • il n'y a pas de prise en charge pour connecter Wireguard à un serveur VPN via un proxy avec une variété de méthodes d'authentification.

Malgré ces préoccupations, de nombreux services VPN déploient déjà une prise en charge complète de WireGuard. D'autres VPN surveillent le projet et sont intéressés à implémenter WireGuard après avoir été soigneusement audité et amélioré.

En attendant, cependant, comme AirVPN l'a déclaré dans leur forum:

"Nous n'utiliserons pas nos clients comme testeurs."

3. Nouveau et non testé

Bien sûr, OpenVPN a ses problèmes, mais il a également une longue expérience et est un protocole VPN éprouvé avec un audit approfondi. Alors que Donenfeld peut qualifier OpenVPN de «dépassé» dans diverses interviews, d'autres peuvent le voir comme éprouvé et digne de confiance - qualités qui manquent actuellement à WireGuard..

Initialement sorti en 2001, OpenVPN a une très longue histoire. OpenVPN bénéficie également d'une large base d'utilisateurs et d'un développement actif avec des mises à jour régulières. En mai 2017, il a fait l'objet d'un audit majeur par l'OSTIF, l'Open Source Technology Improvement Fund.

À ce stade, WireGuard semble être davantage un projet de niche, mais un potentiel pour l'industrie. Il est très récent et n'est pas encore sorti de la phase de «développement lourd», bien qu'il ait fait l'objet d'une vérification formelle. Cependant, même après la sortie officielle de WireGuard, les utilisateurs seraient prudents de procéder avec prudence..

4. Adoption limitée (pour l'instant)

Comme nous l'avons vu ci-dessus, il existe de grands obstacles à l'adoption de WireGuard à l'échelle de l'industrie:

  • Le problème de la gestion et de la distribution des clés (plutôt que d'utiliser des certificats).
  • WireGuard a besoin de sa propre infrastructure, distincte des serveurs OpenVPN existants.
  • Compatibilité avec les opérations existantes. Pour les fournisseurs qui ont construit leur service et leurs fonctionnalités autour d'OpenVPN, WireGuard pourrait ne pas être dans les cartes de sitôt.

Confidentialité parfaite que WireGuard n'est pas compatible avec leurs fonctionnalités côté serveur existantes, telles que les cascades VPN multi-sauts, TrackStop et NeuroRouting. Néanmoins, j'ai contacté Perfect Privacy et ils ont confirmé qu'ils pourraient prendre en charge WireGuard en tant qu'option autonome à une date ultérieure.

De même, AirVPN a également déclaré que WireGuard est «totalement inutilisable» avec leur infrastructure:

Pour le moment c'est totalement inutilisable dans notre infrastructure car il ne prend pas en charge TCP, ne dispose pas d'une attribution IP VPN dynamique et (au moins la version que nous avons vue) ne dispose pas d'une fonction de sécurité strictement nécessaire (vérification du certificat CA fourni par le serveur, donc le client ne peut pas être sûr que sur le de l'autre côté, une entité hostile ne se fait pas passer pour un serveur VPN).

Conclusion: non recommandé

Compte tenu de l'état actuel de WireGuard, des implications sur la confidentialité et du fait qu'il n'a pas été audité, WireGuard n'est pas recommandé pour une utilisation régulière.

De plus, les problèmes de confidentialité inhérents à WireGuard (par conception!) Sont un inconvénient majeur.

Il est peu probable que cela s'améliore et cela oblige les services VPN à créer une sorte de solution prête à l'emploi unique pour le faire fonctionner avec leurs politiques de non-journalisation, comme nous l'avons vu ci-dessus avec AzireVPN. Cet inconvénient n'affecte pas OpenVPN.

Néanmoins, WireGuard peut être idéal pour certains utilisateurs, en fonction de leur modèle de menace et de leurs besoins spécifiques. À l'heure actuelle, cependant, il serait sage de rester avec OpenVPN ou peut-être IPSec pour une utilisation régulière.

Quels services VPN prennent en charge WireGuard?

Voici les VPN qui prennent actuellement en charge WireGuard ou ont confirmé qu'ils testent WireGuard avec l'intention de prendre en charge le protocole lorsqu'il sera prêt:

  1. AzireVPN
  2. VPN.ac
  3. TorGuard
  4. Mullvad
  5. IVPN
  6. NordVPN (toujours en test)
  7. Accès Internet privé (toujours en test)

Nous allons maintenant examiner de plus près chacun de ces services VPN WireGuard ci-dessous.

1. AzireVPN - serveurs WireGuard en direct

AzireVPN est un service VPN basé en Suède qui se concentre sur la confidentialité et la sécurité. Il a été l'un des premiers à adopter WireGuard et possède une section WireGuard:

Nous avons développé une API pour la distribution des clés et envisageons d'ajouter WireGuard à notre client. Pour le moment, ce protocole peut être utilisé sur Windows, Linux, macOS, Android et les routeurs exécutant OpenWRT, mais la prise en charge de Windows arrive bientôt. Inscrivez-vous simplement pour vous connecter à tous nos serveurs WireGuard, disponibles dans chacun de nos sites.

Remarque: AzireVPN prend actuellement en charge les utilisateurs Windows via le client VPN TunSafe tiers. Cependant, il n'y a pas de prise en charge officielle de WireGuard pour Windows pour le moment et le développeur recommande de ne pas utiliser de clients tiers:

Un client Windows arrive bientôt. En attendant, il est fortement déconseillé aux clients Windows qui ne sont pas publiés sur ce site, car ils peuvent être dangereux à utiliser, malgré les efforts de marketing.

2. VPN.ac - Les serveurs WireGuard en direct

est un service VPN roumain que j'utilise et teste depuis un certain nombre d'années (voir la revue VPN.ac).

VPN.ac a annoncé sur son blog qu'après avoir testé WireGuard en interne, ils ont décidé de prendre en charge le protocole. Comme ils l'ont expliqué sur leur (blog):

Initialement, il sera disponible en version bêta. La mise en œuvre est un peu difficile, en raison de la conception de WireGuard qui ne la rend pas adaptée à notre infrastructure prête à l'emploi.

Nous voulons que l'implémentation soit aussi bonne et simple que possible à partir de zéro, et entièrement automatisée. Cela nécessite un certain travail sur le côté back-end: API, clés de synchronisation des serveurs, etc. Pas aussi simple que de lancer un autre serveur, mais certainement faisable.

VPN.ac a défini trois étapes pour intégrer pleinement WireGuard dans leur service:

  • Étape 1: concevoir et déployer les API principales
  • Étape 2: disponibilité frontale du générateur de configuration pour la configuration manuelle / logiciel client tiers
  • Étape 3: mise en œuvre dans nos applications client VPN

Si vous souhaitez tester WireGuard avec VPN.ac, ils proposent (voir la page FAQ), ce qui vous donne un abonnement d'essai complet d'une semaine pour 2 $.

3. TorGuard - serveurs WireGuard en direct

TorGuard est un service VPN américain que j'ai trouvé pour offrir de bonnes performances et de nombreuses fonctionnalités, y compris des services de messagerie, des adresses IP dédiées et des bundles de streaming.

Le site Web TorGuard contient divers guides pour configurer TorGuard sur différents appareils.

4. Mullvad - serveurs WireGuard en direct

meilleur vpn pour wireguard

Comme AzireVPN, Mullvad est également basé en Suède et a été l'un des premiers VPN à implémenter WireGuard.

Mullvad prend actuellement en charge WireGuard sur Linux, Mac OS, Android et certains routeurs. Ils disposent également d'un vaste réseau de serveurs WireGuard actifs (49 au total) en plus de 281 serveurs OpenVPN.

https://mullvad.net/

5. IVPN - serveurs WireGuard en direct

IVPN Wireguard

IVPN est un service VPN basé à Gibraltar qui prend également en charge WireGuard. Il semble qu'IVPN soit le premier fournisseur à intégrer WireGuard dans ses propres clients VPN, comme ils l'expliquent sur leur site Web, ce qui est intéressant car le code est toujours en cours de développement. Comme l'explique IVPN sur son site Web:

WireGuard est disponible sur nos macOS, iOS & Clients Android. Vous pouvez également vous connecter en utilisant la plupart des distributions Linux. WireGuard n'est pas pris en charge sous Windows pour le moment.

IVPN dispose actuellement de 10 emplacements de serveur WireGuard.

https://www.ivpn.net/

Autres fournisseurs VPN WireGuard

Il existe également quelques services VPN différents qui ont annoncé publiquement leur intention d'ajouter WireGuard, mais ne sont pas encore prêts pour la mise en œuvre.

NordVPN

NordVPN ne prend actuellement pas en charge WireGuard, mais ils le testent activement et se préparent à une version lorsqu'elle sera prête.

Accès Internet Privé

Private Internet Access est un grand partisan de WireGuard et a également fait un don à la cause. Néanmoins, il n'est pas prêt à tirer la gâchette et à proposer WireGuard à ses utilisateurs en raison de l'état actuel et de l'absence d'audit, comme ils l'ont expliqué sur reddit:

WireGuard est génial, mais il est en développement actif. Cela signifie qu'il y a des bogues de sécurité en attente d'être détectés, et cela pourrait avoir de graves conséquences pour les fournisseurs de VPN qui sont les premiers à adopter. Une atteinte à la sécurité ou à la vie privée est un risque que nous ne pouvons pas prendre en tant qu'organisation.

L'avenir de WireGuard VPN

Alors, que réserve l'avenir pour WireGuard VPN?

Une fois WireGuard entièrement publié, audité et autorisé pour une utilisation régulière, il continuera probablement à gagner en popularité - en supposant qu'il soit bien reçu par la base d'utilisateurs VPN. Avec une popularité et une demande croissantes, vous pouvez être sûr que davantage de services VPN intégreront WireGuard dans leur infrastructure - même si cela s'accompagne de difficultés croissantes. Bien que la plupart des meilleurs services VPN ne prennent actuellement pas en charge WireGuard, cela peut changer au fil du temps.

En raison de l'intérêt des utilisateurs, nous constatons déjà que les premiers utilisateurs et divers fournisseurs de VPN utilisent leur implémentation WireGuard comme un outil de marketing, avec les communiqués de presse qui l'accompagnent (** toux ** juste pour tester **la toux**). Cette tendance se poursuivra probablement.

WireGuard peut devenir un protocole populaire pour les utilisateurs mobiles, où il offre en effet certains avantages.

Si vous souhaitez essayer ce nouveau protocole VPN, vous pouvez le tester avec l'un des services VPN WireGuard ci-dessus. Assurez-vous de considérer implications pour la confidentialité et la sécurité compte tenu de l'état actuel du projet. Jusqu'à ce que WireGuard soit entièrement publié et audité, il serait préférable de s'en tenir à OpenVPN ou IPSec pour une utilisation régulière.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me