WireGuard vs OpenVPN : quel protocole utiliser ?

Miklos Zoltan

By Miklos Zoltan . 8 avril 2022

Founder - Privacy Affairs

Justin Oyaro

Fact-Checked this

Les Réseaux Privés Virtuels (VPN) reposent sur des protocoles VPN pour établir des connexions et sécuriser votre trafic en ligne sur Internet.

À l’heure actuelle, WireGuard et OpenVPN sont considérés comme les meilleurs protocoles dans le secteur des VPN.

Ce guide comparatif évalue WireGuard et OpenVPN sur des aspects clés tels que la sécurité, la confidentialité, la vitesse et la facilité d’utilisation.

Il présente également leurs caractéristiques, leurs avantages et quelques informations générales.

Lisez la suite pour savoir comment les deux protocoles VPN se comparent l’un à l’autre ! Découvrez quel est le meilleur protocole VPN.

WireGuard vs OpenVPN : Aperçu

OpenVPN a débarqué sur le marché en 2001 et est depuis considéré comme la référence du secteur en matière de confidentialité et de sécurité.

WireGuard, arrivé en 2019, a pris le contrôle du marché des VPN commerciaux grâce à ses vitesses et ses caractéristiques de sécurité relativement impressionnantes.

WireGuard et OpenVPN sont tous deux open source, et certains des meilleurs fournisseurs de VPN tels que NordVPN, Surfshark, Private Internet Access et CyberGhost utilisent ces protocoles dans leurs applications VPN.

Certains fournisseurs VPN ont créé leurs propres protocoles basés sur le code WireGuard ou OpenVPN.

Les principaux objectifs de WireGuard sont d’améliorer les protocoles VPN existants par la simplicité, la vitesse, la facilité d’utilisation et la réduction de la surface d’attaque – il utilise à cet effet une cryptographie de pointe.

Ainsi, il est conçu pour répondre aux besoins de chaque aspect du VPN.

OpenVPN utilise plusieurs techniques de cryptage et compte plus de 60 millions de téléchargements. Bien établi sur le marché, OpenVPN est pratiquement utilisé par tous les clients VPN du marché, qu’ils soient commerciaux ou d’entreprise.

Même avec l’émergence de nouveaux protocoles et une concurrence féroce, OpenVPN reste la référence en matière de sécurité des VPN.

Malgré les différences entre les deux protocoles, tous deux se veulent rapides, sécurisés, stables et fiables.

Quelques caractéristiques

Le protocole WireGuard est surtout connu pour les éléments suivants :

  • Ses vitesses de connexion ultrarapides.
  • Permet des commutations multiples entre les réseaux.
  • La possibilité de configurer soi-même et manuellement un réseau VPN.
  • Sa moindre utilisation de bande passante.

OpenVPN est surtout connu pour :

  • Son accès à des régions où la censure est courante telles que la Chine, la Russie, etc.
  • Être le meilleur protocole de sécurité de sa catégorie.
  • Utiliser la vaste bibliothèque OpenSSL pour la cryptographie.
  • Sa résistance à l’épreuve du temps, avec des tests approfondis.

Voici une brève comparaison des caractéristiques pour se familiariser :

Caractéristiques WireGuard OpenVPN
Date de sortie Septembre 20199 Mai 2001
Taille du code ≈ 4 000 lignes Plus de 70 000 lignes
Chiffrement utilisé ChaCha20, Poly1305 AES, Blowfish, Camellia
Confidentialité Persistante Parfaite Oui Oui
Sécurité Élevée Élevée
Stabilité Stable Stable
Confidentialité Fort Nécessite des améliorations
Contourner la censure Très peu Oui
Vitesses et performances Très rapide Correct, équilibré
Open source Oui Oui
Compatibilité En développement Supporté en natif

Taille du code

WireGuard compte environ 4 000 lignes de code tandis qu’OpenVPN en compte plus de 70 000.

En outre, les versions modifiées d’OpenVPN peuvent atteindre jusqu’à 600 000 lignes de code.

En utilisant moins de lignes de code, WireGuard réduit la surface d’attaque et donc les risques d’une éventuelle cyber-attaque.

Avec une base de code plus petite, les développeurs peuvent identifier les vulnérabilités facilement, et un seul auditeur peut rapidement vérifier le code. Ainsi, les pirates sont moins susceptibles d’identifier les failles de sécurité dans WireGuard.

Même avec une base de code importante, OpenVPN n’est pas vulnérable aux attaques. Peut-être qu’il l’était au début.

C’est l’un des avantages d’être présent dans le secteur depuis presque deux décennies, à savoir, pouvoir examiner minutieusement ses potentielles failles.

En outre, OpenVPN dispose d’une grande communauté avec divers intervenants qui veillent à ce qu’il soit toujours exempt de bogues.

Auditabilité

WireGuard et OpenVPN sont tous deux des logiciels libres (open source). Il est donc facile pour quiconque d’accéder au code source et à d’autres aspects pour les auditer.

En raison de son code moins volumineux par rapport à celui d’OpenVPN, WireGuard peut être rapidement audité.

Cependant, même avec un code moins volumineux, WireGuard n’a pas encore gagné la confiance des auditeurs de sécurité.

Contrairement à WireGuard, OpenVPN a résisté à l’épreuve du temps et a subi plusieurs audits.

Même avec plus de 70 000 lignes de code et la nécessité d’une équipe plus importante, OpenVPN est un protocole largement audité et reconnu des experts en sécurité.

C’est parce qu’il existe depuis longtemps et que la plupart des connexions de tunnel VPN s’appuient sur lui.
Néanmoins, WireGuard est en train de rattraper son retard ; ce protocole recevra la même attention qu’OpenVPN après son adoption massive.

Avec un code bien moins volumineux, il peut être audité bien plus qu’OpenVPN ne l’a été, et ce, en peu de temps.

Sécurité et cryptage

WireGuard et OpenVPN intègrent tous deux plusieurs techniques et algorithmes de cryptage sécurisés, dont le chiffrement.

Cependant, même avec une cryptographie de pointe, WireGuard n’est pas aussi agile qu’OpenVPN. WireGuard dispose d’un ensemble fixe de techniques de cryptage qui fonctionnent pour une version spécifique du logiciel.

Si un bogue ou une faille de sécurité sont découverts dans une version, la mise à jour suivante corrige la vulnérabilité avec d’autres techniques de cryptage symétrique et algorithmes cryptographiques.

Mais cela est appelé à changer. Avec OpenVPN, vous pouvez rapidement passer au cryptage qui fonctionne. Cela explique aussi pourquoi WireGuard est moins encombrant qu’OpenVPN.

Les techniques de chiffrement et de cryptage couramment utilisées par WireGuard comprennent ChaCha20 et Poly1305. ChaCha20 est utilisé pour les cryptages, tandis que Poly1305 est utilisé pour les authentifications.

Il peut également utiliser d’autres techniques de cryptographie telles que le cadre de protocoles Noise, Curve25519, BLAKE2, SipHash24 et HKDF.

OpenVPN, quant à lui, utilise couramment AES, Blowfish et Camellia. En outre, comme OpenVPN s’appuie également sur la bibliothèque OpenSSL, il peut utiliser d’autres techniques de cryptographie telles que Chacha20, Poly1305, SEED, CAST-128, DES, SHA-2, SHA-3, BLAKE2, RSA, DSA, l’échange de clés Diffie-Hellman, la courbe elliptique, et d’autres.

OpenVPN utilise des techniques de cryptage plus éprouvées et plus fiables que les algorithmes plus récents utilisés par WireGuard. La technologie utilisée par OpenVPN a fait ses preuves en 18 ans, avec un chiffrement AES testé depuis plus de dix ans.

WireGuard utilise des techniques beaucoup plus récentes comme ChaCha20 et Poly1035.

Néanmoins, l’argument change lorsque vous mettez les deux protocoles en pratique. Par exemple, la technologie de cryptage beaucoup plus récente de WireGuard ne présente que peu ou pas de menace pour la sécurité, et voici pourquoi :

  • ChaCha20 est hautement sécurisé parce qu’il a évolué au fil du temps et possède maintenant plus de 20 niveaux de sécurité.
  • Il faut moins de temps pour auditer WireGuard, grâce à la taille réduite de son code.
  • Une reconnaissance de la part de géants de la technologie comme Google et un système d’exploitation plus sûr, Linux.

Crypto-agilité vs. Surface d'attaque

La crypto-agilité est la capacité d’un système de sécurité à passer automatiquement d’un algorithme, d’un protocole ou d’un autre moyen de cryptage à un autre.

WireGuard n’est pas crypto-agile, en ce sens qu’il utilise un ensemble fixe d’une seule suite cryptographique pour chaque version. Ce compromis en termes de crypto-agilité réduit la complexité des attaques et les vulnérabilités, notamment dans le cas d’attaques comme celle de l’homme du milieu.

Ainsi, cela le rend plus sûr du point de vue des attaques mais pas du point de vue de la protection.

OpenVPN est lui un protocole crypto-agile ; il peut utiliser plusieurs suites cryptographiques, ce qui permet une protection plus robuste.

Mais là encore, avec plus de suites, vous obtenez plus de complexité, ce qui augmente la surface d’attaque et le risque d’attaque par déclassement.

La bonne nouvelle, c’est qu’OpenVPN ne vous obligera pas à faire une mise à niveau comme WireGuard si une attaque se produit.

WireGuard utilise un système appelé « Versioning » pour changer les suites cryptographiques en cas de vulnérabilité.

Ce système incite les serveurs à demander des connexions sur la nouvelle version et à ignorer l’ancienne.

Grâce à cela, WireGuard a réussi à échapper à des attaques de grande envergure de la part de systèmes non crypto-agiles.

Confidentialité et journalisation

Si vous êtes soucieux de la confidentialité en ligne, il est essentiel de choisir un service VPN qui applique une politique « sans logs » pour garantir une confidentialité absolue. Cela doit également s’appliquer au protocole VPN utilisé par le service.

OpenVPN applique une stricte politique de zéro logs. En revanche, ce n’est pas le cas de WireGuard, qui enregistre les adresses IP autorisées jusqu’au prochain redémarrage du serveur.

À cet égard, WireGuard présente un risque pour la sécurité. En effet, si un serveur VPN est compromis, toutes les adresses IP qui y sont stockées seront utilisées et permettront de retracer votre activité en ligne.

Cela signifie que si vous utilisez un protocole WireGuard standard, votre adresse IP est probablement enregistrée.

C’est pourquoi certains fournisseurs VPN créent leurs propres protocoles basés sur WireGuard pour pallier ce problème de confidentialité.

En plus de WireGuard, il existe une solution de contournement que les meilleurs VPN utilisent pour atténuer ce risque de confidentialité. Voici quelques-unes des astuces utilisées :

  • La traduction d’adresse réseau (NAT) : la fonctionnalité NAT vous attribue une adresse IP évolutive à chaque connexion VPN. Cela implique que chaque session possède une adresse IP unique qui ne fonctionne que jusqu’à ce que vous vous déconnectiez du serveur VPN.
  • La fonction multi-sauts (double VPN) : cette fonctionnalité achemine votre trafic en ligne via plusieurs serveurs utilisant WireGuard. Cette technique supprime également votre adresse IP du serveur après une certaine période d’inactivité.

En outre, si vous êtes véritablement soucieux de votre confidentialité, il est essentiel de confirmer avec votre fournisseur VPN les solutions qu’ils proposent pour pallier les risques que pose WireGuard.

Contourner la censure

OpenVPN est très efficace pour contourner la censure sur Internet parce qu’il peut utiliser TCP au lieu de UDP avec le port 433, qui est également utilisé par HTTPS.

Grâce à cette astuce, il est difficile pour un pare-feu de faire la différence entre le trafic OpenVPN et le trafic web normal et sécurisé. Cela fait d’OpenVPN un protocole plus adapté pour des pays comme la Chine, la Russie et la Turquie.

En règle générale, nous recommandons d’utiliser UDP pour améliorer les vitesses, mais si vous chercher à contourner des restrictions importantes dans certaines régions, TCP sera plus sûr.

Ainsi, TCP est beaucoup plus lent que UDP mais plus fiable.

WireGuard ne permet pas vraiment de contourner la censure et est vulnérable à l’Inspection Approfondie des Paquets. Ceci est dû au fait que WireGuard sacrifie l’obfuscation pour la vitesse. Ainsi, WireGuard ne prend pas en charge le tunneling sur TCP.

Ses connexions UDP sont facilement repérées et bloquées par diverses techniques de censure.

Vous l’avez compris, WireGuard n’est pas idéal pour débloquer les sites Web.

Commutation de Réseaux et Mobilité

En général, lorsqu’il s’agit de mobilité du réseau, le protocole IKEv2 est préféré par de nombreux fournisseurs de VPN car il prend en charge la mobilité et le protocole de multihoming.

Toutefois, l’approche source fermée du protocole suscite des inquiétudes. Par ailleurs, IKEv2 est proposé tel quel par de nombreux appareils mobiles ; vous pouvez donc configurer votre connexion VPN.

Pour ce qui est de la comparaison entre WireGuard et OpenVPN, WireGuard offre une meilleure mobilité.

Avec WireGuard, vous pouvez aisément switcher entre les réseaux Wi-Fi et mobiles, bien plus facilement qu’avec OpenVPN.

De nombreux utilisateurs ont tendance à déconnecter et reconnecter OpenVPN lorsqu’ils changent de réseau, ce qui entraîne des coupures de connexion.

Si vous changez constamment de réseau, il est recommandé d’utiliser un VPN qui utilise WireGuard pour une meilleure expérience de navigation.

Par conséquent, WireGuard offre une excellente solution aux problèmes d’IKEv2 et d’OpenVPN ; il s’agit d’une solution open-source, et il ne connaît pas le problème de mobilité d’OpenVPN.

Utilisation de la bande passante, performances et vitesse

WireGuard utilise moins de bande passante qu’OpenVPN. Cela est dû au fait que WireGuard utilise moins de techniques de cryptage et donc une moindre surcharge liée à cela.

Par conséquent, le temps de cryptage est rapide et nécessite moins de données pour assurer la sécurité lors de l’utilisation d’un VPN.

Il est essentiel de réduire la surcharge de cryptage lorsque vous utilisez une bande passante mobile payante. Avec OpenVPN, vous utiliserez plus de données en raison de son énorme surcharge de cryptage pendant le processus de tunneling.

En ce qui concerne la vitesse et les performances, WireGuard est plus rapide car il s’appuie principalement sur des connexions UDP.

De plus, il utilise moins de ressources CPU sur les appareils mobiles, les systèmes intégrés et les routeurs car il vit dans le noyau Linux. En outre, WireGuard établit également des connexions rapidement.

Quant à OpenVPN, il est également rapide mais pas autant que WireGuard lors de l’utilisation d’UDP. Cependant, si vous optez pour la fiabilité et le contournement des restrictions, vous obtiendrez de fait des vitesses plus lentes puisque vous devez utiliser la connexion TCP, qui privilégie la fiabilité à la vitesse.

OpenVPN ayant une surcharge de cryptage plus élevée, il utilise plus de ressources CPU, ce qui peut être problématique pour les appareils qui n’en disposent pas de beaucoup, comme les routeurs et les systèmes intégrés.

Vous constaterez également que la batterie se décharge plus rapidement en raison de l’utilisation intense du processeur.

Sur le plan des performances, OpenVPN n’a jamais été la meilleure option, car même d’autres protocoles obsolètes donnent de meilleurs résultats.

WireGuard utilise mieux le multithreading avec les CPU modernes, ce que OpenVPN n’a pas encore pleinement utilisé.

WireGuard a réalisé un benchmark haute performance avec les mêmes paramètres sur IPSec, WireGuard et OpenVPN.

D’après le graphique ci-dessus, WireGuard a un meilleur débit et un temps de ping plus faible que son homologue.
Vous pouvez également effectuer des tests de vitesse pour confirmer quel protocole vous offre les meilleures vitesses.

Pour des résultats optimaux, fermez tous les programmes et lancez un VPN qui prend en charge WireGuard, tel que Surfshark ou NordVPN.

Connectez-vous à divers serveurs et mesurez les vitesses en utilisant Speedtest by Ookla. Vous pouvez comparer OpenVPN avec UDP et TCP vs WireGuard.

Compatibilité et facilité d'utilisation

La plupart des VPN du marché utilisent OpenVPN. Vous pouvez également obtenir OpenVPN sur la plupart des routeurs, consoles et autres appareils.

WireGuard ne bénéficie pas encore de la même notoriété, mais il pourrait avoir une présence similaire à celle d’OpenVPN au fur et à mesure de son adoption.

En raison de la légèreté de son code, il est facile pour les développeurs d’ajuster WireGuard pour qu’il fonctionne ou prenne en charge davantage d’appareils, à l’exception des anciens systèmes qui ne prennent pas en charge les nouveaux protocoles. En outre, WireGuard offre une excellente convivialité et une prise en charge multiplateforme.

La plupart des VPN utilisent toujours le protocole OpenVPN au niveau du routeur. Mais vous serez heureux d’apprendre que quelques VPN vous donnent maintenant la possibilité d’utiliser WireGuard au niveau du routeur.

Sur les appareils mobiles, la plupart des VPN renommés proposent désormais le protocole WireGuard.

En ce qui concerne la facilité d’utilisation, WireGuard l’emporte sur OpenVPN. Cela peut également être attribué à sa base de code moins encombrante, qui en fait une meilleure option pour les systèmes intégrés.

OpenVPN a été et est toujours difficile à configurer manuellement. Néanmoins, le processus est plus simple avec un client tiers.

En résumé

WireGuard a fait ses premiers pas sur le marché récemment mais il s’est rapidement fait un nom. Le nombre de VPN réputés qui intègrent désormais ce protocole dans leurs services en est la preuve.

Le mieux dans tout cela est que WireGuard est maintenant disponible dans le noyau Linux.

OpenVPN apparaît comme un protocole beaucoup plus ancien et plus respectable sur le marché. Il obtiendra toujours la confiance et la fidélité des utilisateurs techniques.

Cependant, on ne peut contester que WireGuard égale et même surpasse OpenVPN à bien des égards, notamment la vitesse, la base de code, les performances et la convivialité.

En fin de compte, il est difficile de départager WireGuard et OpenVPN dans cette comparaison directe, pour désigner le meilleur des deux protocoles VPN.

Pour déterminer le protocole que vous devez utiliser, vous devrez faire des choix sur les aspects que vous êtes prêt à troquer car les deux protocoles restent excellents pour une utilisation quotidienne.

Questions fréquemment posées

Some people found answers to these questions helpful

WireGuard peut-il remplacer OpenVPN ?

WireGuard cherche à remplacer l’ensemble de protocoles IPSec en proposant d’autres fonctionnalités et avantages. Il vise également à rivaliser avec OpenVPN, mais il n'est toujours pas à la hauteur en ce qui concerne les niveaux de sécurité et la compatibilité. WireGuard reste un nouveau protocole, même si ses caractéristiques attirent de plus en plus d'utilisateurs.


WireGuard est-il sûr ?

WireGuard est considéré comme hautement sécurisé, mais il ne convient pas forcément aux utilisateurs très soucieux de la confidentialité. À titre d’exemple, WireGuard n'observe pas entièrement une politique de « no logs » car il stocke la plupart des adresses IP des utilisateurs. Cela implique que des pirates informatiques pourraient rapidement avoir un aperçu de votre activité en ligne à votre insu.


WireGuard est-il le protocole VPN le plus rapide ?

Oui, WireGuard est sans doute le protocole VPN le plus rapide du marché actuellement. WireGuard fonctionne au sein du noyau Linux et utilise une cryptographie basique. Cette astuce rend le protocole VPN très rapide tout en présentant des normes de sécurité acceptables.


À quel point WireGuard est-il plus rapide qu’OpenVPN ?

En moyenne, WireGuard est environ 50% plus rapide qu'OpenVPN. L’écart de performance en termes de vitesse par rapport à OpenVPN augmente lorsque vous vous connectez à des serveurs proches (faible latence) et se réduit légèrement lorsque vous vous connectez à des serveurs éloignés (forte latence).


WireGuard est-il moins sûr qu’OpenVPN ?

Oui, WireGuard est moins sûr qu'OpenVPN, mais cela ne le rend pas vulnérable aux attaques pour autant. En même temps, OpenVPN est considéré la référence du secteur en termes de sécurité. OpenVPN est également beaucoup plus ancien et a fait l'objet d'audits approfondis au fil du temps.


Leave a Comment