Protocoles VPN expliqués et comparés

OpenVPN, IKEv2, PPTP, Wireguard, L2TP, SSTP, IPSec … que sont tous ces protocoles VPN et lequel devriez-vous utiliser? Cette aide-mémoire pratique met en évidence les principales caractéristiques des protocoles VPN populaires afin que vous n’ayez pas à parcourir les pages de documentation.

Ceci est un guide de référence rapide pour le profane qui veut explorer les différents protocoles VPN disponibles. Pour ceux qui veulent une réponse rapide sur laquelle ils devraient utiliser:

  1. Optez pour OpenVPN lorsqu’il est disponible, en particulier lorsque la configuration est gérée par une application tierce
  2. L2TP / IPSec est probablement l’alternative la plus largement utilisée offrant une sécurité décente
  3. SSTP est également une option solide pour les utilisateurs Windows, en supposant que vous faites confiance aux technologies propriétaires de Microsoft.
  4. IKEv2 est une alternative rapide et sécurisée pour les quelques appareils qui la prennent en charge, notamment les appareils mobiles.
  5. Utiliser PPTP uniquement en dernier recours
  6. OpenVPN

Qu’Est-ce que c’est?

Protocole VPN open source hautement configurable pour une variété de ports et de types de cryptage. OpenVPN est l’un des protocoles les plus récents dont la version initiale a été publiée en 2001.

À quoi sert-il?

Les clients VPN tiers utilisent souvent le protocole OpenVPN, OpenVPN n’étant pas intégré aux ordinateurs et aux périphériques mobiles. Il est devenu de plus en plus courant pour l’utilisation de VPN à usage général et est maintenant le protocole par défaut utilisé par la plupart des fournisseurs de VPN rémunérés.

Est-ce rapide?

Pas aussi rapide que PPTP, à peu près à la même vitesse que L2TP en fonction de l’appareil et de la configuration.

Est-ce sécurisé?

Oui. OpenVPN utilise un protocole de sécurité personnalisé qui s’appuie fortement sur OpenSSL, similaire au cryptage utilisé sur les sites Web HTTPS. Comme il peut être configuré pour utiliser n’importe quel port, il peut facilement être déguisé en trafic Internet normal et est donc très difficile à bloquer. Il prend en charge plusieurs algorithmes de cryptage, les plus courants étant AES et Blowfish.

Est-ce facile à installer?

Si vous prévoyez de le configurer manuellement, non. Cependant, de nombreux clients VPN natifs de fournisseurs VPN grand public facilitent grandement l’installation et l’exécution. Dans ces cas, OpenVPN ne nécessite généralement aucune configuration manuelle, car l’application du fournisseur s’occupe de cela pour vous.

L2TP / IPSec
Qu’Est-ce que c’est?

Le protocole de couche 2 est le protocole VPN, généralement associé à IPSec pour des raisons de sécurité. L2TP a été développé par Cisco et Microsoft dans les années 90.

À quoi sert-il?

Accéder à Internet via un VPN lorsque la sécurité et la confidentialité sont des préoccupations.

Est-ce rapide?

Sorte de. Il y a un débat autour de savoir si c’est plus rapide que OpenVPN ou non. L’utilisateur moyen ne remarquera probablement pas de différence de vitesse entre les deux. L2TP / IPSec est plus lent que PPTP.

Est-ce sécurisé?

Oui, L2TP / IPSec ne présente aucune vulnérabilité majeure connue. Certains experts ont toutefois fait part de leurs inquiétudes quant au fait que le protocole aurait pu être affaibli ou compromis par la NSA. La NSA a aidé à développer IPSec.

Est-ce facile à installer?

Ça dépend. À l’instar du protocole PPTP, la prise en charge de L2TP / IPSec est intégrée à la plupart des ordinateurs et des périphériques mobiles modernes. Le processus d’installation est similaire, mais le port utilisé par L2TP est facilement bloqué par les pare-feu. Si vous devez contourner ces pare-feu, vous devez transférer le port, ce qui nécessite une configuration plus complexe.

PPTP
Qu’Est-ce que c’est?

Le plus ancien protocole VPN largement utilisé, développé à l’origine par Microsoft pour les réseaux d’accès à distance. PPTP est synonyme de tunneling point à point.

À quoi sert-il?

PPTP est utilisé à la fois pour se connecter à Internet et à un intranet (c’est-à-dire pour accéder au réseau interne d’un immeuble de bureaux).

Est-ce rapide?

Oui. En raison de la norme de cryptage inférieure, PPTP est l’un des protocoles VPN les plus rapides.

Est-ce sécurisé?

Non, le PPTP n’a pas bien vieilli et de nombreuses vulnérabilités en matière de sécurité ont été constatées au fil des ans. La NSA décrypte et surveille activement le trafic PPTP. Même s’il utilise normalement un cryptage 128 bits, il n’offre aucun avantage en termes de sécurité.

Est-ce facile à installer?

Oui. Le protocole PPTP est le protocole le plus courant intégré à de nombreux ordinateurs et périphériques mobiles aujourd’hui, ce qui en fait l’un des plus simples, sinon les plus simples, à configurer manuellement.

SSTP
Qu’Est-ce que c’est?

Secure Socket Tunneling Protocol a été développé par Microsoft et intégré pour la première fois à Windows Vista. Le protocole propriétaire (read: not open-source) fonctionne sous Linux mais est principalement considéré comme une technologie exclusivement Windows.

À quoi sert-il?

Pas tant. SSTP est peut-être utilisé par quelques inconditionnels de Windows car il est intégré, mais il ne présente aucun avantage réel par rapport à OpenVPN. C’est mieux que L2TP pour contourner les pare-feu sans configuration compliquée.

Est-ce rapide?

À peu près la même chose que OpenVPN.

Est-ce sécurisé?

Oui, en supposant que vous faites confiance à Microsoft (incertain). Il est généralement configuré à l’aide d’un cryptage AES fort.

Est-ce facile à installer?

L’installation manuelle est assez facile sur les machines Windows. Les Macs ne le feront pas et ne le feront probablement jamais. Linux et quelques autres systèmes auront plus de difficultés.

IKEv2
Qu’Est-ce que c’est?

Internet Key Exchange version 2 n’est pas exactement un protocole VPN, mais peut être traité comme tel. Il a été développé conjointement par Microsoft et Cisco.

À quoi sert-il?

Il est particulièrement utile pour les appareils mobiles 3G ou 4G LTE, car il permet de se reconnecter chaque fois que la connexion est interrompue. Cela peut se produire lorsque l’utilisateur passe dans un tunnel et perd temporairement son service ou lorsqu’il passe de la connexion mobile au wifi. La prise en charge de IKEv2 est intégrée aux appareils Blackberry.

Est-ce rapide?

Oui, IKEv2 est le protocole le plus rapide de cette liste.

Est-ce sécurisé?

Oui, encore une fois, si vous faites confiance à Microsoft. IKEv2 prend en charge plusieurs niveaux de cryptage AES et, comme le protocole L2TP, utilise la suite de cryptage IPSec. Certaines versions open-source sont également disponibles pour ceux qui préfèrent éviter la version propriétaire de Microsoft.

Est-ce facile à installer?

IKEv2 n’est pas largement pris en charge, mais pour les périphériques compatibles, il est assez facile à configurer.

IPSec
Qu’Est-ce que c’est?

La sécurité du protocole Internet, ou IPSec, est un protocole utilisé à plusieurs fins, l’un d’eux étant les VPN. Il fonctionne au niveau du réseau, par opposition au niveau de l’application (utilisé par SSL).

À quoi sert-il?

IPSec est souvent associé à d’autres protocoles VPN tels que L2TP pour fournir un chiffrement, mais il peut également être utilisé seul. Il est fréquemment utilisé pour les VPN de site à site et de nombreuses applications VPN iOS utilisent également IPSec au lieu d’OpenVPN ou d’un autre protocole.

Est-ce rapide?

IPSec est généralement considéré comme plus rapide que SSL, mais vos résultats peuvent varier en fonction de la configuration et de l’utilisation prévue.

Est-ce sécurisé?

Oui, IPSec est sécurisé, mais en 2013, les fuites de Snowden ont révélé que la NSA travaillait activement à l’insertion de vulnérabilités.

Est-ce facile à installer?

Selon l’utilisation envisagée, la configuration d’un VPN IPSec peut s’avérer complexe. Pour l’utilisateur moyen possédant un iPhone qui essaie juste de se connecter aux serveurs de son fournisseur de réseau privé virtuel, cela ne devrait pas poser de problème.

SSL / TLS
Qu’Est-ce que c’est?

La couche TLS (Transport Security Layer) et son prédécesseur SSL (Secure Socket Layer) sont les protocoles cryptographiques les plus couramment utilisés actuellement. Chaque fois que vous vous connectez à un site Web HTTPS, votre connexion au serveur est protégée par SSL. Il est utilisé dans certains protocoles VPN mais n’est pas en soi un protocole VPN.

A quoi cela sert?

En ce qui concerne les VPN, le cryptage d’OpenVPN est basé sur la bibliothèque OpenSSL et OpenVPN est considéré comme un VPN SSL.

SSL est également utilisé pour créer des proxies HTTPS, qui sont transmis en tant que VPN par certaines entreprises. Celles-ci sont souvent annoncées comme des VPN basés sur un navigateur qui s’exécutent comme des extensions Chrome ou Firefox et n’offrent pas tous les avantages en matière de sécurité d’un véritable VPN.

Est-ce rapide?

Cela dépend davantage du protocole VPN et du niveau de cryptage utilisé.

Est-ce sûr?

Pour maximiser la sécurité, TLS est plus récent et protège mieux contre les attaques que SSL.

Est-ce facile à installer?

Les VPN SSL sont généralement considérés comme plus faciles à configurer que les VPN IPSec pour les connexions client à distance.

Wireguard
Qu’Est-ce que c’est?

Wireguard est un protocole de tunnel VPN sécurisé qui vise à améliorer les autres protocoles de cette liste en termes de rapidité, de facilité de déploiement et de temps système.

À quoi sert-il?

Wireguard est encore en développement, mais il est disponible pour plusieurs plates-formes. Il est suffisamment léger pour fonctionner sur des interfaces intégrées, mais convient également aux conteneurs tels que Docker jusqu’aux périphériques et réseaux hautes performances. Cela dit, il est encore assez rare de trouver Wireguard dans une application VPN grand public.

Est-ce rapide?

Oui. Wireguard supprime une grande partie du volume trouvé dans d’autres protocoles et fonctionne à partir du noyau Linux pour améliorer la vitesse.

Est-ce sécurisé?

Oui, bien que nous rappelions aux lecteurs que Wireguard est encore en développement. Wireguard utilise une cryptographie de pointe, peut être facilement audité et utilise un concept appelé «routage cryptokey» pour gérer la gestion de réseau et le contrôle d’accès à la place de règles de pare-feu compliquées.

Est-ce facile à installer?

Oui, même si cela n’a pas encore été largement appliqué. Les créateurs comparent Wireguard à la configuration de SSH, un protocole sécurisé très simple. Il permet l’itinérance entre les adresses IP. Le site Web de Wireguard déclare: «Il n’est pas nécessaire de gérer les connexions, de s’inquiéter de l’état, de gérer les démons ou de s’inquiéter de ce qui est caché.

Types de VPN: Secure vs Trusted
Tous les VPN que nous examinons chez Comparitech sont considérés comme des «VPN sécurisés». Cela signifie que le trafic envoyé et reçu par leur intermédiaire est chiffré et authentifié. Être un VPN sécurisé signifie également que le serveur et le client s’accordent sur les propriétés de sécurité, et que personne en dehors du VPN ne peut affecter ces propriétés. Les VPN sécurisés utilisent l’un des protocoles énumérés ci-dessus.

Un VPN “de confiance” est distinct d’un VPN sécurisé. Les VPN approuvés ne peuvent utiliser aucun cryptage. Au lieu de cela, les utilisateurs «font confiance» au fournisseur de réseau privé virtuel pour s’assurer que personne d’autre ne peut utiliser la même adresse IP et le même chemin. Personne d’autre que le fournisseur ne peut modifier les données, injecter des données ou supprimer des données sur un chemin du VPN.

Les VPN de confiance sont beaucoup moins courants de nos jours. En général, les entreprises les utilisaient pour accéder à distance à leurs ressources internes et non pour se connecter au World Wide Web. Mais les menaces à la sécurité sont devenues trop grandes pour que la plupart des entreprises courent le risque d’utiliser une connexion non chiffrée.

Les VPN qui combinent les propriétés de cryptage d’un VPN sécurisé et les propriétés de ligne dédiées d’un VPN de confiance sont parfois appelés VPN «hybrides». Les VPN hybrides sont courants aujourd’hui, en particulier pour les entreprises. Mais la plupart des fournisseurs de VPN commerciaux offrant un accès illimité à Internet ne donnent pas aux clients une adresse IP dédiée, ils ne sont donc pas considérés comme des hybrides.