Vous cherchez à sécuriser vos précieuses données auto-hébergées, à accéder à votre réseau domestique depuis le bout du monde, ou simplement à naviguer incognito ? Alors, vous êtes au bon endroit !
Aujourd'hui, on décortique deux géants du VPN open source : WireGuard et OpenVPN.
Accrochez-vous, ça va "miauler" de technique, mais toujours avec une patte de fun !
⚡Le principe du tunnel secret : comment ça marche un VPN ?
Avant de plonger dans le vif du sujet, rappelons brièvement comment fonctionne un VPN (Virtual Private Network). Imaginez un tunnel secret qui se crée entre votre appareil et un serveur VPN. Toutes les données qui transitent par ce tunnel sont cryptées, les rendant illisibles pour les curieux (même les plus malins comme Papillon !). Votre adresse IP réelle est masquée, remplacée par celle du serveur VPN, vous offrant ainsi anonymat et sécurité.
📌Les mille et une vies du tunnel VPN : des cas d'utilisation concrets
Au-delà de la théorie, un VPN auto-hébergé ou l'utilisation d'un service VPN ouvre un monde de possibilités pour les Self-Hosteurs et les utilisateurs soucieux de leur vie privée. Voici quelques cas d'utilisation concrets :
🛺 L'accès à votre royaume auto-hébergé, où que vous soyez :
- Le Problème : Vous êtes en déplacement (peut-être en train de déjouer les plans de Papillon à Paris !) et vous avez besoin d'accéder à vos fichiers sur votre serveur Nextcloud à la maison, à votre bibliothèque multimédia Plex, ou à l'interface d'administration de votre instance Home Assistant.
Sans VPN, ces services ne sont généralement pas accessibles directement depuis l'extérieur de votre réseau local pour des raisons de sécurité. - La Solution VPN : En vous connectant à votre VPN (WireGuard ou OpenVPN) sur votre appareil mobile ou votre ordinateur portable, vous créez un tunnel sécurisé vers votre réseau domestique.
Une fois connecté, votre appareil fait partie de votre réseau local, et vous pouvez accéder à tous vos services auto-hébergés comme si vous étiez à la maison. - Exemple : "Tiens, il faut que je partage le dernier article Belginux sur mon Nextcloud... Ah, mais je suis à la convention Self-Hosted à Bruxelles !
Pas de souci, un petit coup de WireGuard et hop, je suis chez moi en un clin d'œil !"
🔐Sécuriser vos communications sur les réseaux publics attention aux vilains !) :
- Le Problème : Les réseaux Wi-Fi publics (cafés, aéroports, etc.) sont souvent non sécurisés.
Vos données (mots de passe, informations bancaires, etc.) peuvent être interceptées par des personnes malintentionnées. - La Solution VPN : En activant votre VPN avant de vous connecter à un réseau public, tout votre trafic internet est chiffré.
Même si quelqu'un essaie d'espionner la connexion, il ne verra que des données illisibles. - Exemple : "Ce Wi-Fi gratuit de la gare a l'air un peu louche... Mieux vaut activer mon OpenVPN avant de consulter mes emails Belginux.
On n'est jamais trop prudent !"
🗺️Contourner les restrictions géographiques :
- Le Problème : Certains contenus en ligne (vidéos, services de streaming) peuvent être bloqués dans votre pays pour des raisons de licence ou de censure.
- La Solution VPN : En vous connectant à un serveur VPN situé dans un pays où le contenu est accessible, vous pouvez potentiellement contourner ces restrictions.
Votre adresse IP sera celle du serveur VPN, vous faisant apparaître comme si vous naviguiez depuis ce pays. - Exemple : Le film/émission "pas d'idée ... xd" n'est pas disponible dans ma région...
Un petit tour via mon serveur WireGuard basé en France, et le tour est joué !"
🫂Créer un réseau privé sécurisé entre amis ou famille (le réseau des héros !) :
- Le Problème : Vous souhaitez partager des fichiers, jouer à des jeux en réseau local ou accéder aux services auto-hébergés de vos amis ou de votre famille de manière sécurisée, même s'ils sont géographiquement éloignés.
- La Solution VPN : En configurant un VPN site à site ou en utilisant un VPN avec des configurations client-à-client, vous pouvez créer un réseau privé virtuel où tous les membres connectés peuvent communiquer en toute sécurité.
- Exemple : "On organise une soirée retrogaming avec les membres de Belginux, mais certains sont loin. Pas de problème, on met en place un petit réseau WireGuard temporaire et on se retrouve comme si on était dans la même pièce pour une session de Age Of Empire II (le meillieur) endiablée !"
OpenVPN : Le vieux sage robuste
⚙️ Fonctionnement :
OpenVPN est un protocole VPN mature et très configurable. Il utilise généralement le protocole de transport TCP ou UDP et s'appuie sur la librairie de sécurité OpenSSL pour le chiffrement.
Sa grande force réside dans sa flexibilité et sa compatibilité avec de nombreuses plateformes.
📈 Points forts :
- Grande compatibilité : Fonctionne sur quasiment tous les systèmes d'exploitation et routeurs.
- Très configurable : Offre une multitude d'options de configuration pour s'adapter à tous les besoins.
- Sécurité éprouvée : Basé sur OpenSSL, une librairie de chiffrement largement auditée.
- Communauté importante : Beaucoup de documentation, de tutoriels et d'aide disponible.
📉 Points faibles :
- Complexité de configuration : Peut être intimidant pour les débutants avec ses nombreux paramètres.
- Performances parfois en retrait : L'utilisation d'OpenSSL et sa nature plus "lourde" peuvent entraîner des débits moins élevés et une consommation de ressources plus importante que WireGuard.
- Configuration des certificats parfois fastidieuse.
🖥️ Cas d'utilisation et exemples :
- Accès distant sécurisé à un réseau domestique/professionnel : Connectez-vous à votre serveur auto-hébergé (Nextcloud, Plex, etc.) depuis n'importe où dans le monde comme si vous étiez sur votre réseau local.
- Contournement des restrictions géographiques : Accédez à des contenus bloqués dans votre région (attention aux miau-vais usages !).
- Anonymisation du trafic internet : Protégez votre vie privée lorsque vous utilisez des réseaux Wi-Fi publics.
📊 Benchmark (exemple théorique) :
Sur un serveur avec une bonne connexion, un transfert de fichier volumineux via OpenVPN pourrait atteindre des débits de l'ordre de :
- TCP : 50-150 Mbps
- UDP : 80-200 Mbps
Ces chiffres sont indicatifs et dépendent fortement de la configuration, du serveur, du client et de la qualité de la connexion.
WireGuard : La vitesse
⚙️ Fonctionnement :
WireGuard est un protocole VPN plus récent, conçu avec la simplicité et la performance en tête. Il utilise des techniques de cryptographie modernes et un code base beaucoup plus léger que celui d'OpenVPN.
Sa configuration est généralement plus rapide et ses performances sont souvent supérieures.
📈 Points forts :
- Simplicité de configuration : L'installation et la configuration sont généralement beaucoup plus rapides et directes qu'OpenVPN.
- Excellentes performances : Sa conception légère et l'utilisation de primitives cryptographiques modernes se traduisent souvent par des débits plus élevés et une latence plus faible.
- Code base plus petit : Moins de lignes de code signifient potentiellement moins de failles de sécurité (même si l'audit reste crucial).
- Itinérance (roaming) facilitée : Gère mieux les changements de réseau (passage du Wi-Fi à la 4G par exemple).
📉 Points faibles :
- Moins de compatibilité : Bien que de plus en plus répandu, il n'est pas encore disponible sur toutes les plateformes (notamment certains routeurs plus anciens).
- Moins d'options de configuration avancées : Sa simplicité se traduit par moins de flexibilité pour des configurations très spécifiques.
- Anonymisation de l'adresse IP du client : Par défaut, WireGuard associe une adresse IP à une clé publique. Des solutions comme
wg-quicket des outils de gestion peuvent aider à gérer cela, mais cela demande une certaine vigilance.
🖥️Cas d'utilisation et exemples :
- Connexion rapide et performante à un serveur auto-hébergé : Idéal pour le streaming, les jeux en ligne ou les transferts de fichiers volumineux avec une faible latence.
- Accès distant facile pour les utilisateurs moins techniques.
- Création de réseaux privés virtuels (VPN) entre plusieurs de vos serveurs auto-hébergés.
📊 Benchmark (exemple théorique) :
Dans les mêmes conditions que pour OpenVPN, WireGuard pourrait atteindre des débits de l'ordre de :
- UDP : 200-500+ Mbps (et potentiellement plus selon la configuration)
↔️ Comparaison benchmark
( Source : Talk Wireguard 2018 )
🚄Bande Passante (megabits par seconde) :
- WireGuard (1011 Mbps) arrive largement en tête en termes de débit. Il offre une bande passante significativement supérieure aux autres protocoles testés.
- IPsec (AES - 881 Mbps) et IPsec (ChaPoly - 825 Mbps) montrent des performances similaires et sont bien meilleures qu'OpenVPN.
- OpenVPN (AES - 257 Mbps) affiche la bande passante la plus faible de ce benchmark.
⏱️ Temps de Ping (millisecondes) :
- WireGuard (0.403 ms) présente également le temps de ping le plus bas, indiquant une latence très faible.
- IPsec (AES - 0.501 ms) et IPsec (ChaPoly - 0.508 ms) ont des temps de ping légèrement plus élevés que WireGuard, mais restent très bons.
- OpenVPN (AES - 1.541 ms) a un temps de ping considérablement plus élevé que les autres protocoles, ce qui peut impacter la réactivité de la connexion.
🫵 Le duel : Quel VPN choisir pour votre self-hébergement ?
Le choix entre WireGuard et OpenVPN dépendra de vos besoins et de votre niveau de confort technique :
- Si la simplicité, la vitesse et les performances sont vos priorités, et que vous n'avez pas besoin d'une configuration ultra-spécifique, WireGuard est un excellent choix. C'est le chat rapide et agile qui bondit entre les serveurs !
- Si la compatibilité maximale, une grande flexibilité de configuration et une sécurité éprouvée sont essentielles, et que vous êtes prêt à investir un peu plus de temps dans la configuration, OpenVPN reste un choix solide. C'est le vieux sage, fiable et adaptable à toutes les situations.
📓 Lexique
- VPN (Virtual Private Network) : Imagine un tunnel secret et bien gardé sur l'autoroute d'Internet. Il te permet de naviguer incognito, comme Chat Noir se faufilant sur les toits de Paris, en chiffrant tes données et en masquant ton adresse IP. Idéal pour accéder à ton serveur self-hosted de n'importe où en toute sécurité !
- Cryptage : Terme utilisé en dehors du contexte cryptographique, pour désigner une opération sans possibilité de déchiffrement (souvent en électronique ou dans un cadre industriel).
Exemple : Dans certaines transmissions analogiques (TV satellite, anciennes radios), un signal était crypté, c’est-à-dire brouillé sans chiffrement proprement dit. - Chiffrement : opération réversible qui transforme un message clair (lisible) en un message chiffré (illisible) à l’aide d’une clé de chiffrement
Au passage , quand NordVpn dit qu'ils utilisent un chiffrement de type militaire il ne s'agit ni plus ni moins que du modèle de chiffrement AES-256 sorti en 1997 ( zarev n'était même pas encore né)
Ce qui est amusant c'est que ce modèle de chiffrement est extrêmement répandu , le SSL/TLS pour le HTTPS l'utilise, ainsi que l'IPSEC ou encore le SSH donc bon ... - OpenSSL : C'est une boîte à outils open source super pratique, un peu comme le kwami Plagg pour Adrien, qui fournit les briques de construction nécessaires pour sécuriser tes communications et tes données. Il permet notamment de mettre en place le chiffrement (SSL/TLS) sur ton serveur web self-hosted.
