VPN & TPE
Comparatif protocoles VPN Tableau comparant WireGuard, IKEv2/IPsec, OpenVPN et PPTP sur la sécurité, les performances, la complexité et le verdict TPE Protocole Sécurité Performances Complexité Verdict TPE WireGuard ~4 000 lignes de code Noyau Linux 5.6+ Recommandé Très élevée Modèle fixe — pas de négociation d'algo ChaCha20 / Curve25519 Excellentes Exécution noyau Idéal sur mobile Faible Config simple Clients disponibles partout Meilleur choix pour un nouveau déploiement IKEv2 / IPsec Standard ANSSI Recommandé entreprise Recommandé Très élevée Si bien configuré PFS à activer Algo faibles possibles Très bonnes Gère bien le changement réseau Moyenne Config à vérifier PFS, suites crypto Bon choix Si équipements existants ou FIPS OpenVPN ~400 000 lignes de code Open source, audité Acceptable Élevée AES-256-GCM Surface de code large Correctes Plus lent que WireGuard Moyenne Fonctionne sur TCP 443 si bloqué Si réseau bloquant Hôtel, accès restrictif PPTP Protocole de 1999 MS-CHAPv2 cassable À proscrire Insuffisante Cassable avec des ressources accessibles Rapides Sans intérêt vu le niveau sécu Faible Souvent par défaut sur vieux routeurs Ne jamais utiliser Remplacer immédiatement PFS = Perfect Forward Secrecy — à activer explicitement sur IKEv2 et OpenVPN
Comparatif des quatre protocoles VPN les plus courants — critères pertinents pour une TPE.

Qu'est-ce qu'un protocole VPN ?

Le protocole VPN définit trois choses : comment l'authentification entre votre appareil et le serveur est réalisée, quels algorithmes chiffrent les données en transit, et comment le tunnel est maintenu. Deux services qui affichent le même slogan ("chiffrement militaire AES-256") peuvent utiliser des protocoles radicalement différents — avec des niveaux de sécurité réels très éloignés.

WireGuard — le protocole moderne

WireGuard est intégré au noyau Linux depuis 2020 et disponible sur toutes les plateformes majeures. Sa conception est radicalement différente des protocoles plus anciens : environ 4 000 lignes de code contre 400 000 pour OpenVPN. Une surface de code réduite est plus facile à auditer, à corriger, et à maintenir.

Son modèle cryptographique est fixe : Curve25519 pour l'échange de clés, ChaCha20-Poly1305 pour le chiffrement, BLAKE2s pour le hachage. L'absence de négociation d'algorithmes élimine les attaques de downgrade — impossible de forcer WireGuard à utiliser un algorithme plus faible.

Pour une TPE

Si votre fournisseur propose WireGuard, c'est le choix par défaut recommandé. Plus rapide, plus simple, et la surface d'attaque réduite est un avantage réel même pour une petite structure.

IKEv2 / IPsec — la recommandation institutionnelle

IKEv2 est recommandé par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) pour les accès distants en entreprise. Il gère bien le changement de réseau — si votre téléphone passe du Wi-Fi à la 4G, le tunnel se maintient sans reconnexion. C'est un avantage pour les équipes mobiles.

Point de vigilance : IPsec permet de négocier des algorithmes cryptographiques faibles pour maintenir la compatibilité avec des équipements anciens. Une configuration IKEv2 qui accepte 3DES ou des groupes Diffie-Hellman de 1024 bits n'offre pas le niveau de sécurité attendu. Vérifier que votre fournisseur utilise des suites cryptographiques modernes (AES-256-GCM, groupes DH 2048 bits minimum).

OpenVPN — polyvalent mais plus lent

OpenVPN est open source, audité, et disponible sur toutes les plateformes. Il est plus lent que WireGuard car il fonctionne en espace utilisateur (pas intégré au noyau). Son avantage principal : il peut fonctionner sur TCP port 443, rendant son trafic indistinguable de HTTPS pour les équipements d'inspection réseau. Utile dans des environnements qui bloquent les autres protocoles.

Configuration recommandée : AES-256-GCM pour le chiffrement des données, TLS 1.3 pour le canal de contrôle, et la Perfect Forward Secrecy activée.

PPTP et L2TP seul — à proscrire

PPTP (Point-to-Point Tunneling Protocol) repose sur MS-CHAPv2, un protocole d'authentification cassable. Il ne doit jamais être utilisé pour des données professionnelles. L2TP sans couche IPsec n'offre aucun chiffrement — il encapsule les données sans les protéger. Ces deux protocoles apparaissent encore dans les configurations de routeurs anciens et certains paramètres Windows par défaut.

La Perfect Forward Secrecy (PFS)

La PFS est une propriété cryptographique qui garantit que la compromission d'une clé de chiffrement ne compromet pas les sessions passées. Sans PFS, si un attaquant enregistre votre trafic chiffré aujourd'hui et obtient votre clé dans 5 ans, il peut déchiffrer tout ce qu'il a capturé. Avec PFS, chaque session génère des clés éphémères — la compromission d'une clé n'affecte qu'une session.

WireGuard implémente la PFS par conception. Pour IKEv2 et OpenVPN, vérifier que la configuration l'active explicitement — elle est parfois désactivée par défaut pour des raisons de performance.