Discussion :

[Bill Fassinou]

WireGuard, une application VPN et un nouveau protocole de communication gratuit et open source, a été fusionné dans net-next
et est en passe d'être inclus dans la version 5.6 du noyau Linux

Ce lundi, le mainteneur de la pile réseau du noyau Linux David Miller a engagé le projet WireGuard, une application logicielle et un nouveau protocole de communication gratuit et open source, dans l'arborescence source “net-next” du noyau. Selon les discussions autour du projet, bien qu'il reste encore des tests à faire, il devrait être publié dans la prochaine version majeure du noyau Linux, la version 5.6, au premier ou au deuxième trimestre de 2020. WireGuard aurait reçu l’aval de Linus Torvalds lui-même pour être intégré à Linux.

WireGuard est un VPN extrêmement simple, mais rapide et moderne qui utilise un chiffrement de pointe. Il se veut plus rapide, plus simple, plus léger et plus utile qu'IPsec, tout en évitant les maux de tête massifs. Il a l'intention d'être beaucoup plus performant qu’OpenVPN. WireGuard a été conçu comme un VPN polyvalent pour fonctionner sur des interfaces embarquées, mais aussi des superordinateurs, adaptés à de nombreuses circonstances différentes. Initialement publié pour le noyau Linux, il est maintenant multiplateforme et largement déployable.

Il est actuellement en plein développement, mais il pourrait déjà être considéré comme la solution VPN la plus sûre, la plus facile à utiliser et la plus simple de l'industrie. Il s’agit d’une solution VPN sécurisée de couche 3. Contrairement à ses anciens rivaux, qu'il est destiné à remplacer, son code est beaucoup plus propre et simple. Selon les spécifications du projet, WireGuard fonctionne en encapsulant de manière sécurisée les paquets IP sur UDP. Son authentification et la conception de l'interface ont plus à voir avec Secure Shell (SSH) que d'autres VPNs.

Selon l’auteur principal de WireGuard, Jason Donenfeld, il vous faut simplement configurer l'interface WireGuard avec votre clé privée et les clés publiques de vos pairs, et vous êtes prêt à parler en toute sécurité. Il a été écrit en C (modules du noyau Linux) et en Go (l’interface utilisateur). L’on s’attend à ce qu’il devienne rapidement la nouvelle norme pour les VPN Linux à son arrivée. Avec sa minuscule taille de code, ses primitives cryptographiques à grande vitesse et sa conception en noyau, il devrait être plus rapide que tous les autres VPN existants.

WireGuard utilise Curve25519 pour l'échange de clés, ChaCha20 pour le chiffrement, Poly1305 pour l'authentification des données, SipHash pour les clés de la table de hachage et BLAKE2s pour le hachage. Il prend en charge la couche 3 pour IPv4 et IPv6 et peut encapsuler v4-in-v6 et vice versa. WireGuard a été adopté par certains fournisseurs de services VPN comme Mullvad VPN, AzireVPN, IVPN et cryptostorm, bien avant son incorporation dans Linux, en raison de sa conception jugée “excellente”. Il a reçu des dons de Private Internet Access, IVPN et la NLnet Foundation.

« Nous trouvons WireGuard avantageux pour plusieurs raisons. Sa conception simpliste en seulement quelques lignes de code permet aux administrateurs système et aux développeurs de l'intégrer correctement, et il est plus difficile pour eux de se tromper. De cette manière, WireGuard rapprochera le monde de notre propre vision : rendre la surveillance de masse inefficace », a déclaré en 2017 Fredrik Strömberg, cofondateur de Mullvad. Dans sa façon d’approuver le nouveau VPN, Linus Torvalds estime qu’il l’a comparé aux autres VPN et trouve qu’il est bien mieux.

« Est-ce que je peux encore une fois exprimer mon amour pour lui et espérer qu'il fusionnera bientôt ? Peut-être que le code n'est pas parfait, mais je l'ai écrémé, et comparé aux horreurs que sont OpenVPN et IPSec, c'est une œuvre d'art », a-t-il déclaré à propos de WireGuard.

Sources : lkml, WireGuard

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Plus de 480 millions d'applications mobiles VPN ont été téléchargées en un an. L'Indonésie, les USA et l'Inde figurent en tête des pays ayant enregistré le plus de téléchargements

Un grand nombre d'applications VPN gratuites populaires sur Google Play et App Store sont détenues par des entités chinoises ou sont basées en Chine

Il est de plus en plus difficile pour les VPN de contourner le Grand Firewall de Chine après une mise à jour, selon un test de Comparitech

Nombreux sont les produits VPN qui semblent être distincts, mais sont tous gérés par la même poignée d'entreprises, d'après une enquête

[Aiekick]

est ce que l’intégration d'un vpn dans le noyau pourrait faciliter l'espionnage des distrib desktop ? je détesterai être observé via le vpn.

[Jipété]

Pour intégrer un truc comme ça dans le noyau, àmha il va être examiné à la loupe, que dis-je, au microscope !

[abriotde]

est ce que l’intégration d'un vpn dans le noyau pourrait faciliter l'espionnage des distrib desktop ?

Pour ça il n'y a pas besoin de VPN, pas besoin d'encrypter, juste que la machine soit infecté (de quelque manière que ce soit) et connecté au réseau.

Par contre l'inquiétude est que la NSA (ou d'autres agences) poussent l'utilisation d'un protocol dans lequels elles ont cachées une faille de manière a ce que les gens qui souhaitent utiliser un VPN puissent être espionnés malgré tout. En même temps beaucoup d'agences gouvernementales on intérêt a ce que Linux soit très sécurisées et sont prêt a investir pour ça (la NSA elle voudrait que Linux soit sécurisé car beaucoup d'entreprises et services publics américains l'utilisent mais que Linux comporte des failles que seul la NSA connaîtrait et qu'elles pourait corriger pour ses propres serveurs).

Le mot d'ordre est donc prudence. Il ne faut pas se ruer dessus, il faut attendre quelques années de voir si l'on découvre un scandale. Pour l'instant on continu sur OpenVPN.

Aujourd'hui la plus grosse faille potentiel de la sécurité vis a vis de la NSA, est lié aux protocols de cryptographie les plus utilisés. Il ne sont pas Open-Source, même si leur implémentation informatique peut-l'être. Je parle de leur conception sécurisée, des preuves mathématiques de leur fiabilité. De sérieux doutent subsistent entre autre sur DSA et RSA.

[wistiti1234]

Ce n'est rien de plus qu'un outils. Tant qu'il n'est pas configuré et mis en route, ce n'est pas plus dangereux qu'un couteau dans un tiroir.
Et qui d'autre que Root pour le configurer?

[abriotde]

Tout a fait juste, mais s'il est dans le tiroir, pourquoi aller en prendre un autre plus loin. J'entends par là c'est un bon moyen d'insérer une faille dans le noyau et que beaucoup de monde l'utilisera. C'est d'autant plus un bon moyen, que manipulant des boucle de sécurité complexe il plus est facile de cacher une failles.

[wistiti1234]

Il paraît qu'il ne fait que 3000 lignes de code, contre plusieurs centaines de milliers (ou millions?) pour OpenVPN. Mais d'un autre côté ce dernier a déjà été audité plusieurs fois, tandis que le premier n'est encore qu'un bébé.

[Kouarf]

J'ai testé Wireguard sur un serveur Linux et un client Windows. Quelle déception sur le débit qui varie beaucoup alors que dans la même configuration OpenVPN a un débit constant plus élevé. Il parait que ce serait dû au client TAP Windows. J'ai essayé avec le client TuneSafe et impossible de me connecter...

Par rapport à OpenVPN Wireguard est ultra simple à configurer. Mais c'est au prix d'une pauvreté fonctionelle : pas d'IP dynamique des clients, pas d'authentification par login/mot de passe, impossible de pousser les routes aux clients ...