WireGuard

Informations
Développé par	Jason Donenfeld (d)
Première version	2015
Dernière version	1.0.20220627 (27 juin 2022)
Dépôt	git.zx2c4.com/wireguard-linux
Écrit en	C et Go
Système d'exploitation	Linux, Android, iOS, FreeBSD, NetBSD, OpenBSD, macOS et Microsoft Windows
Formats lus	WireGuard profile (d)
Formats écrits	WireGuard profile (d)
Type	Réseau privé virtuel
Licence	Licence publique générale GNU version 2
Site web	www.wireguard.com

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

Le ton de cet article est trop promotionnel ou publicitaire (décembre 2022).

Vous êtes invité à améliorer l'article de manière à adopter un ton neutre (aide quant au style) ou discutez-en. Vous pouvez également préciser les sections non neutres en utilisant {{section promotionnelle}} et de souligner les passages problématiques avec {{passage promotionnel}}.

WireGuard est un protocole de communication et un logiciel libre et open source permettant de créer un réseau privé virtuel (RPV)^[3]^,^[4]. Il est conçu avec des objectifs de facilité d'utilisation, de performances et de surface d'attaque basse^[5]. Il vise une meilleure performance^[6] et une plus grande économie d'énergie que les protocoles IPsec et OpenVPN Tunneling^[7]. Le protocole WireGuard transmet le trafic sur UDP. En mars 2020, la version Linux du logiciel a atteint une version de production stable et a été intégrée au noyau Linux 5.6. Les composants du noyau Linux sont sous licence GNU (GLPL) version 2. D'autres implémentations sont sous GPLV2 ou d'autres licences gratuites / Open-Source.

Protocole

WireGuard utilise les protocoles suivant^[5] :

Curve25519 pour l'échange de clé
ChaCha20 pour la cryptographie symétrique
Poly1305 pour les code d'authentification de message
SipHash pour les clés hashées
BLAKE2s pour la fonction de hachage cryptographique
Basé uniquement en UDP^[8]

Mode optionnel de pré-partage symétrique des clés

WireGuard supporte le mode de pré-partage symétrique des clés, qui fournit une couche de cryptographie symétrique supplémentaire pour atténuer les futurs progrès de l'informatique quantique. Cela réduit le risque que le trafic soit stocké jusqu'à ce que les ordinateurs quantiques soient capable de casser Curve25519, leur permettant de déchiffrer le trafic. Les clés pré-partagées sont "généralement gênantes du point de vue de la gestion des clés et pourraient être plus probablement volées", mais à plus court terme, si la clé symétrique est compromise, les clés Curve25519 offrent toujours une protection plus que suffisante^[9].

Mise en réseau

À cause des potentiels désavantages du TCP-sur-TCP^[10]^,^[11], Wireguard utilise uniquement^[10] UDP^[5]. WireGuard prend entièrement en charge IPv6, à l'intérieur et à l'extérieur du tunnel. Il ne prend en charge que la Couche réseau 3 pour IPV4 et IPV6. De plus, il peut encapsuler IPV4 en IPV6 (et vice-versa)^[12].

Extensibilité

WireGuard est conçu pour être étendu par des programmes et des scripts tiers. Cela a été utilisé pour améliorer WireGuard avec diverses fonctionnalités, notamment des interfaces de gestion plus simple d'utilisation (y compris une configuration plus facile des clés), la connexion, les mises à jour dynamiques du pare-feu et l'intégration du LDAP.^{[citation nécessaire]}

L'exclusion de ces fonctionnalités complexes du code source améliore sa stabilité et sa sécurité. Pour assurer la sécurité, WireGuard restreint les options d’implémentation de contrôles cryptographiques, limite les choix de processus d'échange de clé et limite les algorithmes^{[citation nécessaire]} à un petit sous-ensemble de primitives cryptographiques modernes.

Si un défaut est trouvé dans l'une des primitives, une nouvelle version peut être publiée et résoudre le problème. De plus, les paramètres de configuration qui affectent la sécurité de l'ensemble de l'application ne peuvent pas être modifiés par des utilisateurs non privilégiés^[13].

Réception

Une étude réalisée par Ars Technica a révélé que WireGuard était simple à configurer et à utiliser, utilisait des chiffrements puissants et avait une base de code minimale qui offrait une petite surface d'attaque^[14].

WireGuard a reçu un financement de l'Open Technology Fund^[15] et des dons de Mullvad, Private Internet Access, IVPN, la Fondation NLnet^[16] et OVPN^[17].

Le sénateur de l'Oregon, Ron Wyden, a recommandé au National Institute of Standards and Technology (NIST) d'évaluer WireGuard en remplacement des technologies existantes^[18].

Références

↑ « https://www.businessinsider.com/wireguard-jason-a-donenfeld-profile-secure-vpn-linux-mac-windows-2021-1 »
↑ « wireguard-linux-compat » (consulté le 4 novembre 2022)
↑ Guénaël Pépin, « Face à OpenVPN, WireGuard veut devenir le Signal des connexions chiffrées », sur nextinpact.com, 5 septembre 2017 (consulté le 22 septembre 2021)
↑ « Qu’est-ce que Wireguard, le seigneur du VPN ? », sur futura-sciences.com, 24 juin 2020 (consulté le 30 avril 2021)
↑ ^{a b et c} « WireGuard: fast, modern, secure VPN tunnel » [archive du 28 avril 2018], WireGuard (consulté le 31 mars 2021)
↑ « Wireguard - Un protocole VPN de nouvelle génération qui rend la connexion VPN plus rapide que jamais », sur Siècle Digital, 16 juillet 2020 (consulté le 30 avril 2021)
↑ Guénaël Pépin, « Connexions chiffrées : l'âge des protocoles VPN en question », sur nextinpact.com, 5 septembre 2017 (consulté le 30 avril 2021)
↑ (en) Jason A. Donenfeld, « Known Limitations - WireGuard », sur www.wireguard.com (consulté le 1^er juin 2020)
↑ Jason Donenfeld, « WireGuard: Next Generation Kernel Network Tunnel », sur Wireguard.com, 2 mai 2021
↑ ^{a et b} (en) Jason A. Donenfeld, « Known Limitations - WireGuard », sur www.wireguard.com (consulté le 2 mai 2021)
↑ « Why TCP Over TCP Is A Bad Idea », sur sites.inka.de (consulté le 2 mai 2021)
↑ Jason A. Donenfeld « WireGuard: Next Generation Kernel Network Tunnel (chap 1: Introduction & Motivation) » (DOI 10.14722/NDSS.2017.23160, lire en ligne, consulté le 26 mai 2023)
—NDSS 2017 Symposium (lire en ligne) (San Diego, CA, 26 février - 1^er mars 2017)
↑ « Wireguard VPN Protocol - Privacy HQ », sur privacyhq.com (consulté le 6 mai 2021)
↑ Jim Salter, « WireGuard VPN review: A new type of VPN offers serious advantages » [archive du 20 septembre 2018], sur Ars Technica, 26 août 2018
↑ « Building a more secure, accessible and resilient WireGuard VPN protocol. », sur www.opentech.fund (consulté le 20 juin 2022)
↑ « Donations » [archive du 28 avril 2018], WireGuard (consulté le 28 avril 2018)
↑ « OVPN donates to support WireGuard », sur OVPN, 23 mars 2020
↑ « US Senator Recommends Open-Source WireGuard To NIST For Government VPN » [archive du 5 août 2018], Phoronix, 30 juin 2018 (consulté le 5 août 2018)

Annexes

Une catégorie est consacrée à ce sujet : Réseaux privés virtuels.

Articles connexes

OpenVPN
Comparison of virtual private network services
Secure Shell (SSH), un protocole de réseau cryptographique utilisé pour sécuriser les services sur un réseau non sécurisé

Liens externes

(en) Site officiel
Face à OpenVPN, WireGuard veut devenir le Signal des connexions chiffrées sur nextinpact.com, le 5 septembre 2017

[wikidata-4e9a4d80d8f514814cc938ffa15483c6e62af167-1] « https://www.businessinsider.com/wireguard-jason-a-donenfeld-profile-secure-vpn-linux-mac-windows-2021-1 »

[wikidata-c8704ecabe0bf6874f14e1958f70d3b262af35fa-2] « wireguard-linux-compat » (consulté le 4 novembre 2022)

[3] Guénaël Pépin, « Face à OpenVPN, WireGuard veut devenir le Signal des connexions chiffrées », sur nextinpact.com, 5 septembre 2017 (consulté le 22 septembre 2021)

[4] « Qu’est-ce que Wireguard, le seigneur du VPN ? », sur futura-sciences.com, 24 juin 2020 (consulté le 30 avril 2021)

[wireguard-site-5] {a b et c} « WireGuard: fast, modern, secure VPN tunnel » [archive du 28 avril 2018], WireGuard (consulté le 31 mars 2021)

[6] « Wireguard - Un protocole VPN de nouvelle génération qui rend la connexion VPN plus rapide que jamais », sur Siècle Digital, 16 juillet 2020 (consulté le 30 avril 2021)

[7] Guénaël Pépin, « Connexions chiffrées : l'âge des protocoles VPN en question », sur nextinpact.com, 5 septembre 2017 (consulté le 30 avril 2021)

[wireguard-limitations-8] (en) Jason A. Donenfeld, « Known Limitations - WireGuard », sur www.wireguard.com (consulté le 1^er juin 2020)

[9] Jason Donenfeld, « WireGuard: Next Generation Kernel Network Tunnel », sur Wireguard.com, 2 mai 2021

[:0-10] {a et b} (en) Jason A. Donenfeld, « Known Limitations - WireGuard », sur www.wireguard.com (consulté le 2 mai 2021)

[11] « Why TCP Over TCP Is A Bad Idea », sur sites.inka.de (consulté le 2 mai 2021)

[wireguard-whitepaper_section1-12] Jason A. Donenfeld « WireGuard: Next Generation Kernel Network Tunnel (chap 1: Introduction & Motivation) » (DOI 10.14722/NDSS.2017.23160, lire en ligne, consulté le 26 mai 2023)
—NDSS 2017 Symposium (lire en ligne) (San Diego, CA, 26 février - 1^er mars 2017)

[13] « Wireguard VPN Protocol - Privacy HQ », sur privacyhq.com (consulté le 6 mai 2021)

[ars-14] Jim Salter, « WireGuard VPN review: A new type of VPN offers serious advantages » [archive du 20 septembre 2018], sur Ars Technica, 26 août 2018

[15] « Building a more secure, accessible and resilient WireGuard VPN protocol. », sur www.opentech.fund (consulté le 20 juin 2022)

[wireguard_donations-16] « Donations » [archive du 28 avril 2018], WireGuard (consulté le 28 avril 2018)

[17] « OVPN donates to support WireGuard », sur OVPN, 23 mars 2020

[18] « US Senator Recommends Open-Source WireGuard To NIST For Government VPN » [archive du 5 août 2018], Phoronix, 30 juin 2018 (consulté le 5 août 2018)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]