L’IKEv2 est un protocole VPN utilisé pour sécuriser les connexions VPN. Faisant partie de la suite de protocoles(nouvelle fenêtre) IPSec, il est parfois (et à proprement parler, plus correctement) appelé IKEv2/IPSec.

Un protocole VPN est un ensemble d’instructions ou de règles qui déterminent la manière dont s’établit la connexion entre votre appareil et le serveur VPN.

En savoir plus sur le fonctionnement d’un VPN

Le protocole détermine le niveau de sécurité et de rapidité d’une connexion. OpenVPN et WireGuard® sont des protocoles VPN alternatifs que nous utilisons désormais exclusivement sur les applications officielles Proton VPN (ainsi que Stealth, qui est basé sur WireGuard). Toutefois, vous pouvez toujours configurer Proton VPN en utilisant IKEv2 sur des clients VPN tiers.

En savoir plus sur OpenVPN

En savoir plus sur WireGuard

IKEv2 est le protocole VPN officiellement pris en charge sur tous les appareils Apple (ordinateurs Mac, iPhones et iPads), mais la manière dont Apple implémente les connexions VPN est très imparfaite.

Qu’est-ce que l’IPSec ?

L’Internet Protocol Security (IPSec) est une suite de protocoles flexible qui fournit un cadre pour sécuriser les connexions VPN. Plus précisément, il :

  • Configure l’échange de clés entre votre appareil et le serveur VPN. 
  • Fournit une authentification pour vérifier la source des paquets de données et s’assurer qu’ils n’ont pas été falsifiés pendant le transit.
  • Chiffre et déchiffre les données envoyées via la connexion VPN

En tant que cadre plutôt que solution complète en soi, l’IPSec prend en charge plusieurs protocoles et normes de chiffrement pour exécuter ces fonctions.

Qu’est-ce que l’IKEv2 ?

L’IKEv2 est la deuxième version du protocole IKE (Internet Key Exchange). Développé à l’origine par Microsoft et Cisco dans le cadre de la suite IPSec, il existe aujourd’hui de nombreuses versions open source de ce protocole.

L’IKE est utilisé pour configurer une association de sécurité(nouvelle fenêtre) (SA) pour l’IPSec lors de la connexion entre votre appareil et le serveur VPN. C’est-à-dire qu’il est responsable de la négociation d’un ensemble de clés et d’algorithmes mutuellement convenus à utiliser par les deux parties.

L’IKE repose sur le protocole Oakley(nouvelle fenêtre) et le protocole ISAKMP(nouvelle fenêtre) (Internet Security Association and Key Management Protocol). Il utilise des certificats X.509(nouvelle fenêtre) pour l’authentification et un échange de Diffie-Hellman(nouvelle fenêtre) (DHE) pour sécuriser l’échange de clés.

Lorsque l’IPSec est utilisé avec l’IKEv1, il est souvent appelé simplement IPSec. L’IKEv2 est sorti en 2005 et améliore l’IKEv1 de plusieurs manières clés, notamment en utilisant moins de bande passante et en étant capable de détecter si une connexion est toujours active. Si ce n’est pas le cas, l’IKEv2 peut rapidement rétablir une connexion interrompue.

Une autre amélioration est sa prise en charge du protocole MOBIKE (Mobility and Multihoming), qui permet à l’IKEv2 de changer de réseau facilement. Par exemple, lors de déplacements entre des points d’accès ou entre le wifi domestique et des connexions mobiles.

L’IKEv2 est également plus résistant aux attaques par déni de service(nouvelle fenêtre) (DoS) que l’IKEv1, se montre plus efficace en termes de nombre de mécanismes cryptographiques utilisés et peut facilement traverser les pare-feux NAT(nouvelle fenêtre).

L’IKEv2/IPSec est-il sécurisé ?

Le consensus parmi les experts en cryptographie est que l’IKEv2/IPSec est un protocole VPN sécurisé.

En 2013, John Gilmore(nouvelle fenêtre), spécialiste des technologies et membre fondateur de l’Electronic Frontier Foundation, a publié un livre blanc expliquant comment l’IPSec a été délibérément affaibli(nouvelle fenêtre) au cours de sa phase de conception. De plus, les révélations obtenues par Edward Snowden(nouvelle fenêtre) sur le programme Bullrun(nouvelle fenêtre) de la National Security Agency(nouvelle fenêtre) (NSA) américaine ont semé encore plus le doute sur la sécurité de l’IPSec.

Diapositive obtenue par Edward Snowden montrant que le GCHQ dispose de capacités non spécifiées contre l'IPSec

Cependant, l’IPSec ne présente aucune faiblesse connue lorsqu’il est implémenté avec l’IKEv2 (l’implémentation de l’IKEv2 par Apple est problématique, mais le problème vient d’Apple et non de l’IKEv2/IPSec lui-même).

Conclusion — IKEv2 vs OpenVPN et WireGuard

Bien que l’IKEv2 soit considéré comme sécurisé, OpenVPN l’est encore plus et peut fonctionner sur TCP pour une meilleure résistance à la censure. WireGuard est considéré comme aussi sécurisé qu’OpenVPN, tout en étant beaucoup plus rapide. Dans l’implémentation de Proton VPN, il peut également fonctionner sur TCP.

Ainsi, même s’il n’y a rien de mal avec l’IKEv2, il n’y a plus vraiment de raison de l’utiliser aujourd’hui de préférence à OpenVPN ou (surtout) WireGuard.

L’IKEv2 continue d’être largement pris en charge car c’est le protocole VPN officiellement pris en charge sur les appareils Apple. Mais comme nous l’avons déjà mentionné, il est préférable d’éviter l’implémentation de l’IKEv2 par Apple.