Un protocole VPN est l’ensemble d’instructions que votre application VPN utilise pour configurer, sécuriser et gérer votre connexion à un serveur VPN. OpenVPN est un protocole VPN qui ne présente aucune faille connue et s’avère efficace pour contourner certaines méthodes de censure en ligne. OpenVPN présente également l’avantage d’être pris en charge sur un très large éventail de plateformes et d’appareils.
Des implémentations propriétaires d’OpenVPN existent, mais il existe également une Community Edition gratuite et open source.
Dans cet article, nous examinons en détail le fonctionnement d’OpenVPN, la manière dont il sécurise la communauté Proton VPN et comment il se compare aux autres protocoles VPN. Cet article vous sera des plus utiles si vous comprenez déjà le fonctionnement d’un VPN.
- Comment OpenVPN assure-t-il ma sécurité ?
- Canaux Open VPN
- OpenVPN peut-il contourner la censure des VPN ?
- OpenVPN a-t-il été audité ?
- OpenVPN vs WireGuard®
En savoir plus sur le fonctionnement d’un VPN
Lancé initialement en 2001, OpenVPN commence à accuser son âge en termes de vitesse, de performances et d’efficacité. Cependant, il est toujours largement considéré comme sécurisé, une perception renforcée par les documents publiés par le lanceur d’alerte de la NSA, Edward Snowden, en 2013.
Ceux-ci indiquaient clairement que, tant que vous n’utilisiez pas de clés prépartagées(nouvelle fenêtre), OpenVPN était le seul protocole VPN couramment utilisé à l’époque que la NSA ne pouvait pas déchiffrer. WireGuard®, un protocole VPN plus récent et sécurisé, n’avait pas encore été développé en 2013. Bien que WireGuard soit plus rapide, plus léger et plus efficace, il ne peut égaler la fiabilité éprouvée d’OpenVPN.
Avantages d’OpenVPN :
- Open source
- Une sécurité éprouvée
- Peut fonctionner sur UDP ou TCP
- Largement pris en charge
Inconvénients d’OpenVPN :
- Ses performances ne peuvent pas encore rivaliser avec celles de WireGuard (bien que des efforts soient déployés pour les améliorer)
- Une base de code relativement volumineuse et complexe
Proton VPN prend en charge OpenVPN sur toutes nos applications :
- Windows
- macOS
- Android
- Android TV (via Smart Protocol)
- iOS et iPadOS
- Application Linux et CLI
- Chrome OS
Comment OpenVPN assure-t-il ma sécurité ?
OpenVPN utilise plusieurs technologies cryptographiques pour protéger vos données et ne présente aucune vulnérabilité connue. Les technologies utilisées par la plupart des implémentations modernes d’OpenVPN (y compris celle de Proton VPN) sont :
AES
Advanced Encryption Standard (AES) est un algorithme de chiffrement à clé symétrique utilisé pour chiffrer et déchiffrer les données transmises via votre connexion VPN.
Il est certifié par le National Institute of Standards and Technology(nouvelle fenêtre) (NIST) et utilisé par le gouvernement des États-Unis pour sécuriser les données classifiées. L’AES a une taille de clé maximale de 256 bits (AES-256), le gouvernement américain jugeant l’AES-256 suffisant pour sécuriser les informations classées « top secret »(nouvelle fenêtre).
Lorsqu’il est utilisé dans le cadre de la suite de chiffrement d’OpenVPN, l’AES peut être employé en mode AES-CBC (Cipher Block Chaining) ou AES-GCM (Galois/Counter Mode). Pour comprendre le fonctionnement de Proton VPN, vous devez simplement connaître le mode AES-GCM
Bien que tout aussi sécurisé, le mode plus moderne AES-GCM est un algorithme de chiffrement authentifié avec données associées(nouvelle fenêtre) (AEAD) qui permet d’authentifier les données en plus de les sécuriser. HMAC SHA (voir ci-dessous) est toujours requis pour authentifier la connexion TLS, mais l’AES-GCM est plus efficace (et donc plus rapide) pour authentifier les données que le protocole SHA.
En savoir plus sur le chiffrement AES
RSA
OpenVPN s’appuie sur l’AES pour sécuriser vos données, mais pour les envoyer via la connexion VPN, OpenVPN applique la cryptographie sur clé publique(nouvelle fenêtre). Ce système cryptographique utilise un échange de clés asymétriques, où vos données sont chiffrées à l’aide de la clé publique partagée de votre destinataire. Ces données ne peuvent ensuite être déchiffrées que par la clé privée secrète de votre destinataire, .
Le chiffrement à clé asymétrique est efficace pour envoyer des données de manière secrète sur Internet, mais il est lent par rapport aux systèmes de chiffrement symétriques tels que l’AES. C’est pourquoi il est principalement utilisé dans les VPN pour authentifier les connexions entre le client VPN et le serveur VPN. OpenVPN utilise le cryptosystème RSA(nouvelle fenêtre) à cette fin.
Les longueurs de clé RSA peuvent être de presque n’importe quelle taille, mais une clé de 4096 bits est suffisamment sécurisée sans imposer une surcharge de calcul élevée qui serait inutile et ralentirait votre connexion.
DHE
Un échange de clés Diffie-Hellman(nouvelle fenêtre) (DHE) peut être utilisé pour sécuriser l’échange de clés TLS de manière similaire au RSA, avec l’avantage supplémentaire de fournir également une confidentialité persistante(nouvelle fenêtre). La confidentialité persistante garantit que de nouvelles clés sont utilisées pour chaque session, de sorte que même si une session est compromise, aucune autre session n’est affectée. La confidentialité persistante garantit que les attaquants ne peuvent pas déchiffrer les sessions VPN passées avec une seule clé compromise.
Cependant, étant donné que le protocole DHE réutilise un ensemble limité de nombres premiers, il peut être vulnérable aux attaques Logjam(nouvelle fenêtre). Ce problème est beaucoup moins préoccupant si des tailles de clé suffisamment grandes sont utilisées, mais son utilisation pour sécuriser les échanges de clés TLS reste controversée.
Pour cette raison, Proton VPN utilise la prise en charge du protocole DHE dans la suite de chiffrement d’OpenVPN afin de fournir une confidentialité persistante, mais pas pour sécuriser l’échange de clés en lui-même.
HMAC SHA
OpenVPN utilise le protocole HMAC SHA pour valider les certificats TLS utilisés lors de l’échange de clés TLS. Cela protège contre les attaques de l’homme du milieu.
La famille SHA(nouvelle fenêtre) de fonctions de hachage cryptographiques(nouvelle fenêtre) est utilisée pour authentifier les données. Lorsque ces fonctions mathématiques complexes sont exécutées sur un ensemble de données, cela crée une empreinte digitale unique. Si un seul bit de ces données change, l’empreinte SHA change également.
Le SHA-1 (une fonction de hachage de 160 bits) est connu pour être vulnérable aux attaques par collision(nouvelle fenêtre), mais le SHA-2 est toujours considéré comme sécurisé. Plus important encore, OpenVPN utilise uniquement le protocole SHA pour calculer les valeurs de code d’authentification de message de hachage(nouvelle fenêtre) (HMAC). Celles-ci sont beaucoup plus difficiles à attaquer que l’algorithme SHA seul, à tel point que même le SHA-1 est toujours considéré comme assez sûr pour le HMAC(nouvelle fenêtre).
Canaux Open VPN
OpenVPN utilise deux canaux distincts pour transférer vos données de manière sécurisée entre votre appareil et le serveur VPN.

Le canal de données
Avant d’envoyer vos données à travers le tunnel VPN, OpenVPN les chiffre avec un algorithme de chiffrement à clé symétrique.
Proton VPN utilise jusqu’à l’AES-256 en mode GCM pour vérifier les données.
Le canal de contrôle
Une fois les données chiffrées, elles peuvent être envoyées à travers le tunnel VPN. Le canal de contrôle établit une connexion TLS entre le client VPN et le serveur VPN. Celle-ci est sécurisée à l’aide d’un algorithme de chiffrement à clé symétrique, mais avec un échange de clés asymétriques.
Proton VPN utilise un chiffrement symétrique allant jusqu’à l’AES-256-GCM, avec une authentification par hachage RSA-4096 et HMAC SHA-384 pour vérifier les certificats TLS. La suite de chiffrement que nous utilisons comprend également un accord de clé Diffie-Hellman (DHE) pour assurer la confidentialité persistante.
OpenVPN peut-il déjouer la censure des VPN ?
L’un des grands avantages d’OpenVPN est qu’il peut fonctionner à la fois sur les protocoles de transmission UDP et TCP, qui sont les deux principaux protocoles gérant l’envoi des données sur internet. UDP est plus rapide, tandis que TCP est plus fiable, mais le principal avantage de cette flexibilité est que TCP est utile pour déjouer la censure des gouvernements et d’autres organisations.
En savoir plus sur la différence entre UDP et TCP
Le port TCP 443 est utilisé par HTTPS(nouvelle fenêtre), la norme de chiffrement qui sécurise le web. Il est ainsi difficile de bloquer OpenVPN lorsqu’il est exécuté sur le port TCP 443 sans bloquer l’ensemble du trafic HTTPS, ce qui rend OpenVPN utile pour contourner les blocages de VPN de bas niveau.
Cependant, des formes plus avancées d’inspection approfondie des paquets peuvent facilement distinguer les paquets HTTPS des paquets VPN.
En savoir plus sur l’inspection approfondie des paquets
OpenVPN a-t-il été audité ?
À la suite d’une campagne de financement participatif (crowdfunding), OpenVPN 2.4 a fait l’objet d’un audit indépendant(nouvelle fenêtre) par OSTIF et QuarksLab en 2016. Les résultats ont été très positifs, et la seule vulnérabilité critique/élevée découverte concernait une sensibilité aux attaques par déni de service et n’impactait pas la sécurité des utilisateurs. Ce problème a également été rapidement résolu.
Cependant, l’année 2016 remonte à quelque temps déjà, et OpenVPN 2.6.1 est la version la plus récente au moment de la rédaction.
OpenVPN vs WireGuard
Le protocole WireGuard, plus récent, est sécurisé, rapide et efficace, c’est pourquoi Proton VPN l’utilise désormais comme protocole VPN par défaut. La capacité d’OpenVPN à fonctionner sur TCP reste un avantage par rapport à WireGuard standard, mais Proton VPN a désormais développé une implémentation de WireGuard qui fonctionne également sur TCP.
WireGuard constitue également la base de notre protocole d’obfuscation Stealth, qui est bien plus efficace pour contourner les blocages de censure que l’exécution d’OpenVPN sur TCP.
Le fait que la sécurité d’OpenVPN ait fait ses preuves depuis plus longtemps que celle de WireGuard peut encore séduire certains, mais il y a peu de raisons de le préférer à WireGuard, à moins que votre appareil actuel ne prenne pas en charge WireGuard.
Pour conclure
Pendant de nombreuses années, OpenVPN a été de fait le protocole VPN par défaut. C’est pourquoi il reste très bien pris en charge sur les routeurs et autres appareils connectés à internet. Bien qu’il soit toujours hautement sécurisé, il offre peu d’avantages par rapport à WireGuard, plus moderne (en particulier les implémentations personnalisées de ce nouveau protocole par Proton VPN).







