WireGuard vs OpenVPN vs IKEv2 : les protocoles VPN comparés
WireGuard vs OpenVPN vs IKEv2 : comparatif clair des protocoles VPN
Le protocole utilisé par votre VPN détermine sa vitesse, sa capacité à survivre à un tunnel de métro, la facilité avec laquelle un pare-feu de censure peut le repérer et le bloquer, et la quantité de code qu'un chercheur en sécurité doit auditer avant de lui faire confiance. Aujourd'hui, la plupart des applications utilisent WireGuard par défaut et vous laissent en changer dans un menu de réglages que presque personne n'ouvre. Ce choix par défaut est le bon la plupart du temps, mais pas toujours.
Ce guide laisse de côté le tableau générique des avantages et inconvénients. Il part plutôt de ce que vous faites réellement : passer du Wi-Fi à la 4G, contourner un réseau restrictif, regarder du streaming, jouer en ligne ou vous connecter depuis un vieux routeur, et explique pourquoi tel protocole l'emporte pour cette tâche. Il nomme aussi les protocoles obsolètes et propriétaires que les fournisseurs enterrent discrètement dans leurs réglages, pour que vous sachiez ce qu'il faut éviter et ce que les noms commerciaux signifient vraiment.
L'arbre de décision en 30 secondes
Si vous ne deviez retenir qu'une chose, retenez cette correspondance entre la tâche et le protocole :
Téléphone qui bascule sans cesse du Wi-Fi à la 4G → IKEv2/IPsec. Son extension MOBIKE maintient le tunnel actif au fil des changements de réseau, sans coupure visible.
Censure ou réseau qui bloque les VPN → OpenVPN sur TCP port 443 (ou le mode obfusqué d'un fournisseur). On peut le faire ressembler à du trafic HTTPS ordinaire.
Streaming, jeu en ligne, gros téléchargements, usage quotidien → WireGuard. La latence la plus faible et le débit le plus élevé des trois, avec une cryptographie moderne.
Compatibilité maximale sur un vieux routeur, un NAS ou un OS exotique → OpenVPN. Il fonctionne presque partout et a été porté sur quasiment toutes les plateformes.
Vous n'avez aucun besoin particulier → laissez le réglage par défaut de l'application, qui est presque toujours WireGuard ou une variante basée sur WireGuard.
Tout ce qui suit explique le raisonnement derrière ces choix, afin que vous puissiez passer outre le réglage par défaut en toute confiance quand votre situation l'exige.
Les chiffres : vitesse, surcharge et auditabilité
Voici les dimensions qui diffèrent vraiment d'un protocole à l'autre. Considérez les chiffres de débit et de latence comme des ordres de grandeur : votre vitesse réelle dépend bien plus de la charge des serveurs, de la distance et de votre propre connexion que du protocole, mais le classement relatif reste constant à travers les tests indépendants et les propres mesures du projet WireGuard.
Débit : WireGuard est le plus rapide des trois. Dans le banc d'essai publié par le projet WireGuard, il a atteint environ 1 011 Mbps contre quelque 258 Mbps pour OpenVPN sur le même matériel ; IKEv2/IPsec se situe généralement entre les deux.
Latence / surcharge : WireGuard ajoute le moins de délai aller-retour, souvent une fraction de milliseconde de traitement, parce que sa cryptographie est plus légère et qu'il s'exécute dans le noyau. OpenVPN, qui tourne dans l'espace utilisateur avec une poignée de main TLS plus lourde, en ajoute le plus.
Taille du code et auditabilité : l'implémentation Linux de WireGuard est réputée tenir en moins de ~4 000 lignes de code. OpenVPN en compte des dizaines de milliers et s'appuie sur une bibliothèque cryptographique séparée (OpenSSL ou mbedTLS), ce qui porte la surface réellement auditable à plusieurs centaines de milliers de lignes. Un code plus restreint, ce sont moins d'endroits où les bugs peuvent se cacher et une revue qu'un seul expert peut réellement mener à terme.
Comportement de reconnexion : WireGuard est sans connexion et 'toujours actif' : si le lien tombe puis revient, il reprend simplement au paquet suivant. IKEv2 se reconnecte vite et, avec MOBIKE, migre d'un réseau à l'autre sans coupure. OpenVPN doit reconstruire sa session TLS, ses reconnexions sont donc les plus lentes et les plus visibles.
Transport : WireGuard fonctionne uniquement en UDP. OpenVPN fonctionne en UDP ou TCP. IKEv2/IPsec utilise l'UDP (ports 500 et 4500).
WireGuard a été intégré au noyau Linux principal dans la version 5.6 en mars 2020, ce qui explique en partie ses excellentes performances : le traitement des paquets dans l'espace noyau évite le coût des changements de contexte que paient les protocoles de l'espace utilisateur.
Quelque 4 000 lignes que l'on peut lire en une après-midi face à une pile cryptographique qu'il faudrait une équipe pour auditer : à elle seule, cette réalité explique l'essentiel de la réputation de WireGuard.
Pourquoi WireGuard l'emporte sur la vitesse et la confiance
La vitesse de WireGuard n'est pas un argument marketing, c'est la conséquence de choix de conception. Il utilise un jeu fixe et moderne de primitives cryptographiques (ChaCha20-Poly1305 pour le chiffrement authentifié, Curve25519 pour l'échange de clés, BLAKE2s pour le hachage, le tout bâti sur le framework Noise) plutôt que le menu négociable de chiffrements d'OpenVPN. Pas de négociation, donc pas de lents allers-retours de poignée de main ni de risque d'être rétrogradé vers un chiffrement faible.
Le code minuscule, c'est l'argument de la confiance. La sécurité vient d'un code que l'on peut examiner, et un module de 4 000 lignes, des auditeurs l'ont réellement lu de bout en bout. WireGuard fonctionne aussi en silence : il n'envoie aucun paquet quand il n'y a rien à transmettre, si bien qu'une connexion survit à la veille, à la mise en suspension et aux périodes d'inactivité, puis se 'réveille' instantanément. Cette combinaison de vitesse brute, de faible latence et d'auditabilité explique pourquoi c'est le bon choix par défaut pour le streaming, le jeu, les téléchargements et la navigation ordinaire.
Pourquoi IKEv2/IPsec l'emporte sur mobile
L'atout décisif pour les téléphones, c'est MOBIKE, le protocole de mobilité et de multihébergement d'IKEv2, normalisé sous la référence RFC 4555. Quand vous quittez votre domicile et que votre téléphone bascule du Wi-Fi à la LTE, l'adresse IP de votre appareil change. Avec la plupart des protocoles, cela signifie que le tunnel se rompt et doit être reconstruit. MOBIKE permet à l'association de sécurité IKEv2 existante de migrer vers la nouvelle adresse IP sans démolir ni rétablir le tunnel : le VPN reste actif tout au long de la transition, sans interruption visible.
IKEv2 est aussi nativement pris en charge sous iOS, macOS et Windows, donc il ne nécessite aucune application tierce pour fonctionner. Il se reconnecte très vite après une vraie coupure, ce qui le rend excellent pour les zones de couverture cellulaire instable. Sa faiblesse est la résistance à la censure : il s'appuie sur des ports UDP fixes (500 et 4500) qu'un pare-feu déterminé peut tout simplement bloquer, et contrairement à OpenVPN il ne peut pas facilement se dissimuler dans du HTTPS. WireGuard gère bien l'itinérance lui aussi grâce à sa conception sans connexion, mais le MOBIKE d'IKEv2 reste la référence absolue pour un basculement mobile fluide et invisible.
Pourquoi OpenVPN reste roi sur les réseaux restrictifs
Le super-pouvoir d'OpenVPN, c'est le camouflage. Parce qu'il peut fonctionner en TCP sur le port 443, le même transport et le même port que le trafic web HTTPS normal, une connexion VPN peut devenir très difficile à distinguer de quelqu'un qui se contente de charger des pages web. Sur les réseaux qui bloquent les VPN en repérant les signatures de leur trafic ou en bloquant entièrement l'UDP, c'est souvent la seule chose qui passe. WireGuard, qui ne fonctionne qu'en UDP sur un port non standard, est relativement facile à identifier et à bloquer, et c'est pourquoi les fournisseurs l'enveloppent de couches d'obfuscation supplémentaires dans les régions censurées.
OpenVPN est aussi le champion de la compatibilité. Il a été porté sur pratiquement tous les systèmes d'exploitation, firmwares de routeurs (DD-WRT, OpenWrt, pfSense) et plateformes NAS : quand rien d'autre ne s'installe, OpenVPN y arrive généralement. La contrepartie, c'est la vitesse : l'architecture en espace utilisateur et la surcharge TLS en font le plus lent des trois, et le mode TCP ajoute encore sa propre pénalité.
OpenVPN TCP ou UDP, on vous explique
Quand vous choisissez OpenVPN, vous choisissez aussi un transport, et ce choix est un véritable compromis :
L'UDP est l'option par défaut, la plus rapide. Il ne garantit ni la livraison ni l'ordre des paquets, ce qui ne pose pas de problème car les protocoles à l'intérieur de votre tunnel (comme le TCP lui-même) s'en chargent. Utilisez l'UDP pour tout, sauf s'il ne parvient pas à se connecter.
Le TCP garantit une livraison fiable et ordonnée et, surtout, franchit les pare-feux et proxys qui n'autorisent que le TCP, en particulier sur le port 443. Le revers, c'est le problème du TCP sur TCP (parfois appelé 'TCP meltdown') : quand le TCP de votre tunnel et le TCP de votre trafic tentent tous deux de récupérer une perte en même temps, le débit peut s'effondrer. Ne recourez au TCP que lorsque l'UDP est bloqué ou instable.
Les protocoles que les fournisseurs enterrent : PPTP, L2TP/IPsec et builds propriétaires
Certains protocoles figurent encore dans les menus déroulants pour des raisons d'héritage. Sachez lesquels éviter.
PPTP — à ne pas utiliser. Le Point-to-Point Tunneling Protocol remonte aux années 1990 et son authentification MS-CHAPv2 est pratiquement cassable depuis plus de dix ans. Il n'est rapide que parce qu'il ne vous protège quasiment pas. Considérez-le comme obsolète ; s'il survit dans les menus, c'est uniquement par compatibilité ancestrale.
L2TP/IPsec — à peser soigneusement. Le L2TP n'assure aucun chiffrement à lui seul, il est donc toujours associé à IPsec. Il est largement pris en charge et acceptable quand il est bien configuré, mais il est plus lent que les options modernes, utilise des ports fixes faciles à bloquer, et IPsec fait depuis longtemps l'objet de spéculations quant à un possible affaiblissement. Il y a rarement une raison de le préférer à IKEv2 (lui aussi basé sur IPsec) ou à WireGuard.
SSTP — de niche. Un protocole Microsoft qui fonctionne sur TLS/443 (il a donc une capacité de franchissement de pare-feu comparable à OpenVPN) mais est pour l'essentiel réservé à Windows et à code fermé. Acceptable en dépannage sous Windows ; pas un premier choix.
Viennent ensuite les protocoles de marque. Les noms commerciaux masquent une réalité plus simple, et il est utile d'aller au fond des choses :
NordLynx (NordVPN), c'est WireGuard auquel on superpose un système de double NAT maison pour corriger la particularité de WireGuard en matière de confidentialité (nous y revenons juste après). Sous le capot, c'est WireGuard.
Le 'protocole rapide propriétaire' de nombreux fournisseurs n'est tout simplement que WireGuard sous une autre étiquette, avec un peu d'obfuscation : Mullvad, Surfshark et d'autres font tourner WireGuard directement ou légèrement enveloppé.
Lightway (ExpressVPN) est la véritable exception : c'est un protocole léger, open source, conçu à partir de zéro et bâti sur la bibliothèque cryptographique wolfSSL, et non un dérivé de WireGuard, mais il partage la philosophie de conception de WireGuard : un code restreint, auditable, et des reconnexions rapides.
Catapult Hydra (Hotspot Shield) est un transport fermé et propriétaire. Les protocoles fermés ne peuvent pas être audités de façon indépendante comme le sont WireGuard et OpenVPN, ce qui constitue une réelle dégradation de la confiance.
Le hic de WireGuard en matière de vie privée, et comment les fournisseurs le corrigent
WireGuard présente une vraie faiblesse pour les VPN commerciaux, qu'il vaut mieux comprendre que redouter. De par sa conception, WireGuard associe la clé publique de chaque utilisateur à une adresse IP interne statique à l'intérieur du tunnel, et le serveur conserve cette association en mémoire pour toute la durée de la session. Dans un service axé sur la confidentialité, c'est gênant : une IP interne fixe liée à votre clé, plus le dernier point de terminaison vu que WireGuard conserve, pourraient en principe servir à relier votre activité au cours d'une session, l'exact contraire de ce que promet un VPN sans journaux.
Les fournisseurs sérieux contournent le problème par l'ingénierie au lieu de stocker cette information. Le double NAT de NordLynx en est l'approche la mieux documentée : une seconde couche de traduction d'adresses réseau permet au serveur d'attribuer les adresses internes de façon dynamique et d'éviter de conserver la moindre IP statique identifiable rattachée à votre compte. D'autres font tourner les clés fréquemment ou attribuent les adresses par session. À retenir : WireGuard lui-même est excellent, mais sur un service commercial, l'implémentation que le fournisseur construit autour compte, c'est donc une question légitime à poser à n'importe quel prestataire.
À retenir en pratique : quand passer outre le réglage par défaut
Laissez le mode automatique activé pour l'usage quotidien : votre application utilise presque à coup sûr WireGuard par défaut, et c'est le bon choix pour la vitesse et la sécurité. Ouvrez le menu des protocoles et changez délibérément de réglage dans les cas suivants :
Vous êtes sur un téléphone qui ne cesse de perdre le tunnel pendant vos trajets → passez à IKEv2 pour le basculement transparent de MOBIKE.
Le VPN refuse complètement de se connecter sur un réseau d'hôtel, de campus, d'entreprise ou censuré → passez à OpenVPN sur TCP 443, ou activez le mode d'obfuscation/furtif de l'application.
Vous en avez besoin sur un routeur, un NAS ou un appareil plus ancien → utilisez OpenVPN, l'option la plus largement portée.
Ce qui compte le plus pour vous, c'est le plus petit code auditable et la latence la plus faible → restez sur WireGuard.
Vous voyez PPTP dans la liste → ne le sélectionnez jamais. Si seuls PPTP et L2TP sont proposés, préférez L2TP/IPsec, mais voyez-y le signe qu'il faut choisir un service mieux équipé.
Il n'existe pas de 'meilleur protocole VPN' unique : il y a le meilleur protocole pour la tâche qui se présente à vous. WireGuard pour la vitesse et la confiance, IKEv2 pour le mobile, OpenVPN pour la furtivité et la compatibilité, et les options obsolètes pour rien du tout. Savoir distinguer les uns des autres, c'est toute la différence entre un VPN qui fonctionne sans bruit et un VPN qui vous lâche précisément quand vous en avez besoin.
Questions fréquentes
WireGuard ou OpenVPN : lequel est le meilleur ?
Pour la vitesse, la latence et un code restreint et auditable, WireGuard l'emporte : il est plus rapide et bien plus simple à examiner. OpenVPN est préférable quand vous devez déguiser le trafic en HTTPS sur un réseau restrictif (en TCP 443) ou fonctionner sur des appareils inhabituels comme des routeurs et des NAS. Pour la plupart des gens, sur des connexions quotidiennes, WireGuard est le meilleur choix par défaut.
IKEv2 est-il meilleur que WireGuard pour le mobile ?
IKEv2 a l'avantage pour le basculement mobile transparent grâce à MOBIKE (RFC 4555), qui déplace un tunnel actif vers une nouvelle adresse IP quand votre téléphone passe du Wi-Fi à la 4G, sans coupure. WireGuard gère bien l'itinérance lui aussi grâce à sa conception sans connexion, mais le MOBIKE d'IKEv2 reste la référence absolue pour un changement de réseau invisible, et il est intégré à iOS, macOS et Windows.
Quel est le meilleur protocole VPN dans l'absolu ?
Il n'existe pas un seul meilleur protocole : tout dépend de la tâche. Utilisez WireGuard pour la vitesse et la sécurité, IKEv2 pour les appareils mobiles qui changent souvent de réseau, et OpenVPN sur TCP 443 pour les réseaux censurés ou qui bloquent les VPN. Si vous n'avez aucun besoin particulier, le réglage par défaut de votre application (généralement WireGuard) est le bon choix.
Faut-il utiliser OpenVPN en TCP ou en UDP ?
Utilisez l'UDP par défaut : il est plus rapide et les protocoles à l'intérieur de votre tunnel gèrent eux-mêmes la fiabilité. Ne passez au TCP, surtout sur le port 443, que lorsque l'UDP est bloqué ou instable, car le TCP franchit les pare-feux stricts mais peut subir le 'TCP sur TCP' qui effondre le débit en cas de perte de paquets.
Le PPTP est-il sûr à utiliser en 2026 ?
Non. L'authentification MS-CHAPv2 du PPTP est pratiquement cassable depuis plus de dix ans, il n'offre donc quasiment aucune protection réelle malgré sa rapidité. Il ne subsiste dans les menus des applications que par compatibilité héritée. Utilisez plutôt WireGuard, IKEv2 ou OpenVPN, et ne sélectionnez jamais le PPTP.
NordLynx, c'est juste WireGuard ?
Oui : NordLynx, c'est WireGuard avec une couche de double NAT maison ajoutée par-dessus. Le double NAT résout la particularité de WireGuard en matière de confidentialité, qui associe une IP interne statique à la clé de chaque utilisateur, en permettant au serveur d'attribuer les adresses de façon dynamique, de sorte que rien d'identifiable n'est conservé. De nombreux autres protocoles rapides 'propriétaires' sont eux aussi du WireGuard sous un nom de marque.
WireGuard a-t-il un problème de confidentialité ?
De par sa conception, WireGuard attribue à chaque utilisateur une IP interne statique liée à sa clé publique, et le serveur conserve cette association pour toute la session, ce qui pourrait relier l'activité sur un VPN commercial. Les fournisseurs sérieux atténuent ce risque par un double NAT dynamique, une rotation fréquente des clés ou une attribution d'adresse par session : le protocole est donc excellent tant que le fournisseur l'implémente avec soin.
