WireGuard VPN moderne à la vitesse du noyau, ~4 000 lignes de code
Un protocole VPN assez petit pour être audité en une après-midi et assez rapide pour saturer un lien gigabit.
Un protocole VPN moderne conçu par Jason Donenfeld, mergé dans le noyau Linux mainline en version 5.6 (2020). Utilise une suite cryptographique fixe et opinionée — Curve25519, ChaCha20, Poly1305, BLAKE2s — tourne entièrement sur UDP, et authentifie les pairs par clés publiques statiques. L'implémentation de référence fait moins de 4 000 lignes de code, un ordre de grandeur plus petite qu'OpenVPN ou IPsec.
Un « VPN personnel sur un VPS » est notre cas d'usage d'entrée le plus courant.
Une part significative des nouveaux clients achètent un VPS d'entrée à 1 Go pour exactement un job : démarrer WireGuard, y pointer leur laptop et téléphone, et arrêter de faire confiance à la marque de VPN consommateur à laquelle ils payaient 12 € par mois. Le calcul est sans réplique — un VPS à 4 €/mois route le trafic du client depuis une IP qui lui appartient, pas depuis un pool partagé avec des milliers d'étrangers et pré-marqué sur chaque galerie de captchas du web.
WireGuard est le bon protocole pour ce job parce qu'il est rapide, simple et livre à l'intérieur du noyau de chaque distribution Linux moderne. Il n'y a pas de PKI à gérer, pas d'autorité de certification à materner, pas de négociation de cipher obscure. Deux clés publiques, deux endpoints, une ligne allowed-IPs, et le tunnel est up. Le fichier de configuration est assez court pour être commité dans un dépôt git sans embarras.
Opérationnellement, nous recommandons WireGuard pour : vie privée de navigation personnelle, accès distant aux réseaux domestiques ou de bureau, liens sécurisés entre VPS dans différentes régions, et configurations split-tunnel où seules des destinations spécifiques transitent par le VPN. La page de cas d'usage et le guide pas-à-pas couvrent le portefeuille de schémas courants.
Les pages qui s'appuient sur ce terme.
- Page d'accueil — WireGuard apparaît dans la bande « ce que les gens font réellement avec un VPS ».
- Guide : VPN WireGuard sur un VPS — pas-à-pas de quinze minutes du mot de passe root au tunnel fonctionnel.
- Cas d'usage : serveur VPN WireGuard — le plan recommandé, les options de peering et les notes de dimensionnement.
Les questions que les gens posent réellement.
En quoi WireGuard diffère-t-il d'OpenVPN ?
WireGuard tourne dans l'espace noyau, utilise une suite cryptographique moderne fixe, et a une base de code environ dix fois plus petite qu'OpenVPN. Le résultat pratique est un débit qui sature un lien gigabit avec un CPU modeste, une latence de handshake à un chiffre en millisecondes et un fichier de configuration que vous pouvez lire en une session. OpenVPN reste utile pour les environnements qui exigent une PKI par certificats ou un fallback TCP sur le port 443 ; WireGuard gagne sur les performances brutes, la surface d'audit et la simplicité opérationnelle.
WireGuard est-il privé ?
WireGuard chiffre et authentifie tout le trafic entre pairs en utilisant la cryptographie moderne (Curve25519 pour l'échange de clés, ChaCha20-Poly1305 pour le canal de données). Un observateur passif sur le câble ne voit que des paquets UDP entre deux IP et ne peut pas lire le contenu. WireGuard ne cache cependant pas le fait que deux pairs spécifiques se parlent ; un outillage comme obfsproxy ou Tor est requis pour cette couche de vie privée.
Puis-je faire tourner mon propre serveur WireGuard sur un VPS NordBastion ?
Oui — c'est l'un des cas d'usage les plus populaires pour les plans VPS d'entrée sur le site. Un nœud 1 Go de RAM, mono-vCPU terminera confortablement WireGuard pour une petite équipe ou un foyer. Le guide pas-à-pas prend environ quinze minutes de « je viens de recevoir mon mot de passe root » à « mon téléphone navigue à travers le VPS ».
WireGuard fonctionne-t-il sur mobile ?
Oui. Les applications WireGuard officielles sont publiées pour iOS et Android, toutes deux bien maintenues et libres de trackers. Le comportement de roaming — maintenir le tunnel vivant à travers les transitions Wi-Fi/cellulaire et les changements d'IP — est l'une des propriétés remarquables du protocole et fonctionne essentiellement transparentement sur les téléphones modernes.