WireGuard vs OpenVPN en 2026 : primitives cryptographiques, taille du code et quand chacun est le bon choix par défaut
WireGuard est plus récent, plus léger et utilise des primitives modernes. OpenVPN est plus ancien, plus volumineux et fonctionne sur TCP 443 pour traverser les réseaux restrictifs. Les deux sont des standards ouverts. Voici le cadre honnête de choix du protocole.
Ce que sont WireGuard et OpenVPN, en bref
WireGuard est un protocole VPN conçu par Jason A. Donenfeld et intégré au noyau Linux en 2020. Le livre blanc disponible sur wireguard.com/papers/wireguard.pdf précise ses primitives cryptographiques : Curve25519 pour l'échange de clés, ChaCha20 pour le chiffrement symétrique, Poly1305 pour l'authentification, BLAKE2s pour le hachage, HKDF pour la dérivation de clés, SipHash24 pour la clé de table de hachage. L'implémentation dans le noyau Linux compte environ 4 000 lignes de code. OpenVPN est plus ancien (première publication en 2001), sous licence GPL, fonctionne en espace utilisateur (et non dans le noyau) et utilise OpenSSL ou mbedTLS pour la cryptographie. Le manuel de référence d'OpenVPN 2.6 est publié sur openvpn.net.
Taille du code et surface d'audit
La petite base de code de WireGuard (~4 000 lignes dans l'implémentation du noyau Linux) est un choix de conception délibéré — plus la base de code est petite, plus la surface d'audit est réduite et moins il y a d'endroits où les bugs peuvent se cacher. La base de code d'OpenVPN est plus grande (l'ensemble du projet, y compris le binaire openvpn, les plugins et les bibliothèques de support, est bien plus vaste) — le compromis est plus de deux décennies d'historique de CVE, ce qui signifie que chaque cas limite courant a été trouvé, corrigé et fait désormais partie de la suite de tests. Aucun des deux n'est sans ambiguïté plus sûr ; la base de code plus petite a eu moins de regards pour l'examiner pendant une durée plus courte.
Transport : UDP vs TCP
WireGuard utilise uniquement UDP. OpenVPN prend en charge à la fois UDP et TCP. La conséquence : les réseaux qui bloquent UDP — Wi-Fi d'entreprise avec des règles de sortie restrictives, certains réseaux d'hôtel, réseaux avec inspection profonde des paquets qui signalent l'UDP non-HTTPS — bloqueront WireGuard. Le mode TCP d'OpenVPN fonctionne sur le port TCP 443, le même port qu'utilise HTTPS, et il est donc plus difficile à bloquer sans casser le trafic web ordinaire. Si vous vous connectez régulièrement depuis des réseaux à sortie restrictive, OpenVPN-TCP est le choix le plus fiable même s'il est plus lent. La plupart des grands clients VPN vous permettent de changer de protocole sans changer de compte.
Les différences de performances viennent de l'espace noyau
Le plus grand avantage de performance de WireGuard sous Linux est qu'il s'exécute en espace noyau — les paquets n'ont pas à franchir la frontière utilisateur/noyau à chaque opération de chiffrement ou de déchiffrement. OpenVPN s'exécute en espace utilisateur, ce qui a historiquement représenté une surcharge non négligeable. OpenVPN 2.6 avec Data Channel Offload (DCO) déplace le travail du chiffrement symétrique dans le noyau et comble une grande partie de l'écart. Nous ne publions pas de chiffres de débit bruts car ils varient fortement selon les conditions réseau, la charge du serveur et l'heure de la journée ; le livre blanc publié de WireGuard documente la conception du protocole et mesure le prototype, mais le débit réel d'un VPN grand public dépend autant de l'infrastructure du fournisseur que du protocole.
Quels VPN audités implémentent quel protocole
Les cinq grands VPN payants audités prennent tous en charge à la fois WireGuard et OpenVPN : Mullvad propose sa propre implémentation de WireGuard aux côtés d'OpenVPN (Cure53 a audité les deux configurations de serveurs en juin 2024). Proton VPN prend en charge WireGuard, OpenVPN et un protocole Stealth (une variante OpenVPN-sur-TLS pour les réseaux restrictifs). NordLynx de NordVPN est une implémentation personnalisée de WireGuard. Lightway d'ExpressVPN est un protocole personnalisé avec son propre historique d'audit (Cure53 + Praetorian ont examiné en 2024 la réécriture en Rust de Lightway). Surfshark prend en charge WireGuard et OpenVPN.
Recommandation
Privilégiez par défaut WireGuard ou le protocole personnalisé dérivé de WireGuard du fournisseur (NordLynx, Lightway d'ExpressVPN). Basculez sur OpenVPN-TCP lorsque le réseau bloque UDP — Wi-Fi d'entreprise, Wi-Fi universitaire à sortie restrictive, réseaux d'hôtel avec DPI. Le choix du protocole est rarement le goulet d'étranglement pour les performances d'un VPN grand public ; la sélection des serveurs du fournisseur et la charge actuelle comptent davantage. Pour la vie privée en particulier, le protocole n'a pas d'importance — la propriété no-log est indépendante du protocole, et c'est ce que les audits existent pour vérifier.
Sources
Livre blanc WireGuard : wireguard.com/papers/wireguard.pdf. Manuel de référence OpenVPN 2.6 : openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Audit d'infrastructure Mullvad (Cure53 juin 2024, couvrait à la fois les configurations de serveurs OpenVPN et WireGuard) : mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Audits Lightway ExpressVPN : expressvpn.com/blog/lightway-audits-cure53-praetorian. Tous les URL consultés le 2026-04-30.