L’industrie VPN est sur une trajectoire de croissance contrairement à très peu d’autres dans le monde de la technologie, intensifiée par la pandémie et le passage au travail à distance.
Avec la demande de VPN à un niveau record, divers protocoles différents ont émergé, tous rivalisant pour les titres de «plus rapide» et «plus sûr».
Pour avoir son avis sur les derniers développements dans le monde du VPN – y compris la montée en puissance du protocole WireGuard, le passage de Google dans l’espace VPN et plus encore – nous nous sommes entretenus avec James Yonan, CTO d’OpenVPN.
Sommaire
Entre Wireguard et les protocoles propriétaires, OpenVPN a beaucoup plus de concurrence ces jours-ci. Quelles sont vos pensées?
Nous avons notre propre vision de l’avenir du VPN qui va bien au-delà de l’utilisation du VPN comme protocole de dernier kilomètre ou de site à site. Imaginez un service VPN qui vous offre un Internet mondial privé, sécurisé et virtualisé dans 50 régions différentes, et qui est si peu coûteux à fournir que nous pouvons vous offrir trois connexions simultanées gratuites.
Imaginez maintenant la technologie sous le capot qui en fait une réalité: déchargement de protocole VPN haute performance vers l’espace noyau ou matériel dédié, virtualisation réseau légère, sessions VPN entièrement maillées, authentification SAML, détection des menaces réseau via IDS / IPS / NSM, protection DDoS , équilibrage de charge et basculement distribués multirégionaux, routage MPLS, espaces de noms réseau, gestion du routage global distribué, BGP virtualisé, routage prenant en charge la géolocalisation et intégration DNS.
Il s’agit de notre technologie VPN-as-a-service de nouvelle génération qui est actuellement disponible via notre solution OpenVPN Cloud. Nous avons essentiellement repris les capacités des solutions VPN de classe entreprise tout en réduisant le coût et la complexité du déploiement au niveau d’un service VPN grand public.
De nombreux fournisseurs de VPN utilisent Wireguard. Quelle est votre opinion sur ce qui motive cela?
La plupart des fournisseurs de VPN sont ce que nous pourrions appeler des fournisseurs de première génération; ils se concentrent sur la sécurité du dernier kilomètre. Et Wireguard leur donne un moyen d’optimiser leurs opérations dans le cadre du modèle commercial de première génération. Ils peuvent gérer plus de connexions simultanées et de bande passante par serveur et réduire leur coût global.
En revanche, nous nous concentrons sur ce que nous considérons comme le modèle de fournisseur VPN de nouvelle génération, où la sécurité du dernier kilomètre devient simplement une case à cocher dans une vaste gamme de fonctionnalités. Dans le modèle de nouvelle génération, nous vous offrons un Internet sécurisé et virtualisé dans le cloud et une suite complète d’outils de classe entreprise pour gérer les appareils, l’authentification, le routage, la détection des menaces réseau, l’équilibrage de charge, le basculement, etc.
Prenons l’exemple d’une entreprise qui possède des millions d’appareils IoT dans le monde et qui doit les connecter en toute sécurité à un cloud virtualisé. Ce sont des problèmes de classe entreprise qui ne correspondent pas au modèle de fournisseur de VPN de première génération, mais qui représentent un énorme marché émergent pour les fournisseurs de VPN. Nous avons l’intention de servir ce marché, mais il ne s’agit pas vraiment de savoir si votre protocole est OpenVPN ou WireGuard. La R&D, le développement, l’intégration, les opérations, etc. pour créer un service VPN de nouvelle génération fait de la mise en œuvre du protocole VPN elle-même un détail plutôt que l’événement principal.
Il semble y avoir un consensus parmi de nombreux acteurs de l’industrie sur le fait qu’OpenVPN est plus lent que les protocoles plus récents comme Wireguard. Pourquoi donc?
Il n’y a rien dans le protocole OpenVPN qui limite en aucune façon ses performances potentielles. Je pense que ce que nous avons vu en général au cours des dernières années, c’est que les améliorations des performances du réseau au niveau matériel ont laissé le logiciel se démener pour rattraper son retard.
L’approche de Wireguard a consisté essentiellement à placer l’intégralité de l’implémentation VPN dans l’espace noyau pour optimiser ses performances. Mais cela a un coût. Wireguard avait besoin de réinventer son propre protocole de sécurité réseau à partir de zéro plutôt que de s’appuyer sur les protocoles standard de l’industrie tels que SSL / TLS, afin qu’il puisse s’intégrer dans l’environnement d’exécution plus restreint du noyau Linux.
SSL / TLS a été traditionnellement considéré comme un protocole d’espace utilisateur, sans chemin de développement simple vers une implémentation de noyau haute performance, mais cette sagesse conventionnelle est renversée par les développeurs qui adoptent un concept appelé «déchargement» là où vous prenez le travail «lourd» d’un protocole, tel que le chiffrement et la transmission de paquets réseau, et les déplacer vers l’espace noyau ou du matériel spécialisé qui peut effectuer des opérations à pleine vitesse filaire.
Le déchargement est vraiment le Saint Graal de la sécurité et des performances, car il nous permet d’adopter des protocoles standard de l’industrie tels que SSL / TLS, mais en déchargeant le traitement des paquets vers l’espace noyau ou le matériel, nous pouvons pousser les performances aux limites de la vitesse du fil.
Chez OpenVPN, le déchargement est la clé de notre stratégie de performance:
- Nous avons développé et open-source un module de noyau (OpenVPN Data Channel Offload ou ovpn-dco) qui décharge les aspects gourmands en ressources du protocole OpenVPN vers l’espace noyau tout en conservant tous les avantages de sécurité du SSL / TLS standard de l’industrie.
- OpenVPN Cloud, notre service VPN de nouvelle génération, a déjà lancé Data Channel Offload en production, où nous constatons des gains de performances d’ordre de grandeur côté serveur et nous nous attendons à voir des gains similaires chez le client lorsque ovpn-dco se généralisera sur le côté client.
Considérez-vous les protocoles propriétaires comme une concurrence? Pensez-vous que les utilisateurs perdent de quelque manière que ce soit le choix d’un VPN avec un protocole propriétaire?
En un mot, les protocoles propriétaires passent à côté du processus d’examen par les pairs, il n’y a donc aucun moyen de savoir si ces protocoles présentent ou non des défauts de sécurité cachés.
Et qu’en est-il de Google VPN?
Je pense que ce que Google dit, c’est qu’ils développent leur propre protocole VPN en mettant l’accent sur la sécurité et l’anonymat du dernier kilomètre. Ils disent qu’ils pourraient éventuellement appuyer d’autres protocoles, mais ma lecture du document est qu’ils ont des objectifs précis en matière d’anonymat qu’ils ont l’intention d’atteindre en élaborant leur propre protocole.
Nous avons en fait travaillé avec Google dans le passé sur des projets comme ceux-ci, même si je dois dire que ce n’est pas notre marché cible. OpenVPN, Inc. se concentre principalement sur le marché interentreprises, mais le protocole OpenVPN lui-même est à usage général et se prête bien à une gamme diversifiée d’applications.
Quelles sont les fonctionnalités de sécurité propres à OpenVPN?
Le mantra d’OpenVPN a toujours été de ne pas réinventer la sécurité, d’utiliser les protocoles de référence existants tels que SSL / TLS qui ont été développés et défendus depuis plus de 25 ans par les meilleurs esprits de la cryptographie. Il est surprenant qu’une telle approche sensée de la sécurité soit unique à OpenVPN, mais la vérité est que presque tous les autres développeurs VPN (y compris Wireguard) ont ressenti le besoin de réinventer leur propre protocole de sécurité.
Considérez TLS 1.3, un protocole de sécurité réseau si avancé que plusieurs États-nations ont jugé bon de l’interdire, par crainte que cela ne nuise à leurs capacités de censure et de surveillance de masse. Avec OpenVPN, vous obtenez TLS 1.3 gratuitement.
Vous bénéficiez également de fonctionnalités telles que «tls-auth» qui protègent contre les failles de sécurité dans l’implémentation SSL / TLS sous-jacente. Et maintenant, avec ovpn-dco, vous pouvez obtenir le meilleur des deux mondes: une sécurité TLS standard avec une accélération des performances de la couche noyau.
Quels projets concernant l’avenir d’OpenVPN pouvez-vous partager avec nous?
Comme je l’ai mentionné ci-dessus, nous avons développé un module de noyau Linux (OpenVPN Data Channel Offload ou ovpn-dco) qui décharge les opérations de chiffrement et de réseau sensibles aux performances vers la couche du noyau. Nous avons open-source le projet à https://github.com/OpenVPN/ovpn-dco et prévoyons de nous engager avec la communauté du noyau Linux pour finalement intégrer cela dans le noyau Linux.
