WireGuard - VPN rapide et sécurisé dans le noyau Linux

Figure. 1. OpenVPN vs WireGuard, testez Ars Technica

WireGuard - réseaux privés virtuels à protocole libre et ouvert, destinés à remplacer IPsec et OpenVPN. En janvier 2020, après un an et demi de raffinement du code, l'événement tant attendu a néanmoins eu lieu - Linus Torvalds a accepté VPN WireGuard dans la branche principale de Linux 5.6 .

Très bientôt, ce VPN fera partie du noyau Linux - le cœur d'un système d'exploitation open source qui gère le monde entier, des serveurs Web aux téléphones et voitures Android. C'est un événement vraiment important, car WireGuard est beaucoup plus simple et plus logique que les VPN précédents. En juin 2019, des preuves cryptographiques automatisées ont été reçues protocole de mathématiques.

Le VPN est un outil important pour la sécurité et la confidentialité. En fait, il s'agit d'un canal de communication crypté entre deux ou plusieurs appareils qui permet d'acheminer les données à travers un «tunnel» sécurisé. Les entreprises utilisent un VPN pour accéder à distance aux employés au réseau d'entreprise, et les services VPN commerciaux offrent aux utilisateurs une protection contre l'interception du trafic en le dirigeant via des serveurs distants. Cela signifie que votre fournisseur, les agences de renseignement gouvernementales ou toute personne non autorisée ne peuvent pas voir ce que vous faites sur Internet. Le routage du trafic via un serveur distant peut également donner l'impression que vous accédez à Internet à partir d'un autre endroit. Cela permet aux utilisateurs de certains pays d'accéder à des sites bloqués pour une raison quelconque.

Mais les connexions VPN ne sont aussi sécurisées que le logiciel lui-même. Les professionnels de la sécurité ont toujours critiqué les logiciels VPN. Une des raisons à cela est que la plupart des logiciels VPN sont incroyablement complexes. Plus le logiciel est complexe, plus il est difficile de vérifier les problèmes de sécurité.

Les anciens programmes VPN sont «trop énormes et compliqués, et en principe, il est impossible de parcourir et de vérifier s'ils sont sûrs ou non», explique Jan Jonsson, PDG du fournisseur VPN Mullvad, sur la base duquel le service VPN intégré dans le navigateur fonctionne. Firefox

L'auteur de WireGuard est le hacker et le pentester Jason A. Donenfeld. Il a réussi à écrire du code beaucoup plus simple et plus concis que dans la plupart des autres programmes VPN. La première version de WireGuard contenait moins de 4000 lignes de code - par rapport à des dizaines de milliers de lignes dans d'autres programmes VPN. Cela ne rend pas WireGuard plus sûr, mais il facilite le dépannage. Les mécanismes clés du protocole de cryptage sont illustrés à la Fig. 2. Fig. 2: (a) Protocole WireGuard; (b) informatique cryptographique; (c) Mécanisme de cookie WireGuard pour protéger l'hôte des attaques DoS




Les clients WireGuard sont déjà disponibles pour Android, iOS, MacOS, Linux et Windows. Cloudflare a lancé le service VPN Warp basé sur le protocole WireGuard, et plusieurs fournisseurs VPN commerciaux permettent également aux utilisateurs d'utiliser le protocole WireGuard, notamment TorGuard, IVPN et Mullvad.

L'implémentation de WireGuard directement dans le noyau, qui interagit directement avec le matériel, devrait accélérer encore le travail du programme. WireGuard pourra crypter et décrypter les données directement à partir d'une carte réseau, sans avoir besoin de transférer le trafic via le noyau et le logiciel à un niveau supérieur.

La sortie officielle de Linux 5.6 aura lieu dans quelques semaines. Après cela, on peut s'attendre à ce que le protocole WireGuard soit plus largement utilisé dans divers services VPN, notamment pour protéger les connexions entre les appareils IoT, dont beaucoup fonctionnent sous Linux.

L'auteur du programme, Jason Donenfield, a gagné sa vie en s'introduisant dans des systèmes informatiques (tests de pénétration dans le cadre d'un contrat officiel de services de conseil). Il a initialement développé WireGuard comme un outil d'exfiltration de données pour capturer secrètement les données de l'ordinateur d'une victime.

En 2012, Jason a déménagé en France et, comme de nombreux utilisateurs de VPN, a voulu se connecter à partir d'un site américain. Mais il ne faisait pas confiance au logiciel VPN existant. Au final, il s'est rendu compte qu'il pouvait utiliser son outil d'exfiltration pour acheminer le trafic via l'ordinateur de ses parents aux États-Unis: «J'ai réalisé que de nombreuses méthodes de piratage des systèmes (sécurité offensive) sont en fait utiles pour la protection » , a- t- il déclaré dans une interview au magazine. Câblé.

Donenfeld a changé l'approche traditionnelle que les VPN et les logiciels cryptographiques utilisent depuis des décennies. Par exemple, d'autres systèmes VPN permettent aux utilisateurs de sélectionner l'un des nombreux algorithmes de chiffrement. Mais la prise en charge de plusieurs schémas de chiffrement rend le logiciel plus complexe et offre plus de possibilités d'erreurs. WireGuard prend la liberté de prendre certaines décisions pour l'utilisateur. Cela rend le programme moins flexible qu'IPsec et OpenVPN, mais WireGuard est un ordre de grandeur plus simple, ce qui, selon les partisans, réduit la probabilité d'erreurs de la part des développeurs et des utilisateurs de WireGuard.

Un simple audit de code n'est pas la seule raison pour laquelle WireGuard a attiré autant d'attention. Le plus grand avantage de WireGuard est qu'il "est agréable de l'utiliser, -dit Thomas Ptacek, chercheur en sécurité. "Il n’est pas plus difficile à configurer que n’importe lequel des outils réseau que les développeurs utilisent déjà."

WireGuard est au même niveau que le messager de signal sécurisé - ils font partie d'un vaste mouvement visant à créer un logiciel meilleur et plus pratique basé sur des méthodes cryptographiques modernes.

En 2019, des experts de l'Institut français de recherche informatique et d'automatisation ont évalué la cryptographie WireGuard. Ils ont obtenu la preuve cryptographique automatisée des méthodes mathématiques sous-jacentes à WireGuard, bien qu'il puisse encore y avoir des problèmes de sécurité dans le code lui-même. Il est maintenant testé par les développeurs Linux, et Donenfeld a corrigé plusieurs problèmes en prévision de la sortie du nouveau noyau Linux 5.6 et WireGuard 1.0.

---

Solutions PKI pour les petites et moyennes entreprises de la GlobalSign Certification Authority Pour plus de détails, contactez les responsables au +7 (499) 678 2210, sales-ru@globalsign.com.