Accueil > Protocoles VPN : OpenVPN, WireGuard, IKEv2, L2TP

Protocoles VPN : OpenVPN, WireGuard, IKEv2, L2TP

5 min de lecture 984 mots Mis à jour 17 mai 2026

Tous les VPN ne se valent pas, et la différence majeure tient au protocole utilisé pour établir le tunnel chiffré. WireGuard, OpenVPN, IKEv2/IPsec, L2TP/IPsec, SSTP, PPTP : chacun a son histoire, ses points forts, ses points faibles. Ce guide explique ce qu’ils font, lequel choisir selon votre cas d’usage (streaming, mobile, sécurité maximale) et lesquels éviter en 2026.

WireGuard — le nouveau standard

Sorti en 2016 et intégré au noyau Linux en 2020, WireGuard est le protocole VPN moderne le plus rapide et le plus simple. Code minimal (≈4 000 lignes contre 100 000+ pour OpenVPN), audit du code plus simple, cryptographie moderne uniquement (ChaCha20, Curve25519, BLAKE2s).

  • Vitesse : 2 à 3× plus rapide qu’OpenVPN typiquement.
  • Reconnexion mobile instantanée : pas de timeout en cas de bascule Wi-Fi vers 4G.
  • Faible consommation batterie sur mobile.
  • Limites : assigne une IP fixe au client (potentiel impact vie privée si mal géré côté provider — voir choisir un VPN no-logs).
  • Support : adopté par Mullvad, ProtonVPN (sous nom WireGuard ou NordLynx chez NordVPN), Tailscale, plupart des providers modernes.

OpenVPN — la valeur sûre

Standard de facto depuis ~2002, OpenVPN reste très utilisé. Open source, audité, configurable. Plus lent que WireGuard mais plus mature et plus flexible.

  • UDP (rapide, par défaut) ou TCP (plus lent mais traverse mieux les pare-feux restrictifs, peut se faire passer pour HTTPS sur port 443).
  • Chiffrement : AES-256-GCM ou ChaCha20 selon configuration.
  • Bonne compatibilité : clients tous OS (Windows, macOS, Linux, iOS, Android, routeurs).
  • Inconvénient : code base lourd, performance moyenne sur mobile.

IKEv2 / IPsec — le champion mobile

IKEv2 (Internet Key Exchange version 2) est un protocole de négociation, généralement combiné à IPsec pour le chiffrement. Co-développé par Microsoft et Cisco. Particulièrement efficace sur mobile grâce à sa gestion native du MOBIKE (Mobility and Multihoming Protocol) qui permet de basculer Wi-Fi / 4G sans coupure.

  • Reconnexion instantanée : pratique pour iPhone et Android.
  • Support natif : intégré à iOS, macOS, Windows 10+, Android (avec strongSwan).
  • Sécurité solide : AES-256, SHA-2.
  • Inconvénient : utilise des ports UDP spécifiques (500, 4500) facilement bloquables — moins furtif qu’OpenVPN sur 443.

L2TP / IPsec — vieillissant mais répandu

L2TP (Layer 2 Tunneling Protocol) seul ne chiffre pas. Il est presque toujours combiné à IPsec (« L2TP/IPsec »). Intégré nativement à Windows et macOS depuis longtemps, ce qui en fait un fallback pratique.

  • Pour : disponibilité native, pas besoin de client tiers.
  • Contre : plus lent qu’IKEv2 (double encapsulation), suspicion de compromission par la NSA selon documents Snowden (2014). Évitez sauf nécessité de compatibilité legacy.

SSTP — l’option Microsoft

SSTP (Secure Socket Tunneling Protocol) est un protocole Microsoft qui encapsule le trafic VPN dans HTTPS (port 443). Très efficace pour contourner les pare-feux restrictifs (entreprise, hôtels). Mais propriétaire, donc moins audité et lié à l’écosystème Windows.

  • Bon : passe partout (firewalls qui laissent passer HTTPS).
  • Mauvais : code source non public, support hors Windows limité, peu utilisé par les VPN commerciaux.

PPTP — à fuir absolument

Point-to-Point Tunneling Protocol, datant des années 90. Toujours disponible sur Windows pour compatibilité. Chiffrement obsolète, cassable en quelques minutes avec des outils standard. Aucun usage en 2026 sauf compatibilité absolue. À éviter, point final.

Comparatif rapide : quel protocole choisir ?

  • Vitesse maximale, usage moderne : WireGuard.
  • Mobile, bascule Wi-Fi/4G fréquente : WireGuard ou IKEv2.
  • Pare-feu très restrictif, hôtel, école : OpenVPN TCP sur port 443, ou SSTP.
  • Streaming : WireGuard pour le débit, OpenVPN si streaming bloqué par IP (rotation plus large).
  • Routeur grand public : OpenVPN reste mieux supporté que WireGuard sur du matos vieillissant.
  • Compatibilité native sans client tiers : IKEv2 (préféré) ou L2TP/IPsec (à éviter sauf nécessité).
  • Jamais : PPTP.

Choisir le protocole dans une app VPN

La plupart des applications grand public proposent un sélecteur de protocole dans les réglages, souvent étiqueté :

  • « Automatique » : laisse l’app choisir. En général WireGuard si dispo, sinon OpenVPN UDP.
  • « NordLynx » (NordVPN), « Lightway » (ExpressVPN), « Catapult Hydra » (Hotspot Shield) : protocoles propriétaires souvent dérivés de WireGuard ou OpenVPN.
  • « OpenVPN UDP » : par défaut historique, équilibré.
  • « OpenVPN TCP » : si le réseau bloque UDP.

Considérations sécurité et vie privée

  • Un bon protocole ne suffit pas : il faut un provider de confiance. Voir comment choisir un VPN no-logs.
  • Le chiffrement protège en transit. Si vous vous identifiez (compte Google, IP partagée par votre OS), votre identité est trahie, peu importe le protocole.
  • Pour de l’anonymat fort, préférer Tor ou Tor over VPN. Voir aussi masquer son IP.
  • Le RGPD s’applique aux VPN basés en UE ou qui ciblent l’UE. Voir IP et RGPD.

FAQ : protocoles VPN

Quel protocole est le plus sûr ?

WireGuard et OpenVPN sont aujourd’hui considérés également sûrs si bien configurés (AES-256 ou ChaCha20). IKEv2/IPsec aussi. PPTP est cassé. L2TP/IPsec a des soupçons sérieux. Pour le top, viser WireGuard avec un provider audité.

WireGuard est-il vraiment plus rapide qu’OpenVPN ?

Oui, c’est mesurable. Sur une connexion fibre, WireGuard sature plus facilement le lien et a une latence plus basse de ~20 % en moyenne. La différence est encore plus marquée sur les CPU mobiles peu puissants.

Mon VPN affiche « Lightway » ou « NordLynx », c’est quoi ?

Marques commerciales. NordLynx = WireGuard + couche maison NordVPN pour gérer le NAT. Lightway = protocole maison ExpressVPN basé sur wolfSSL, esprit similaire à WireGuard (minimal, rapide).

OpenVPN UDP versus TCP, lequel choisir ?

UDP par défaut : plus rapide, parfait sur connexion stable. TCP en fallback : passe les pare-feux restrictifs (en se faisant passer pour HTTPS sur 443) mais paie un overhead. Si l’UDP ne se connecte pas, basculer en TCP.

Le protocole influence-t-il la possibilité de regarder Netflix ?

Indirectement. Le débrayage par Netflix dépend de l’IP de sortie du VPN, pas du protocole. Mais OpenVPN TCP peut aider à traverser des pare-feux de hôtels qui bloquent les VPN. Pour le streaming, le débit (WireGuard > OpenVPN) reste le critère #1.

Liens utiles : comment fonctionne un VPN, choisir un VPN no-logs, Tor, encyclopédie IP.

Voir aussi dans l'encyclopédie

Autres fiches qui pourraient vous intéresser

Masque sous-réseau

Masque de sous-réseau (subnet mask) et notation CIDR : découper un réseau IP, calculer le nombre d'hôtes, exemples concrets, IPv4 et IPv6.

Lire la fiche

Comment choisir un VPN no-logs

Lire la fiche

DNS publics

Les DNS publics gratuits : 8.8.8.8 (Google), 1.1.1.1 (Cloudflare), 9.9.9.9 (Quad9), OpenDNS, AdGuard, NextDNS. Comparatif vitesse, vie privée, sécurité et configuration.

Lire la fiche
Voir toute l'encyclopédie
Copyright © 2026 Trouver IP — Tous droits réservés