WireGuard est arrivé dans les apps VPN grand public vers 2020-2021 et a régulièrement remplacé OpenVPN comme protocole par défaut pour les nouvelles connexions. Le pitch marketing — « plus rapide, plus simple, audité » — est techniquement exact, mais le tableau est plus nuancé pour les utilisateurs avancés et pour quiconque opère hors d'un usage internet domestique classique. Ce guide compare les deux protocoles sur les critères qui comptent vraiment en 2026, avec des chiffres de benchmark de mai.
Pourquoi les deux protocoles existent
OpenVPN a été créé en 2001 par James Yonan, conçu pour un monde où les VPN étaient surtout des liens site-à-site d'entreprise. Il s'appuie sur la bibliothèque OpenSSL et supporte tous les chiffrements exposés par OpenSSL (AES-256-GCM aujourd'hui, des dizaines d'options historiques). Il tourne en userspace, communique avec le noyau via une interface virtuelle TUN/TAP, et supporte aussi bien UDP que TCP en transport. Sa flexibilité est aussi son poids : le code dépasse 100 000 lignes de C, la surface de configuration est large, et la négociation protocolaire ajoute des round trips à chaque connexion.
WireGuard a été publié par Jason Donenfeld en 2016 comme une refonte explicite avec trois priorités : surface de code réduite (~4 000 lignes pour le module kernel Linux), suite cryptographique unique (pas de négociation, pas de downgrade), et support du roaming (les clients peuvent changer de réseau sans renégocier). Le noyau Linux a intégré WireGuard en mars 2020, validant son statut production-grade. Des implémentations userspace existent pour macOS, Windows, iOS, Android et les systèmes embarqués, mais l'intégration kernel délivre les meilleures performances.
Côté cryptographie, WireGuard utilise ChaCha20-Poly1305 pour le chiffrement symétrique, Curve25519 pour l'échange de clés, BLAKE2s pour le hachage et le Noise Protocol Framework pour le handshake. OpenVPN négocie typiquement AES-256-GCM avec SHA-256 et ECDHE pour l'échange de clés. Les deux sont sûrs en 2026 ; la différence se joue sur la complexité d'implémentation, pas sur la robustesse protocolaire.
Benchmark vitesse — même matériel, même serveur (mai 2026)
Conditions de test : source fibre 1 Gbps (Bouygues Paris 11e), routeur Asus RT-AX86U, même serveur NordVPN (Paris #1547, faible charge), 5 mesures consécutives moyennées, fast.com et Cloudflare Speed Test recoupés.
| Protocole | Téléchargement | Upload | Latence ajoutée | Util. CPU (routeur) |
|---|---|---|---|---|
| Sans VPN | 920 Mbps | 670 Mbps | — | 6 % |
| WireGuard (NordLynx) | 890 Mbps | 640 Mbps | +6 ms | 22 % |
| OpenVPN UDP AES-256-GCM | 320 Mbps | 280 Mbps | +14 ms | 78 % |
| OpenVPN TCP AES-256-GCM | 95 Mbps | 110 Mbps | +28 ms | 71 % |
L'avantage WireGuard est important en valeur absolue mais modeste en proportion à bas débit. Sur une ligne DSL 50 Mbps, les deux protocoles saturent le lien et vous verriez WireGuard à 48 Mbps et OpenVPN UDP à 45 Mbps — 6 % d'écart. Sur fibre gigabit, l'écart se creuse à un facteur 3 à 4. L'écart d'utilisation CPU explique pourquoi les appareils mobiles tiennent plus longtemps sur WireGuard : moins de travail CPU par octet tunnelisé.
Sécurité et historique des audits
OpenVPN est déployé en continu depuis 2001 avec des audits majeurs en 2017 (passe CVE-aware par Cure53 et OSTIF, financée par Private Internet Access) puis à nouveau en 2019, 2022, 2024. Plusieurs CVE ont été identifiées et corrigées au fil des années ; l'historique public est lui-même un signal de sécurité — des bugs au grand jour ont été trouvés et corrigés.
Le protocole de base de WireGuard a été vérifié formellement avec Tamarin dans des travaux académiques (2018-2020). L'implémentation Linux kernel a été auditée par Cure53 en 2019. L'INRIA et des équipes académiques ont publié des analyses complémentaires. NordVPN, Mullvad et ProtonVPN ont chacun commandé des audits de leurs déploiements WireGuard respectifs — par exemple NordLynx (le wrapper WireGuard de NordVPN) a été audité par Cure53 en 2023.
Un point subtil : la conception de référence WireGuard stocke la dernière IP du pair dans la config serveur — utile pour le roaming endpoint, problématique pour la vie privée si un fournisseur traite cela comme un log persistant. Les grands fournisseurs (NordVPN, Mullvad, ProtonVPN) enveloppent WireGuard dans du double NAT ou de la traduction d'adresses pour que l'IP stockée ne remonte pas à un abonné précis. Les petits fournisseurs ne le font pas forcément — une config WireGuard générique chez un petit fournisseur VPN mérite la prudence.
Quand OpenVPN gagne encore — trois scénarios réels
Pays censurés. Le Grand Firewall chinois, le filtre national iranien et les systèmes DPI similaires peuvent identifier la signature UDP caractéristique de WireGuard en quelques secondes puis throttler ou bloquer le flux. OpenVPN sur TCP/443 avec offuscation stunnel (parfois appelé « Stealth VPN » ou « Serveurs Offusqués ») mime du trafic HTTPS classique et survit au DPI dans la plupart des cas. Les Serveurs Offusqués de NordVPN, Lightway avec offuscation d'ExpressVPN, et le mode Camouflage de Surfshark reposent tous sur ce principe. Voir notre guide VPN Chine 2026 pour des recommandations précises.
Réseaux d'entreprise bloquant UDP. De nombreux pare-feu d'entreprise autorisent TCP/443 en sortant (HTTPS) mais bloquent le trafic UDP hors allowlists spécifiques. L'UDP 51820 par défaut de WireGuard fait partie des premiers ports bloqués. OpenVPN TCP/443 est indissociable de HTTPS à la couche réseau et passe. Si vous êtes freelance depuis un WiFi guest d'entreprise ou un hôtel qui filtre agressivement, OpenVPN TCP est un fallback éprouvé.
Routeurs anciens et matériel embarqué. Les routeurs grand public sortis avant 2021 manquent généralement du support kernel WireGuard. L'équipement industriel (systèmes POS, automatisation de bâtiment, caméras IP anciennes) ne supporte souvent qu'OpenVPN. Si votre déploiement touche à tout ça, OpenVPN reste la lingua franca.
Implémentations fournisseurs à connaître
NordVPN — NordLynx. WireGuard enveloppé dans un système de double NAT qui masque le problème de conception peer-IP statique. Protocole par défaut sur toutes les apps NordVPN depuis 2022. Audité par Cure53. La vitesse et la stabilité sont les plus proches du « WireGuard brut » parmi les grands fournisseurs.
ExpressVPN — Lightway. Pas du WireGuard — un protocole propriétaire construit sur wolfSSL, conçu pour les mêmes objectifs (vitesse, efficacité mobile) sans la contrainte de conception peer-IP de WireGuard. Open-sourcé en 2021, audité par Cure53. WireGuard vanilla a été ajouté ensuite en opt-in.
ProtonVPN — WireGuard standard. WireGuard pur avec traduction d'adresses côté fournisseur. Le tier gratuit de ProtonVPN expose WireGuard, ce qui est inhabituel — la plupart des fournisseurs réservent WireGuard aux plans payants sur leur offre gratuite.
Mullvad — WireGuard uniquement. A supprimé le support OpenVPN en 2023 pour concentrer l'ingénierie sur un seul protocole. Défensif mais réduit la flexibilité pour les utilisateurs avec contraintes réseau corporate ou censuré.
Surfshark — WireGuard depuis 2020. WireGuard, OpenVPN UDP et OpenVPN TCP coexistent. L'implémentation est standard plutôt qu'enveloppée — vérifiez les réglages si vous voulez des garanties explicites de double NAT.
★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)
Essayer un VPN avec WireGuard et OpenVPN intégrés — 30 jours satisfait ou rembourséNordLynx (WireGuard) + OpenVPN Offusqué pour les réseaux restreints→Arbre de décision pratique
Pour internet à la maison, mobile, gaming, streaming dans les pays non censurés → utilisez le protocole par défaut du fournisseur (WireGuard / NordLynx / Lightway). C'est plus rapide, plus économe en batterie et audité.
Pour les réseaux d'entreprise où vous soupçonnez UDP bloqué → basculez manuellement sur OpenVPN TCP/443 avant le déplacement. Testez une fois sur place, fallback si nécessaire.
Pour les voyages en Chine, Iran, Émirats, Russie → choisissez un fournisseur avec Serveurs Offusqués (NordVPN Offusqué, ExpressVPN Lightway offuscation, Surfshark Camouflage). Utilisez OpenVPN TCP/443 en fallback si l'offuscation échoue. Téléchargez les configs avant le départ — les sites des fournisseurs sont souvent bloqués sur place.
Pour un déploiement sur routeur ancien ou matériel embarqué → OpenVPN est la seule option. Vérifiez le support WireGuard dans le firmware avant de compter dessus.
Pour les usages à confidentialité stricte (journalisme, dissidence) → Mullvad WireGuard (ou tout fournisseur avec un wrapper WireGuard audité indépendamment) plus Tor sur VPN si nécessaire. Vérifiez spécifiquement la politique de logs WireGuard du fournisseur, pas seulement la politique no-log générique.
Pour aller plus loin
Guides VPN connexes
- Audit sécurité VPN complet →Méthodologie en 9 tests pour vérifier que votre VPN protège vraiment
- Notre avis VPN 2026 →Comparatif des fournisseurs avec scores par cas d'usage
- Kill switch VPN expliqué →Critique quel que soit le protocole — les fuites surviennent à la reconnexion
- VPN pour la Chine 2026 →Pourquoi OpenVPN offusqué bat encore WireGuard face au Grand Firewall
- Méthodologie test vitesse VPN →Comment reproduire notre benchmark sur votre propre installation
- Notre protocole de test →Comment nous mesurons vitesse, fuites, déblocage et politiques no-log
★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)
Voir l'offre NordVPN30 jours satisfait ou remboursé→