Développé depuis 2015 par Jason A. Donenfeld, WireGuard est un nouveau protocole permettant d’établir des tunnels chiffrant les connexions de bout en bout (VPN) qui s’oppose au ténor du genre, OpenVPN, mais aussi à IPsec. Adopté par les plus curieux et les plus sensibles à la sécurité, il fait parler de lui pour son adoption des normes cryptographiques les plus récentes : Ed25519 pour les certificats, Curve25519 pour l’échange de clés (ECDHE) et ChaCha20-Poly1305 pour les flux de données, mais aussi Noise, BLAKE2, SipHash24 et HKDF. Sa conception simpliste en quelques lignes de code facilite l’intégration en bonne et due forme par les administrateurs systèmes et les développeurs, et réduit la probabilité de bogues de sécurité. Adopté par quelques fournisseurs de VPN, il permettrait notamment des gains de vitesses de l’ordre de plusieurs mégabits et des temps de connexion (ping) réduits.
La version 1.0 dans le kernel Linux
Sur sa mailing list, son créateur annonce aujourd’hui que WireGuard passe en version 1.0, mais pas seulement. Jason Donenfeld annonce aussi la première implémentation par défaut dans le noyau d’un système d’exploitation, à savoir Linux 5.6. En accord avec son créateur et développeur principal, Linus Torvalds, un travail a été fourni afin d’en faire la première version stable, après un audit de sécurité.
Les différentes distributions de Linux bientôt mises à jour
Les plus impatients devront patienter tout de même avant d’en profiter sur Ubuntu par exemple, le noyau étant rétroporté (backport) sur Ubuntu 20.04, une LTS qui sortira le 23 avril prochain, et sur Debian Buster (ou Debian 10) en version 5.5.y. Les autres distributions, précise Donenfeld, telles que Linux Arch, Gentoo et Fedora 32 pourront en bénéficier via les canaux de mis à jour habituels.
