LMI MAG 2 Mars 2020 - Magazine - Page 57
La discussion sur la liste de diffusion concernant la soumission du correctif Zinc s’est arrêtée en avril 2019, mais
un autre développeur du kernel a récemment pris en
charge la tâche d’intégrer la plupart des fonctionnalités
de Zinc dans l’API de crypto existante et les changements
ont été fusionnés dans le noyau en novembre 2019.
Jason Donenfeld a accepté ce compromis et il est, globalement, satisfait du résultat. « L’API ne s’appelle plus
Zinc, et certains choix de conception que j’aimais bien
ont disparu, mais je pense que l’essentiel de ce que nous
recherchions est là, et il devrait être possible d’ajouter
d’autres morceaux de code en amont, un par un », a-t-il
déclaré dans un message posté sur la liste de diffusion
du projet WireGuard. Cette étape importante a débloqué
le processus d’intégration de WireGuard en amont dans
le sous-système réseau de Linux. L’opération pourrait
également prendre un certain temps, mais une fois l’intégration réalisée, WireGuard fera son chemin dans un
très grand nombre de périphériques à mesure qu’ils seront mis à jour pour avoir recours aux nouvelles versions
du noyau.
Si tout se passe comme prévu, WireGuard sera inclus
dans le kernel Linux 5.6, attendu pour le mois d’avril
2020. « WireGuard est probablement en grande partie
abouti, mais je prévois toujours une révision avec beaucoup de commentaires à incorporer, car désormais,
il y a de bonnes raisons pour que les gens prennent la
soumission de correctifs au sérieux », a encore déclaré
Jason Donenfeld. Cette intégration au noyau Linux luimême ne signifie pas que WireGuard sera omniprésent
immédiatement, car l’adoption des nouvelles versions
du noyau, par les périphériques embarqués en particulier, est souvent très lente. Cependant, WireGuard
est déjà disponible dans le firmware de la communauté
OpenWRT pour les routeurs et autres périphériques embarqués, et dans EdgeOS, utilisé sur les périphériques
réseau Ubiquiti.
Wintun, nouveau pilote TUN open source
pour Windows
Pour améliorer les performances de WireGuard sous
Windows, Jason Donenfeld et les autres développeurs de
WireGuard ont créé un nouveau pilote TUN open source,
plus simple, qu’ils ont appelé Wintun. Windows ne fournit pas de périphérique virtuel TUN natif, et même si
certains pilotes existant permettent d’y parvenir à partir de projets comme OpenVPN ou SoftEther, ils ont été
écrits il y a longtemps et présentent divers problèmes.
« Ces projets ont été écrits à une époque différente, à
l’ère de NDIS5, puis portés plus tard sur NDIS6 », a écrit
Jason Donenfeld dans un courriel envoyé en mars 2019
pour annoncer le projet. « Cela signifie qu’ils n’ont
pas bénéficié d’évolutions comme le NdisMediumIP
de Windows 7 qui laisse possible le tunnelage natif de
la couche Layer 3, sans avoir à faire d’émulation de la
couche Layer 2. Les pilotes comme les tap-windows6
d’OpenVPN font aussi des choses un peu désagréables,
comme émuler le DHCP depuis le noyau pour la configuration du réseau. Ce code est ancien et compliqué.
Comme d’habitude, je voulais plutôt quelque chose de
restreint et de stupide, facile à maîtriser, capable de
faire les choses d’une manière “correcte” et “fastidieuse”
pour un cas d’usage plus étroit : la couche Layer 3 TUN. »
Comme Zinc et WireGuard lui-même, Wintun semble
avoir été développé avec le même souci de simplicité,
d’auditabilité et de sécurité. Les développeurs du projet
OpenVPN travaillent également sur l’ajout du support
d’OpenVPN pour l’utiliser comme alternative à leur
ancien pilote.
Bientôt un WireGuard prêt pour l’entreprise ?
Même si WireGuard n’a pas encore atteint officiellement
le statut de version stable, il est déjà utilisé en production.
Certains fournisseurs de services VPN commerciaux proposent des serveurs WireGuard et des efforts continus
sont entrepris pour construire des outils de réseau mesh
autour du projet. NordVPN assure déjà une implémentation de Wireguard avec son projet NordLynx, disponible
pour Linux uniquement (bit.ly/374FLbS). WireGuard n’est
pas encore prêt pour l’entreprise et il est difficile de dire
si ce sera le cas un jour, car ses développeurs hésitent à
ajouter de nouvelles fonctionnalités qui ne serviront qu’à
un ensemble restreint d’utilisateurs ou à couvrir des cas
limites. C’est comme cela que d’autres projets sont devenus trop complexes. [Lire l’intégralité de l’article sur
lemondeinformatique.fr]
APPROFONDIR
LIRE L’ARTICLE EN LIGNE
Article
cutt.ly/wireguard
NORDVPN
Article
bit.ly/374FLbS
57