L’éditeur français d’outils de visios chiffrées de bout en bout a, pour ses usages internes, abandonné OpenVPN au profit du moins connu WireGuard avec le coordinateur open source Headscale.
C’est en 2023 que Tixeo a commencé à expérimenter l’utilisation de WireGuard, pour ses équipes. Il s’agit d’un protocole open source, permettant d’établir des réseaux privés virtuels (VPN).
WireGuard, qui fête cette année ses dix ans, s’appuie sur UDP pour l’encapsulation des paquets IP et se présente comme une alternative à IPsec et OpenVPN, plus légère et plus efficace. Là, pas question de nom d’utilisateur et de mot de passe : comme pour SSH, l’authentification s’appuie sur des clés cryptographiques, échangées entre pairs susceptibles de pouvoir communiquer entre eux.
« Au cœur de WireGuard se trouve un concept appelé “Cryptokey Routing”, qui fonctionne en associant des clés publiques à une liste d’adresses IP autorisées à l’intérieur du tunnel. Chaque interface réseau dispose d’une clé privée et d’une liste de pairs. Chaque pair dispose d’une clé publique. Les clés publiques sont courtes et simples, et sont utilisées par les pairs pour s’authentifier mutuellement. Elles peuvent être transmises pour être utilisées dans des fichiers de configuration par n’importe quelle méthode hors bande, de la même manière que l’on pourrait envoyer sa clé publique SSH à un ami pour accéder à un serveur shell », explique la documentation de WireGuard.
« Nous cherchions quelque chose de plus flexible et maillé. »
Renaud GhiaCEO, Tixeo
Renaud Ghia, CEO de Tixeo, explique l’attrait : OpenVPN repose sur une architecture centralisée, peu adaptée à une entreprise aux effectifs fortement décentralisés géographiquement. Dès lors, « nous cherchions quelque chose de plus flexible et maillé » (mesh, en anglais). Et le tout avec de bonnes performances.
Mais à compter d’une certaine échelle, gérer manuellement les configurations WireGuard peut s’avérer rapidement fastidieux. C’est là qu’entre en jeu Tailscale, ou plutôt l’implémentation open source de son contrôleur, Headscale. C’est lui que Tixeo a déployé pour gérer son VPN maillé à base de WireGuard. Headscale permet d’utiliser les clients Tailscale pour Linux, macOS et Windows, mais aussi ceux disponibles pour les terminaux mobiles iOS, iPadOS et Android. Aujourd’hui, explique Renaud Ghia, « c’est ouvert à tous les collaborateurs et cela fonctionne très bien ».
Des interfaces Web, telles que Headscale-admin et Headplane, sont disponibles pour administrer son déploiement Headscale, et en particulier les utilisateurs, les nœuds du réseau maillé, les routes et la table de contrôle d’accès, mais elles ne sont pas indispensables : l’ensemble est administrable en simple ligne de commande. C’est le choix retenu par Tixeo.
Le niveau de satisfaction est aujourd’hui tel que Tixeo aimerait pouvoir adopter Headscale pour l’environnement de production de ses services de visios chiffrées de bout en bout. Mais il faudra attendre. Car depuis septembre 2023, tous les nouveaux TixeoPrivateCloud sont hébergés sur une infrastructure qualifiée SecNumCloud. Et là, « l’Anssi ne valide qu’IPSec », relève Renaud Ghia.
