WireGuard a remporté le débat sur les protocoles modernes en étant petit, rapide et ennuyeux dans le meilleur sens du terme. Mais il n'a jamais été conçu pour se cacher. Sur les réseaux qui recourent à l'inspection profonde de paquets pour repérer le trafic VPN, le WireGuard standard est l'un des protocoles les plus faciles à reconnaître — et AmneziaWG est le projet qui s'est donné pour mission de corriger exactement cela, sans renoncer à ce que WireGuard fait bien.

Réponse courte : AmneziaWG est un fork open source de WireGuard qui conserve la cryptographie et la vitesse mais déguise la poignée de main reconnaissable du protocole — avec des paquets de remplissage, du bourrage aléatoire et des octets d'en-tête réécrits — de sorte que l'inspection profonde de paquets ne puisse pas la faire correspondre à une signature WireGuard. Le même tunnel en dessous, une silhouette différente sur le câble.

Points clés

  • AmneziaWG, c'est WireGuard plus une couche d'obfuscation. Le chiffrement, le modèle de clés et les performances sont pour l'essentiel inchangés.
  • Le WireGuard standard a une poignée de main fixe et identifiable par empreinte — c'est ainsi que les censeurs le bloquent sans rien déchiffrer.
  • AmneziaWG casse l'empreinte : des paquets de remplissage avant la poignée de main, du bourrage aléatoire sur celle-ci et des valeurs d'en-tête randomisées.
  • Ce n'est pas une panacée. Les adresses de serveur bloquées, les interdictions d'UDP et les pare-feu en liste d'autorisation l'arrêtent malgré tout.
  • Sur un réseau ordinaire, il ne vous apporte rien de plus. Il compte sur les réseaux qui traquent activement les protocoles VPN.

Pourquoi le WireGuard standard est facile à bloquer

Un censeur n'a pas besoin de casser le chiffrement pour bloquer un VPN. Il lui suffit de reconnaître le protocole, et WireGuard rend cela facile parce que sa poignée de main a la même allure à chaque fois. Le premier paquet de toute session WireGuard est un message UDP d'exactement 148 octets, et ses quatre premiers octets sont un champ de type de message qui indique toujours 1 suivi de trois zéros. La réponse du serveur fait exactement 92 octets, de type 2. Chaque implémentation, chaque connexion, partout.

Cette régularité est merveilleuse pour les ingénieurs et désolante pour quiconque se trouve derrière un pare-feu national. Le matériel d'inspection fait correspondre la forme à un motif — les tailles fixes, les octets de type constants, le rythme de l'échange — et coupe la connexion avant que le tunnel ne finisse de s'établir. Tout ce qui est à l'intérieur reste chiffré ; c'est l'extérieur qui vous trahit.

Ce n'est pas un oubli. Le projet WireGuard inscrit l'obfuscation du trafic parmi ses non-objectifs explicites : le protocole doit rester minimal et auditable, et le déguisement est laissé aux couches construites par-dessus. Pendant des années, cela a laissé un vide, car les pays qui filtrent le plus durement — nous détaillons comment l'Iran, la Russie et la Chine bloquent les VPN — ont ajouté très tôt la signature de WireGuard à leurs filtres.

AmneziaWG est l'une des réponses à ce vide.

Ce que change AmneziaWG

AmneziaWG vient de l'équipe derrière Amnezia, une boîte à outils open source pour VPN auto-hébergés, et la façon la plus simple de le comprendre, c'est comme WireGuard portant un costume. Le fork ajoute un ensemble de paramètres de configuration qui remodèlent l'allure de la connexion exactement aux moments où les systèmes d'inspection observent :

  • Des paquets de remplissage d'abord (les paramètres Jc, Jmin, Jmax). Avant la véritable poignée de main, le client envoie une rafale de paquets aléatoires dénués de sens, de tailles variées. La conversation ne s'ouvre plus sur un net message de 148 octets.
  • Du bourrage aléatoire (S1, S2). L'initiation de la poignée de main et sa réponse se voient ajouter des octets supplémentaires aléatoires, si bien que les tailles de paquets cessent de correspondre à la signature connue.
  • Des en-têtes réécrits (H1–H4). Les quatre valeurs fixes de type de message qui étiquettent chaque paquet WireGuard sont remplacées par des valeurs convenues à l'avance entre les deux extrémités. Les révélateurs 1, 2, 3, 4 n'apparaissent jamais sur le câble.

Les versions plus récentes poussent l'idée plus loin. La version 1.5 a ajouté des paquets d'ouverture spécialement conçus pour imiter les premiers octets d'autres protocoles, et la lignée 2.0 qui a suivi en 2026 continue dans cette direction — l'objectif passant de « ne pas ressembler à WireGuard » à « ressembler à quelque chose d'inoffensif ».

Deux détails comptent en pratique. Les deux extrémités doivent partager les mêmes valeurs de paramètres : c'est un costume coordonné, transporté dans le fichier de configuration, et non quelque chose qu'un client improvise. Et avec chaque paramètre d'obfuscation réglé à zéro, AmneziaWG parle le WireGuard standard — ce qui vous indique à quel point la couche ajoutée est mince et chirurgicale.

Ce qui ne change pas

Sous le costume, le protocole est intact. Les mathématiques de la poignée de main, les chiffrements modernes, l'échange de clés — tout est hérité directement de WireGuard plutôt que réinventé. C'est le bon choix : une nouvelle obfuscation se trompe à peu de frais et se corrige, tandis qu'une nouvelle cryptographie est catastrophique à rater. Un fork qui ne change que l'emballage conserve le cœur réduit et abondamment relu de WireGuard.

Les performances tiennent aussi. Les paquets de remplissage ajoutent un peu de données au démarrage de la connexion, et après cela le tunnel déplace le trafic à la manière de WireGuard. Si la comparaison des grands protocoles en vitesse et en autonomie vous intéresse, nous l'avons faite dans WireGuard vs OpenVPN vs IKEv2 — et AmneziaWG se range dans la colonne de WireGuard, pas avec les options plus anciennes et plus lourdes.

Là où AmneziaWG perd quand même

L'obfuscation augmente le coût qu'il y a à vous bloquer. Elle ne rend pas le blocage impossible, et une comparaison honnête se doit de dire où le costume n'aide pas :

  • Les adresses bloquées. Si un censeur a déjà mis l'IP de votre serveur sur liste noire, l'allure de vos paquets n'a aucune importance. Le déguisement déjoue les filtres par protocole, pas les listes d'adresses.
  • Les interdictions et le bridage de l'UDP. Certains réseaux rejettent ou étranglent en bloc le trafic UDP inhabituel. AmneziaWG reste de l'UDP ; sur ces réseaux, ce sont les tunnels qui se déguisent en trafic web ordinaire sur TCP qui prennent le relais.
  • Les pare-feu en liste d'autorisation. Les réseaux les plus stricts inversent la logique : seuls les protocoles reconnus passent. Là, un trafic qui ne ressemble à rien est lui-même suspect, et les flux à forte entropie impossibles à reconnaître sont rejetés par principe. Ressembler à du bruit aide face à une liste de blocage et nuit face à une liste d'autorisation.
  • La course aux armements. Les censeurs mesurent aussi le rythme des flux, les motifs de tailles de paquets au fil du temps, et la façon dont un serveur soupçonné répond quand on le sonde. Chaque schéma d'obfuscation est une cible mouvante, et c'est pourquoi les projets sérieux continuent de publier de nouvelles versions.

Le cadrage réaliste : AmneziaWG vous rend coûteux à bloquer sur les réseaux qui filtrent par signature de protocole. Là où le blocage fonctionne par adresse, par transport ou par liste d'autorisation, il vous faut d'autres manœuvres — nous cartographions tout ce paysage dans comment un VPN contourne la censure.

Avez-vous vraiment besoin d'obfuscation VPN ?

Une question qui mérite d'être posée avant de se tourner vers un VPN obfusqué quel qu'il soit : votre problème est-il réellement le blocage par protocole ? Sur une connexion domestique, dans la plupart des pays, le WireGuard standard se connecte sans souci, et l'obfuscation ajoute des pièces mobiles sans ajouter de confidentialité — le chiffrement est le même dans les deux cas. Le test honnête est simple : si un VPN standard se connecte de façon fiable sur votre réseau, vous n'avez pas besoin du costume.

L'obfuscation gagne son utilité dans des situations précises : les pare-feu nationaux qui prennent l'empreinte des protocoles VPN, les FAI qui brident le trafic VPN reconnu, et certains réseaux d'entreprise, de campus ou d'hôtel qui bloquent les tunnels par principe. Si l'un de ces cas décrit votre semaine, le reste de cette comparaison vous concerne. Sinon, le choix du protocole — abordé dans notre comparatif principal — compte davantage que le déguisement.

AmneziaWG sur iPhone

Il existe des applications officielles AmneziaWG, dont un client iOS. Si vous louez un serveur et le configurez avec les outils Amnezia, vous pouvez importer une configuration porteuse des paramètres d'obfuscation et le tour est joué. Pour les personnes à l'aise avec la gestion d'un serveur et le maintien des paramètres en phase, c'est une voie réellement bonne — et notre comparaison Shadowsocks vs VPN couvre les alternatives en forme de proxy dans le même esprit d'auto-hébergement.

La plupart des gens ne veulent pas faire tourner une infrastructure pour lire Internet, et ne devraient pas avoir à le faire. L'alternative pratique est un VPN dont l'application applique l'obfuscation pour vous, les deux extrémités étant gérées par le même fournisseur.

Snap VPN est conçu ainsi. Le tunnel lui-même est WireGuard, et par-dessus nous appliquons nos propres techniques d'obfuscation, façonnant la connexion pour qu'elle ne présente pas une signature VPN de manuel aux systèmes d'inspection. Nous gardons délibérément les détails au niveau du câble hors de notre documentation — les déguisements publiés sont les premiers ajoutés aux filtres — mais le principe est celui que prouve AmneziaWG : garder l'ingénierie de WireGuard, changer ce que le réseau voit. Il n'y a rien à configurer et aucun compte à créer.

Questions fréquentes

AmneziaWG est-il identique à WireGuard ? C'est un fork. La cryptographie et le comportement du tunnel sont ceux de WireGuard ; ce qui change, c'est l'allure des paquets sur le câble — des paquets de remplissage, du bourrage et des en-têtes randomisés remplacent la signature reconnaissable. Avec ces paramètres mis à zéro, il se comporte comme le WireGuard standard.

AmneziaWG est-il plus lent que WireGuard ? Pas de façon notable. L'obfuscation ajoute une petite quantité de données à l'établissement de la connexion, et la vitesse en régime stable s'aligne sur celle du WireGuard standard — le chiffrement qui fait le vrai travail est identique.

La DPI peut-elle encore détecter AmneziaWG ? Elle peut essayer, et y parvient parfois. L'obfuscation supprime la correspondance facile par signature, mais les censeurs peuvent toujours bloquer des adresses de serveur, brider l'UDP ou signaler un trafic qu'ils ne parviennent pas du tout à classer. Considérez cela comme une manœuvre forte dans une course aux armements continue, pas comme une immunité.

AmneziaWG fonctionne-t-il sur iPhone ? Oui — il existe une application iOS officielle, et les paramètres d'obfuscation de votre configuration doivent correspondre exactement à ceux du serveur. Si vous préférez ne pas gérer cela vous-même, l'alternative est une application VPN avec obfuscation intégrée.

En résumé

  • WireGuard est facile à bloquer parce que sa poignée de main a la même allure partout ; le chiffrement cache le contenu, pas le contour du protocole.
  • AmneziaWG conserve la cryptographie et la vitesse de WireGuard, et randomise exactement les parties sur lesquelles les systèmes d'inspection font correspondre.
  • Il l'emporte face aux filtres par protocole ; il ne bat pas les listes de blocage d'IP, les interdictions d'UDP ni les pare-feu en liste d'autorisation.
  • L'auto-héberger sur iPhone fonctionne via l'application officielle. La voie à moindre effort est un VPN qui livre l'obfuscation dans le produit.

Si vous voulez la vitesse de WireGuard avec l'obfuscation déjà prise en charge — aucun serveur à louer, aucun paramètre à synchroniser, aucun compte et aucun journal de trafic — Snap VPN est sur l'App Store.