Le télétravail est devenu la norme pour de nombreuses PME en Drôme et Ardèche. Mais travailler depuis un café ou depuis chez soi sur une connexion personnelle expose vos données professionnelles à des risques considérables : interception du trafic, usurpation d'identité, vol de données sensibles.
Un VPN (Virtual Private Network) crée un tunnel sécurisé entre votre appareil et votre serveur, chiffrant l'intégralité de votre trafic. Parmi les solutions disponibles, WireGuard s'impose comme le meilleur choix pour 2026 : plus rapide qu'OpenVPN, plus moderne, avec seulement 4 000 lignes de code auditable (contre 100 000 pour OpenVPN). Selon l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), les protocoles cryptographiques modernes comme ceux utilisés par WireGuard offrent un bon niveau de confiance pour les usages professionnels.
Avant de commencer, assurez-vous de disposer :
Connectez-vous à votre serveur en SSH et exécutez :
sudo apt update && sudo apt install wireguard wireguard-toolsSur RedHat/CentOS, utilisez yum install wireguard-tools à la place.
WireGuard utilise la cryptographie asymétrique : chaque pair dispose d'une clé privée (secrète) et d'une clé publique (partageable). Créez un répertoire sécurisé :
sudo mkdir -p /etc/wireguard
sudo chmod 700 /etc/wireguard
cd /etc/wireguard
sudo wg genkey | tee privatekey | wg pubkey > publickeyVotre serveur dispose maintenant d'une paire de clés. Gardez privatekey strictement confidentiel.
Créez le fichier wg0.conf (l'interface WireGuard) :
sudo nano /etc/wireguard/wg0.confCollez ce contenu (en remplaçant YOUR_PRIVATE_KEY par le contenu de privatekey) :
[Interface]
Address = 10.0.0.1/24
ListenPort = 51820
PrivateKey = YOUR_PRIVATE_KEY
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -A FORWARD -o %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -D FORWARD -o %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADESauvegardez avec Ctrl+O, Entrée, puis Ctrl+X.
ens3 ou autre (au lieu de eth0), remplacez dans les lignes PostUp/PostDown. Vérifiez avec ip link show.
Pour que votre serveur route le trafic entre clients VPN et Internet :
sudo sysctl -w net.ipv4.ip_forward=1Pour que ce paramètre persiste après reboot :
echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -pLancez le service :
sudo systemctl start wg-quick@wg0
sudo systemctl enable wg-quick@wg0Vérifiez le statut :
sudo wg showVous devriez voir votre interface wg0 active avec sa clé publique.
Pour chaque client (ordinateur, téléphone), créez une paire de clés unique :
wg genkey | tee client1_privatekey | wg pubkey > client1_publickeyStockez ces fichiers en sécurité (ou directement dans le fichier serveur à l'étape suivante).
Éditez votre fichier de config :
sudo nano /etc/wireguard/wg0.confAllez à la fin du fichier et ajoutez (en remplaçant CLIENT1_PUBLIC_KEY par la clé publique du client) :
[Peer]
PublicKey = CLIENT1_PUBLIC_KEY
AllowedIPs = 10.0.0.2/32Sauvegardez et appliquez les modifications :
sudo wg-quick down wg0
sudo wg-quick up wg0Sur votre machine cliente, créez un fichier client1.conf (à placer dans le dossier WireGuard de votre système) :
[Interface]
PrivateKey = CLIENT1_PRIVATE_KEY
Address = 10.0.0.2/24
DNS = 1.1.1.1
[Peer]
PublicKey = SERVER_PUBLIC_KEY
Endpoint = votre.serveur.com:51820
AllowedIPs = 0.0.0.0/0Remplacez :
CLIENT1_PRIVATE_KEY par la clé privée du clientSERVER_PUBLIC_KEY par la clé publique du serveur (de l'étape 2)votre.serveur.com par l'adresse IP publique ou le domaine de votre serveurSelon votre système :
client1.conf./etc/wireguard/ et lancez sudo wg-quick up client1.qrencode -t ansiutf8 < client1.conf, puis scannez-le dans l'appli WireGuard.Vous devez générer une paire de clés unique pour chaque client (chaque ordinateur, téléphone, etc.). Ne réutilisez jamais les mêmes clés. Répétez les étapes 6-9 pour chaque nouvel utilisateur, en incrémentant les noms (client2, client3, etc.).
Une fois connecté :
wg show sur le serveur : vous devez voir votre client dans la liste des "peers" avec un "transfer" non-nul.ping 10.0.0.1 depuis le client doit retourner une réponse rapide (< 100 ms généralement).J'ai mis en place une vingtaine de configurations WireGuard pour des PME en Drôme et Ardèche depuis 2024. Parmi mes clients : un cabinet d'experts-comptables de Valence, un atelier d'artisanat textile en Ardèche, et plusieurs agences web.
Ce que j'observe concrètement :
Causes possibles :
sudo ufw allow 51820/udp (pour UFW) ou l'équivalent chez votre hébergeur.Endpoint et le port correspondent exactement à votre serveur.Causes possibles :
net.ipv4.ip_forward=1 est bien appliqué sur le serveur avec sysctl net.ipv4.ip_forward.sudo iptables -L -n.eth0 en ens3, vérifiez que c'est cohérent partout dans le fichier wg0.conf.Causes possibles :
PersistentKeepalive = 25 dans la section [Peer] du fichier client.Causes possibles :
Causes possibles :
.conf ne contient pas de retours à la ligne invisibles. Réencodez en UTF-8 simple si besoin.chmod 600 client1.conf.Oui. WireGuard utilise le protocole Noise (cryptographie post-quantique) et compte seulement 4 000 lignes de code, contre 100 000 pour OpenVPN. Moins de code = moins de failles potentielles. L'ANSSI recommande d'ailleurs les VPN modernes et auditables. WireGuard a été audité en 2020 par Cure53 sans faille majeure détectée.
Ce tutoriel est pensé pour être accessible à quelqu'un ayant des connaissances basiques en terminal. Si vous avez déjà configuré un serveur ou édité un fichier de config, vous pouvez le faire. Sinon, demandez l'aide d'un technicien ou louez-moi une heure de travail pour automatiser le processus.
Un VPS basique (1 vCPU, 512 Mo RAM) peut gérer 5-10 clients simultanés sans ralentissement. Pour 20+ utilisateurs, montez à 2 vCPU et 2 Go RAM. Le coût reste dérisoire : environ 5-15 € HT/mois chez un bon hébergeur.
Non, WireGuard est 100% gratuit et open-source (licence GPLv2). Vous ne payez que l'hébergement du serveur VPN.
Absolument. Les applications WireGuard pour iOS et Android sont officielles, gratuites et très faciles à utiliser. Importez le fichier .conf via un QR code ou par partage de fichier.
Techniquement oui, mais ce n'est généralement pas recommandé. Cela crée une complexité inutile et peut violer votre politique d'entreprise. Vérifiez avec votre IT avant de faire ça.
Tous vos clients seront déconnectés et vous devrez régénérer une nouvelle paire de clés pour le serveur. C'est aussi simple que refaire l'étape 2, mais tous les clients devront être mise à jour avec la nouvelle clé publique du serveur.
Oui. Du point de vue d'Internet, votre trafic émane de l'IP publique du serveur VPN, pas de votre adresse locale. Les sites que vous visitez verront l'IP du serveur.
Je suis Hugo Laurent, technicien informatique indépendant basé à Valence (Drôme). Je propose une mise en place clé en main de WireGuard pour les PME et artisans de Drôme et Ardèche.
Services : Installation du serveur VPN, génération des clés clients, support utilisateurs, mises à jour de sécurité.
Demander un devis