VIGIL MESH

Documentation

Alternative à TeamViewer : le bureau à distance par réseau privé

TeamViewer a rendu la prise en main à distance accessible à tout le monde : un identifiant, un mot de passe, et l’on voit l’écran d’une machine à l’autre bout du monde. Mais quand les machines sont les vôtres — votre poste de bureau, vos serveurs, le petit parc d’une équipe ou d’un atelier —, une autre approche existe : un réseau privé chiffré qui relie vos machines entre elles, où le bureau à distance et le terminal circulent de bout en bout, sans passerelle tierce qui voie le flux et sans port ouvert sur la box. Cette page compare honnêtement les deux approches — chacune excelle dans un cas d’usage différent — puis montre comment mettre en place la seconde.

Ce que TeamViewer fait très bien

TeamViewer est un outil d’assistance et de bureau à distance : les deux extrémités installent le logiciel de l’éditeur, et l’infrastructure de l’éditeur les met en relation. Sa force historique tient en une scène que tout le monde connaît : dépanner l’ordinateur de quelqu’un qu’on n’a jamais rencontré. La personne lit à voix haute un identifiant et un mot de passe affichés à l’écran, vous les saisissez, et vous prenez la main. Aucun compte à créer côté dépanné, aucun réseau à préparer, aucune configuration commune préalable.

Rien à préconfigurer

La machine à dépanner n’a pas besoin d’être connue d’avance : le logiciel s’exécute, un identifiant s’affiche, la session démarre. C’est imbattable pour l’assistance ponctuelle à des tiers.

Traverse les réseaux tout seul

Box, pare-feu d’entreprise, connexion mobile : l’infrastructure de l’éditeur se charge de mettre les deux machines en relation, sans que personne ne touche à un routeur.

Gratuit pour un usage personnel

L’éditeur propose l’outil gratuitement pour l’usage personnel, ce qui en a fait le réflexe familial du dépannage — le PC des parents, la tablette d’un proche.

Ce qui gêne certains usages

Les qualités de TeamViewer découlent d’un choix d’architecture : c’est l’éditeur qui met les machines en relation. Ce choix est cohérent pour un outil d’assistance universel, mais il a des conséquences qu’il faut connaître quand on cherche un accès permanent à ses propres machines.

  • Le chemin passe par un tiers. La mise en relation — et le relais du trafic quand la connexion directe n’aboutit pas — sont opérés par les serveurs de l’éditeur. L’accès à vos propres machines dépend donc de la disponibilité et des règles d’un service extérieur, même lorsque les deux machines sont dans la même pièce.
  • La politique d’usage commercial. L’outil est gratuit pour l’usage personnel, et l’éditeur détecte les usages qu’il estime commerciaux : une session jugée professionnelle peut être limitée. C’est une politique légitime et affichée — mais la frontière est parfois délicate à vivre quand on dépanne le poste de l’association, le PC d’un client occasionnel ou sa propre machine de télétravail.
  • Un agent et un compte tiers sur chaque machine. Chaque machine accessible exécute le logiciel de l’éditeur, et les droits d’accès vivent dans un compte hébergé chez lui. Qui peut joindre quoi n’est pas une règle de votre réseau : c’est une donnée du service.

L’approche réseau privé : vos machines se parlent directement

L’alternative consiste à ne plus passer par un service de mise en relation à chaque session, mais à construire une fois un réseau privé entre vos machines. Chaque machine est enrôlée dans votre espace de travail, reçoit une adresse privée stable et un nom lisible (MagicDNS), et devient joignable par les autres membres comme si elles partageaient le même réseau local — où qu’elles soient physiquement. Le bureau à distance et le terminal ne sont alors plus des services d’un éditeur : ce sont les protocoles standards, RDP et SSH, qui circulent dans votre propre réseau chiffré.

RDP natif vers vos postes Windows

Le client Bureau à distance habituel de Windows se connecte au port 3389 de la machine par son adresse privée ou son nom — jamais exposé sur Internet. Même outil, mêmes habitudes, mais la porte ne donne plus sur la rue : elle donne sur votre réseau.

Terminal et bureau depuis le navigateur

L’onglet Administration de la console ouvre un terminal SSH sur une machine du réseau, directement dans le navigateur : la page devient un nœud du mesh et un client SSH classique s’y exécute. Vos identifiants sont consommés dans la page et ne transitent jamais par nos serveurs.

SSH pour les serveurs et machines sans écran

Pour un serveur Linux, une passerelle ou un robot, le terminal SSH reste l’outil le plus efficace : quelques octets par frappe, fluide même sur une liaison mobile médiocre, et joignable par le nom de la machine.

Aucune passerelle qui voit le flux

Les sessions sont des connexions QUIC/TLS 1.3 chiffrées de bout en bout, avec un échange de clés hybride post-quantique (X25519 + ML-KEM). Aucun serveur intermédiaire ne termine la session : le déchiffrement n’existe qu’aux deux extrémités.

La différence avec un bastion ou une passerelle web mérite d’être soulignée. Ces intermédiaires terminent la session SSH ou RDP sur leur serveur, qui détient donc le clair et vos identifiants, puis vous en retransmettent l’affichage. Ici, il n’y a pas de terminaison intermédiaire : le protocole commence sur votre poste — ou dans votre onglet — et se termine sur la machine cible. L’infrastructure transporte des octets opaques, elle ne lit pas.

Sans compte tiers dans la boucle — et sans ouvrir de port

Remplacer un service de mise en relation ne doit pas ramener la corvée que tout le monde fuit : ouvrir un port sur la box, exposer le port 3389 sur Internet — l’une des configurations les plus attaquées qui soient, scannée en continu par des robots. VIGIL-MESH n’en demande rien : aucun nœud n’ouvre de port entrant. Chaque machine établit uniquement des connexions sortantes, sur un seul flux en 443 UDP — le même port que le web moderne, autorisé en sortie sur la quasi-totalité des réseaux, y compris derrière une box grand public ou une connexion 4G/5G en CGNAT.

  1. 1
    Connexion immédiate via un relaisDès que deux machines doivent se parler, le trafic passe par un relais (la vigie), joint lui aussi en sortant. Pas d’attente : la session RDP ou SSH s’ouvre tout de suite.
  2. 2
    La traversée NAT cherche le chemin directEn parallèle, les deux machines tentent d’établir un chemin direct de pair à pair, sans qu’aucun port n’ait été configuré nulle part.
  3. 3
    Migration sans coupureDès qu’un chemin direct existe, la session y migre sans se reconnecter : votre bureau à distance ne clignote même pas, le trafic change simplement de route.

Le relais mérite un mot, car c’est là que l’approche diffère le plus d’un service d’assistance : la vigie est structurellement aveugle. Elle ne détient pas les clés des sessions et fait transiter des connexions chiffrées de bout en bout dont elle ne voit jamais le contenu. Et si transiter par un relais partagé vous dérange, vous pouvez héberger votre propre vigie privée, dédiée à votre espace de travail : le chemin relayé passe alors par une machine à vous.

Pour qui c’est le bon choix — et pour qui TeamViewer reste meilleur

Le coût d’entrée de l’approche réseau privé est simple à énoncer : il faut enrôler chaque machine une fois. C’est l’affaire de quelques minutes par machine, mais cela suppose d’y avoir accès et d’en avoir la responsabilité. Ce critère départage presque tous les cas d’usage :

SituationMeilleur choixPourquoi
Dépanner ponctuellement la machine d’un tiers inconnuTeamViewerRien à préconfigurer : identifiant + mot de passe et la session démarre
Assistance à des clients variés, machines jamais vuesTeamViewerImpossible d’enrôler d’avance des machines qu’on ne connaît pas
Accéder chaque jour à ses propres machinesRéseau privéEnrôlement une fois, puis RDP/SSH natifs par nom, sans tiers dans la boucle
Administrer des serveurs et machines sans écranRéseau privéTerminal SSH léger, joignable par nom, y compris depuis le navigateur
Parc géré : famille, atelier, petite équipeRéseau privéACL par identité, révocation immédiate, aucun port exposé
Exigence : aucun tiers ne doit voir le fluxRéseau privéChiffrement de bout en bout, relais aveugle, vigie auto-hébergeable

Les deux approches ne sont d’ailleurs pas exclusives : beaucoup gardent un outil d’assistance pour l’imprévu — le portable d’un ami de passage — et font vivre leurs propres machines sur leur réseau privé. Ce sont deux problèmes différents, et il est sain de les résoudre avec deux outils différents.

Un parc de machines : atelier, famille « gérée », petite équipe

L’approche réseau privé prend toute sa valeur dès qu’il y a plus de deux machines, parce qu’elle transforme une pile de sessions ponctuelles en un réseau administré. Trois exemples concrets :

  • L’atelier. Les postes qui pilotent les machines, le serveur de plans et la passerelle industrielle sont enrôlés. Depuis le bureau — ou depuis un navigateur en déplacement —, on ouvre un bureau sur le poste de la fraiseuse ou un terminal sur la passerelle, par leur nom, sans qu’aucune de ces machines ne soit joignable depuis Internet.
  • La famille « gérée ». Lors d’une visite, on enrôle une fois le PC des parents. Ensuite, chaque dépannage est un bureau à distance ordinaire vers une machine de son propre réseau — sans identifiant à faire lire au téléphone, sans session limitée, sans rien réinstaller.
  • La petite équipe. Postes de travail et serveurs vivent dans le même espace de travail. Chacun accède à ses machines ; l’administrateur accède à tout ; le prestataire ne voit qu’une seule machine, sur un seul port.

Ce dernier point repose sur les politiques d’accès (ACL), et c’est ce qui distingue un réseau administré d’une simple liste de contacts : le refus par défaut. Ce qui n’est pas explicitement autorisé est interdit, et les règles parlent d’identités — machines, groupes, étiquettes —, jamais d’adresses :

SourceDestinationAction
groupe:adminstoutes les machines (SSH, RDP)Autoriser
machine:poste-bureautag:atelier (port 3389)Autoriser
machine:prestatairemachine:serveur-plans (port 443)Autoriser
(toute source)(toute destination)Refuser par défaut

Mettre en place son réseau, pas à pas

La mise en place se fait une fois, machine par machine. Le client existe pour Windows, Linux, Android et NVIDIA Jetson — et le navigateur peut devenir un nœud éphémère via la console, sans rien installer.

  1. 1
    Créer un compte et un espace de travailL’espace de travail est le périmètre où vivront vos réseaux, vos machines et vos règles d’accès.
  2. 2
    Installer le client sur les machines concernéesLe poste Windows auquel vous voulez accéder en RDP, le serveur à administrer en SSH, le portable depuis lequel vous travaillez.
  3. 3
    Enrôler chaque machinePage Réseaux → Machines → « Ajouter une machine » : l’assistant remet une clé d’enrôlement à usage unique, à passer au client en commande ou en QR code sur mobile. La machine génère son identité sur place et n’ouvre aucun port entrant.
  4. 4
    VérifierLa machine apparaît dans la console avec son adresse stable ; un ping ou son nom MagicDNS confirme qu’elle est joignable.
  5. 5
    Se connecter comme en localBureau à distance vers le nom du poste Windows, SSH vers le nom du serveur — ou terminal depuis l’onglet Administration de la console. Les ACL décident qui peut administrer quoi.

Questions fréquentes

VIGIL-MESH peut-il remplacer TeamViewer pour dépanner l’ordinateur d’un inconnu ?
Non, et cette page ne le prétend pas. L’approche réseau privé suppose d’enrôler la machine une fois dans votre espace de travail — impossible pour un dépannage ponctuel chez quelqu’un que vous ne reverrez jamais. Pour ce cas, un outil d’assistance comme TeamViewer reste le bon choix. Le réseau privé prend l’avantage dès que les machines sont les vôtres ou appartiennent à un parc que vous gérez.
Faut-il ouvrir le port 3389 (RDP) ou 22 (SSH) sur ma box ?
Non, aucun port entrant. Ces services ne sont joignables que par l’adresse privée de la machine, à l’intérieur du réseau chiffré et sous le contrôle des ACL. Chaque machine n’établit que des connexions sortantes, sur un seul flux 443 UDP — rien à configurer sur la box, rien à justifier auprès d’un pare-feu d’entreprise.
Qui peut voir mes sessions de bureau à distance ?
Personne d’autre que les deux extrémités. Les sessions sont des connexions QUIC/TLS 1.3 chiffrées de bout en bout, avec un échange de clés hybride post-quantique. Quand un relais est nécessaire, il fait transiter des paquets opaques sans détenir les clés — et vous pouvez héberger votre propre vigie privée si vous voulez aussi posséder ce relais.
Ça fonctionne derrière une connexion 4G/5G ou un CGNAT ?
Oui. Le CGNAT empêche d’héberger un serveur, mais il laisse sortir les connexions — et VIGIL-MESH ne fait que sortir. La session s’ouvre immédiatement via le relais, puis migre sans coupure vers le chemin direct si la traversée NAT aboutit. Si les deux extrémités sont derrière un NAT symétrique, le trafic reste relayé en permanence, par le relais aveugle.
Est-ce gratuit ?
VIGIL-MESH est gratuit pour un usage personnel : le trafic direct entre vos machines est illimité, et un quota s’applique au trafic relayé. TeamViewer est lui aussi gratuit pour l’usage personnel, avec une détection des usages jugés commerciaux — c’est justement l’une des différences de modèle décrites plus haut.
Puis-je accéder à mes machines depuis un poste qui n’est pas enrôlé ?
Oui. Connectez-vous à la console depuis un navigateur : l’onglet devient un membre éphémère du réseau le temps de la session, et vous ouvrez un terminal SSH sur vos machines sans rien installer. La clé de ce device navigateur disparaît avec l’onglet — protégez le compte avec la MFA.
Et pour mes serveurs Linux sans écran ?
C’est le terrain du terminal SSH : quelques octets par frappe, fluide même sur une liaison mobile médiocre, joignable par le nom de la machine. Le bureau à distance RDP, lui, vise les postes Windows et les logiciels graphiques. Les deux empruntent le même réseau chiffré.
Comment couper l’accès d’une machine ou d’une personne ?
Depuis la console : suspendre met l’accès en pause sans supprimer l’identité, révoquer le retire définitivement — la machine perd aussitôt toute joignabilité sur le réseau. Et comme les ACL appliquent le refus par défaut, chaque machine n’a de toute façon jamais pu joindre que ce que ses droits permettaient.
Lire ensuiteTerminal SSH et bureau à distance dans le navigateur