VIGIL MESH

Documentation

Foire aux questions

Une question sur VIGIL-MESH ? Cette foire aux questions rassemble les réponses les plus fréquentes sur le VPN mesh, la diffusion L2 et le multicast chiffré, la vigie privée, les ports et le NAT, la sécurité post-quantique, les plateformes et les performances. Chaque réponse sépare clairement ce qui est mesuré, démontré ou simplement visé — sans surpromesse.

Général et VPN mesh

Qu'est-ce que VIGIL-MESH ?
VIGIL-MESH est un VPN mesh nouvelle génération : un réseau privé chiffré de bout en bout qui relie vos machines, sites et services comme s'ils étaient sur un même réseau local — découverte d'appareils, multicast et temps réel compris. Chaque appareil qui rejoint le mesh devient un nœud joignable par une adresse stable, sans exposer votre infrastructure au reste d'Internet.
En quoi est-ce un VPN mesh et pas un VPN classique ?
Un VPN classique est en étoile (hub-and-spoke) : tout le trafic remonte vers une passerelle centrale, qui devient goulot d'étranglement et point de défaillance unique. Un VPN mesh établit des liens directs de pair à pair entre les machines : le trafic prend le chemin le plus court, la latence chute et il n'y a plus de concentrateur unique à saturer.
Quelle différence concrète avec un VPN d'entreprise traditionnel ?
Au-delà de la topologie, VIGIL-MESH se comporte comme un vrai LAN : le broadcast et le multicast IP traversent le mesh chiffré, si bien que la découverte d'appareils fonctionne d'un site à l'autre. Un VPN d'entreprise classique achemine surtout du point-à-point de niveau applicatif et laisse tomber ce trafic de diffusion.
Est-ce un produit pour les entreprises ou pour les particuliers ?
VIGIL-MESH s'adresse d'abord aux organisations qui doivent relier des sites, des machines et des services — industrie, robotique, chantiers, flottes d'appareils. Mais le client se télécharge librement et un particulier peut parfaitement relier ses propres machines. Le service se souscrit par espace de travail (workspace).
Ai-je besoin d'ouvrir des ports pour l'utiliser ?
Pour un nœud ordinaire, non : aucun port entrant n'est à ouvrir, le client sort toujours en connexion sortante. Seule une vigie (le relais) a besoin de ports entrants publics, car son rôle est justement d'être joignable pour relayer et coordonner la traversée du NAT.

Diffusion, L2 et multicast

VIGIL-MESH est-il un réseau de niveau 2 (L2) ?
Non, et nous le disons clairement : VIGIL est un overlay de niveau 3 (L3) qui reproduit le comportement d'un domaine de diffusion L2, pas un pont Ethernet. Le broadcast et le multicast IP traversent le mesh comme sur un commutateur, mais les trames Ethernet arbitraires ne sont pas pontées. Un produit comme ZeroTier, lui, fait du vrai L2 (Ethernet ponté) ; VIGIL choisit un overlay L3 avec diffusion façon L2.
Mes imprimantes, Chromecast et services mDNS fonctionnent-ils entre sites ?
Oui : mDNS/Bonjour, SSDP/UPnP et WS-Discovery reposent sur du multicast et du broadcast IP, que VIGIL réplique de manière chiffrée à travers le mesh. Une imprimante, un Chromecast ou une caméra découverts sur un site apparaissent alors comme s'ils étaient sur le réseau local des autres sites du même réseau.
Le multicast est-il chiffré ?
Oui. Chaque émetteur diffuse sous une clé d'émetteur (sender key) qui tourne à la révocation d'un membre, à sa reconnexion ou son redémarrage, et au plus tard toutes les 24 heures. La vigie réplique les paquets vers les récepteurs sans jamais pouvoir les lire : la diffusion suit la même règle de chiffrement que le trafic point-à-point.
ROS 2 / DDS fonctionne-t-il sur VIGIL-MESH ?
Le multicast IP étant répliqué à travers le mesh, la découverte DDS — sur laquelle repose ROS 2 — peut traverser plusieurs sites sans passerelle applicative. La validation formelle de ROS 2 figure toutefois sur la feuille de route : sur de très grands graphes, le trafic de découverte peut être intense et nous recommandons de surveiller le storm-control. À valider cas par cas avant un déploiement critique.
Les jeux en LAN et le broadcast UDP métier fonctionnent-ils ?
Oui. Les jeux qui découvrent leurs parties par broadcast UDP sur le réseau local, comme les protocoles industriels qui s'annoncent en UDP diffusé, traversent le mesh car VIGIL transporte le broadcast et le multicast IP. Du point de vue de l'application, tout se passe comme si les machines partageaient le même segment LAN. Sur de grands graphes, un mécanisme de storm-control évite qu'une tempête de diffusion ne sature le réseau.

La vigie privée

Qu'est-ce qu'une vigie ?
Une vigie est le relais de l'infrastructure : elle aide deux nœuds à se trouver, coordonne la traversée du NAT et relaie temporairement le trafic tant que le lien direct n'est pas établi. Elle est structurellement aveugle — elle ne voit passer que des paquets déjà chiffrés de bout en bout.
Puis-je héberger ma propre vigie privée ?
Oui. C'est le même binaire et le même protocole que la vigie opérée par l'infrastructure — aucun fork. Votre vigie privée s'auto-configure auprès du contrôleur avec un jeton de flotte à usage unique et ne sert jamais que les réseaux de votre propre espace de travail.
Ma vigie peut-elle lire mon trafic ?
Non. Elle est aveugle par construction : elle ne détient aucune clé de session et ne voit que des identifiants de flux opaques, des tailles de paquets et des cadences. Même entièrement compromise, une vigie ne livre que des métadonnées, jamais le contenu ni les clés.
Faut-il des ports entrants pour héberger une vigie ?
Oui, contrairement à un nœud : une vigie a besoin de trois ports entrants publics (udp/443, udp/4433, tcp/443), car son rôle est d'être joignable depuis Internet pour relayer et coordonner la traversée du NAT. C'est le seul acteur qui expose des ports.
Que se passe-t-il si le contrôleur (vigil.design) est injoignable ?
La vigie continue de servir les réseaux qui lui sont déjà alloués et n'accepte jamais un autre client. Sans le contrôleur, elle ne peut ni changer de portée ni s'attribuer un nouvel espace de travail : les îlots déjà formés restent autonomes, mais aucune nouvelle allocation n'est possible.

Sécurité

Comment le trafic est-il chiffré ?
La session qui relie deux machines EST une connexion QUIC de bout en bout : le chiffrement vient de TLS 1.3 et l'authentification des pairs repose sur des clés publiques brutes Ed25519 (raw public keys, RFC 7250), sans chaîne de certificats à gérer. Il n'y a qu'une seule couche de chiffrement, pas un tunnel dans un tunnel.
Le chiffrement est-il post-quantique ?
Oui, pour les sessions QUIC de bout en bout : l'établissement de clés est hybride X25519 + ML-KEM768. « Hybride » signifie que la clé de session dépend des deux mécanismes à la fois et reste sûre tant que l'un des deux tient — une défense contre le scénario « récolter maintenant, déchiffrer plus tard ». Cette protection couvre les sessions QUIC, pas encore toute la surface de découverte.
VIGIL-MESH a-t-il fait l'objet d'un audit de sécurité indépendant ?
Non, pas à ce jour, et nous préférons le dire honnêtement. La documentation décrit la conception du modèle de sécurité ; un audit externe fait partie de la feuille de route. Tant que cette étape n'a pas eu lieu, nous ne présentons pas VIGIL-MESH comme « audité » ni comme définitivement prêt.
Comment révoquer un appareil compromis ou perdu ?
La révocation est immédiate et combine deux gestes : le retrait du membre de la carte réseau signée (netmap) diffusée par le contrôleur, et la rotation immédiate des clés de groupe encore utilisées. Un membre révoqué ne peut plus établir de nouvelle session ni déchiffrer les diffusions postérieures à sa révocation.
Que voit l'infrastructure de mon trafic ?
Seulement des métadonnées. La vigie voit des identifiants de flux opaques, des tailles et des cadences, jamais le contenu ni les clés. Le contrôleur connaît les identités, la policy et l'annuaire des membres, mais pas le contenu de vos flux de bout en bout.
Les clés privées quittent-elles mes machines ?
Non. Les clés privées des nœuds ne quittent jamais la machine qui les génère. C'est ce qui rend la compromission d'une vigie sans effet sur l'authenticité : un attaquant qui prend un relais ne peut pas forger une identité de nœud, faute de posséder les clés privées correspondantes.

Connexion, NAT et mobilité

Comment la connexion traverse-t-elle le NAT ?
Le client établit toujours une connexion sortante vers la vigie, qui coordonne une traversée du NAT (hole punching) entre les deux pairs. La connexion s'établit d'abord via le relais aveugle — donc immédiatement — puis bascule sans coupure vers le chemin direct de pair à pair dès qu'il est disponible.
Que se passe-t-il derrière un pare-feu strict qui bloque l'UDP ?
VIGIL privilégie QUIC sur UDP, mais lorsqu'un réseau bloque l'UDP il bascule sur un profil tcp-only (tcp/443) pour rester joignable là où seul le trafic web sortant est autorisé. Le débit peut être moindre qu'en UDP, mais la connectivité est préservée.
La connexion survit-elle à un changement de réseau (Wi-Fi vers 4G) ?
Oui. La migration de connexion QUIC permet de changer d'interface ou d'adresse IP — passer du Wi-Fi à la 4G, changer de site — sans rompre la session ni relancer la négociation. Les sessions en cours se poursuivent de façon transparente.
Les adresses de mes appareils changent-elles au fil du temps ?
Non : chaque nœud reçoit une adresse stable au sein du réseau, indépendante de son adresse physique du moment. Vous joignez une machine par la même adresse qu'elle soit au bureau, en mobilité ou derrière un autre NAT.
Faut-il un serveur public ou une IP fixe côté site ?
Non. Aucun port entrant ni adresse IP publique n'est requis côté nœud : c'est précisément le rôle de la vigie d'assurer la joignabilité. C'est ce qui permet de relier un site derrière un NAT opérateur (CGNAT) ou un réseau qui n'autorise que le trafic sortant.

Plateformes et clients

Quels systèmes d'exploitation sont pris en charge ?
Le client existe pour Windows, Linux desktop, Android et les cibles backend NVIDIA Jetson. Un cœur WebAssembly (WASM) permet en outre à un navigateur de rejoindre le mesh. La liste des builds signés est publiée sur la page de téléchargement.
Le navigateur peut-il être un vrai nœud du mesh ?
Oui. Le cœur du client est compilé en WebAssembly et se connecte via WebTransport (QUIC/HTTP3) : un onglet de navigateur devient un nœud à part entière, pas un simple client web appuyé sur une passerelle. C'est ce qui permet de piloter des services du mesh directement depuis une page.
VIGIL-MESH fonctionne-t-il sur du matériel embarqué ou edge ?
Oui : les cibles NVIDIA Jetson sont prises en charge, ce qui couvre les usages robotique, vision et edge computing. Le même protocole relie un Jetson embarqué, un serveur Linux et un poste Windows dans un seul réseau.
Y a-t-il un client iOS ou macOS ?
Les plateformes officiellement citées sont Windows, Linux, Android et Jetson, plus le navigateur via WASM. Reportez-vous à la page de téléchargement pour la liste à jour des builds disponibles : nous préférons ne pas annoncer une plateforme tant que son build n'est pas publié.

Plateforme applicative

Puis-je publier un service sans l'exposer sur Internet ?
Oui : c'est un usage central de VIGIL-MESH. Vous publiez un service (interface web, API, flux) joignable par les membres de votre réseau sans ouvrir de port ni exposer votre infrastructure au reste d'Internet. Le service reste dans le périmètre chiffré du mesh.
Puis-je héberger un site web sur le mesh ?
Oui. La plateforme applicative permet de servir des sites (HTTP/WSS) accessibles aux membres du réseau. Combiné à la publication sans exposition, cela permet un intranet ou un portail interne joignable sans passerelle publique.
Peut-on faire du mail et des bases de données no-code ?
La plateforme applicative intègre du mail, des bases de données no-code et un studio no-code pour construire des applications internes. L'objectif est de couvrir les briques courantes d'un système d'information privé sans les exposer publiquement.
Puis-je connecter une IA via MCP ?
Oui : des connecteurs MCP (Model Context Protocol) permettent de brancher un assistant IA sur les services publiés dans votre réseau. L'IA accède aux ressources internes à travers le périmètre chiffré du mesh, sans que celles-ci soient exposées sur Internet.
Ces services sont-ils accessibles depuis un navigateur ?
Oui. Comme le navigateur peut être un nœud via le cœur WASM et WebTransport, une page web peut consommer directement les services publiés sur le mesh — sans passerelle intermédiaire qui casserait le chiffrement de bout en bout.

Performances

Quelles performances VIGIL-MESH atteint-il ?
Le banc de mesure local multiprocessus a traité 1 000 000 de paquets avec zéro perte, à plus de 350 000 paquets par seconde. Il faut préciser le contexte : ce chiffre est mesuré en loopback (plusieurs processus sur une même machine), ni sur WAN ni sur plusieurs hôtes. C'est une mesure de débit du chemin de données, pas une performance de bout en bout sur Internet.
Quelle latence puis-je attendre ?
Aucune mesure de latence WAN n'est publiée à ce jour. En chemin direct, la session étant de pair à pair, la latence est pour l'essentiel celle de votre propre réseau entre les deux machines. Nous ne communiquons pas de RTT chiffré, faute de mesure WAN représentative à présenter.
Les objectifs de performance annoncés sont-ils garantis ?
Il faut distinguer deux choses : les mesures (ce que le banc a réellement observé) et les SLO, qui sont des objectifs de conception. Un objectif de conception n'est pas une mesure et nous ne le présentons jamais comme tel. Les chiffres WAN de bout en bout dépendront de votre réseau et de vos conditions réelles.
Le passage par une vigie ralentit-il la connexion ?
Le relais n'est utilisé qu'au démarrage, le temps d'établir le lien direct ; ensuite, le trafic bascule sans coupure sur le chemin de pair à pair, le plus court. Lorsque la traversée du NAT échoue et que le relais reste nécessaire, le chemin passe par la vigie, ce qui peut ajouter de la latence selon sa localisation.
Ces mesures valent-elles pour la production ?
Non, il faut rester prudent : les chiffres cités proviennent d'un banc en loopback et VIGIL-MESH n'est pas présenté comme définitivement prêt pour la production. Mesurez dans votre propre environnement avant tout dimensionnement critique.

Tarifs et démarrage

Comment commencer avec VIGIL-MESH ?
Créez un compte : un espace de travail (workspace) est alors provisionné pour vous. Vous téléchargez ensuite le client sur vos machines, elles rejoignent le mesh et deviennent joignables par une adresse stable. La console vous donne la topologie, la policy et l'audit en un seul endroit.
Le client est-il gratuit ?
Oui, le téléchargement du client est gratuit sur toutes les plateformes. Le service, lui, se souscrit par espace de travail (workspace) : c'est le niveau auquel s'organisent les membres, les réseaux et la policy.
Combien coûte le service ?
Deux offres. Gratuit, pour les particuliers : trafic direct de pair à pair illimité et un quota mensuel de trafic relayé par vigie pour chaque device (facturé au Go au-delà). Pro, pour les professionnels : un abonnement mensuel qui inclut des devices et une vigie dédiée, puis un prix fixe par device supplémentaire, sans limite de consommation. La grille complète et à jour est publiée sur la page Tarifs du site.
Puis-je auto-héberger toute l'infrastructure ?
Vous pouvez auto-héberger votre propre vigie (le relais), avec le même binaire que l'infrastructure. Le contrôleur (l'annuaire et la policy) reste opéré comme service : c'est lui qui provisionne les espaces de travail et distribue les cartes réseau signées.

In English

Frequently asked questions about VIGIL-MESH: how a mesh VPN differs from a classic hub-and-spoke VPN, how encrypted broadcast and multicast traverse the mesh like a LAN, and how to self-host your own blind relay.

We keep the answers honest: VIGIL is an L3 overlay with L2-like diffusion (not true bridged L2), traffic is end-to-end QUIC with a hybrid post-quantum key exchange, and no independent security audit has been done yet. Throughput numbers come from a local multi-process loopback bench, not from WAN or multi-host tests.