VIGIL MESH

Documentation

VPN HTTP/3 : le tunnel qui ressemble à du trafic web

Sur un réseau d’entreprise verrouillé, un Wi-Fi d’hôtel ou une connexion 4G/5G filtrée, le premier problème d’un VPN n’est pas la vitesse : c’est de passer. Les pare-feu reconnaissent WireGuard, OpenVPN ou IPsec à leur port et à leur signature, et les coupent. VIGIL-MESH prend le chemin inverse : ses tunnels sont des sessions QUIC chiffrées en TLS 1.3, émises vers le port 443 UDP — exactement ce qu’émet un navigateur qui parle HTTP/3 à YouTube ou Google. Vu du réseau, le tunnel est du trafic web ordinaire.

HTTP/3, le camouflage parfait

HTTP/3 est la version la plus récente du protocole du web. Contrairement à HTTP/1.1 et HTTP/2, il ne circule plus sur TCP mais sur QUIC, un transport bâti sur UDP qui intègre le chiffrement TLS 1.3 dès la première trame. Les grands acteurs du web — Google, YouTube, les CDN majeurs — le servent par défaut : une part considérable du trafic Internet quotidien est déjà du QUIC vers le port 443 UDP.

C’est ce qui en fait un camouflage idéal pour un tunnel. Avec QUIC, presque tout est chiffré, y compris les en-têtes de transport que TCP laissait en clair. Un équipement d’inspection (DPI) qui observe une session QUIC voit un poste qui parle à un serveur sur le port 443 UDP — et rien de plus. Il ne peut pas distinguer une visioconférence, une vidéo YouTube ou un tunnel VPN : bloquer l’un, c’est bloquer tout le web moderne.

Pourquoi les VPN classiques se font bloquer

Les protocoles VPN historiques ont un défaut commun : ils s’annoncent. Un port dédié, un protocole IP exotique ou une poignée de main reconnaissable suffisent à un pare-feu d’entreprise, un portail captif d’hôtel ou un opérateur mobile pour les identifier — et une politique « on ne laisse sortir que le web » les élimine sans même le vouloir.

ProtocoleCe que voit le réseauSort sur un réseau verrouillé
WireGuardUDP vers un port dédié (51820 par défaut)Bloqué dès que seuls les ports web sortent
OpenVPNPoignée de main reconnaissable, même déguisé en TCP 443Identifié et coupé par les DPI courants
IPsec/IKEv2Protocole ESP et ports UDP 500/4500Filtré par la plupart des pare-feu restrictifs
VPN HTTP/3 (VIGIL-MESH)Une session QUIC vers le port 443 UDP, comme un navigateurPasse partout où le web moderne passe

Le cas d’OpenVPN sur TCP 443 illustre bien le problème : emprunter le port du web ne suffit pas si la conversation, elle, ne ressemble pas à du web. Les équipements d’inspection reconnaissent sa poignée de main et le distinguent d’une vraie session HTTPS. Un VPN HTTP/3 ne joue pas à ce jeu-là : il parle le même protocole que le web, pas un protocole déguisé.

Ce que fait VIGIL-MESH concrètement

Un seul port sortant, zéro port entrant

Tout le trafic VIGIL-MESH sort par le port 443 UDP, et aucun nœud n’ouvre de port entrant. Rien à demander au service informatique, rien à rediriger sur la box ou le pare-feu : si le poste peut regarder une vidéo, il peut rejoindre le mesh.

Chiffré de bout en bout, même relayé

Chaque session est une connexion QUIC/TLS 1.3 de bout en bout, authentifiée par des clés Ed25519 brutes. Quand le trafic transite par un relais (la vigie), celui-ci est structurellement aveugle : il ne détient pas les clés et ne voit jamais le contenu — et vous pouvez héberger votre propre vigie.

Post-quantique dès aujourd'hui

L’établissement de clés est hybride X25519 + ML-KEM : même enregistré aujourd’hui, le trafic résiste à un déchiffrement futur par ordinateur quantique.

Migration sans coupure et reprise 0-RTT

QUIC sait migrer une connexion sans la rompre : la session commence via la vigie puis bascule sur le chemin direct dès qu’il existe, sans coupure. Après un changement de réseau, la reprise 0-RTT rétablit le tunnel sans nouvelle poignée de main complète.

  1. 1
    Le nœud sort comme un navigateurLe client établit une session QUIC chiffrée vers le port 443 UDP — la même démarche qu’un onglet qui charge une page en HTTP/3.
  2. 2
    Le tunnel bascule en directDès qu’un chemin de pair à pair est établi, la connexion migre du relais vers le direct sans interrompre les flux en cours.
  3. 3
    Le réseau complet suitPar-dessus ce transport passent aussi la diffusion L2-like et le multicast chiffré (mDNS, SSDP, WS-Discovery) : la découverte d’appareils traverse le tunnel comme le reste.

Ce comportement est le même sur tous les clients — Windows, Linux, Android, Jetson, et jusqu’au navigateur grâce au cœur WASM : partout, le mesh se présente au réseau local comme du trafic web sortant.

Les limites, honnêtement

Un VPN HTTP/3 passe là où le web moderne passe — ni plus, ni moins. Deux situations méritent d’être connues avant de compter dessus.

  • Un réseau qui bloque UDP 443 bloque aussi HTTP/3. Certains pare-feu très stricts n’autorisent que TCP en sortie. Dans ce cas, QUIC ne peut pas s’établir et le tunnel doit se replier — l’avantage du camouflage HTTP/3 disparaît avec lui.
  • QUIC peut être ralenti par certains opérateurs. Quelques réseaux, mobiles notamment, throttlent ou dégradent le trafic UDP/QUIC dans son ensemble. Le tunnel reste indistinguable, mais il subit alors le même traitement que le reste du trafic HTTP/3.

Questions fréquentes

Un VPN HTTP/3 est-il détectable ?
Au niveau du transport, non : une session VIGIL-MESH est une connexion QUIC chiffrée en TLS 1.3 vers le port 443 UDP, exactement comme une session HTTP/3 vers YouTube ou Google. Un équipement d'inspection ne peut pas la distinguer du trafic web sans bloquer tout HTTP/3. En revanche, le réseau voit toujours les métadonnées : adresse de destination, horaires et volumes échangés.
Quelle différence entre un VPN HTTP/3 et un VPN QUIC ?
C'est le même transport vu sous deux angles. « VPN QUIC » décrit la technologie interne : multiplexage, migration de connexion, reprise 0-RTT, TLS 1.3 intégré. « VPN HTTP/3 » décrit l'effet côté réseau : comme HTTP/3 circule sur QUIC et le port 443 UDP, le tunnel est indistinguable d'une session web et traverse les réseaux verrouillés. VIGIL-MESH est les deux à la fois.
Faut-il ouvrir un port sur mon pare-feu ?
Non. Chaque nœud VIGIL-MESH établit uniquement des connexions sortantes vers le port 443 UDP et n'ouvre aucun port entrant. Il n'y a rien à rediriger sur la box, rien à demander au service informatique : si le poste peut naviguer sur le web, il peut rejoindre le mesh.
Est-ce que ça marche sur les réseaux d'hôtel et en 4G/5G ?
Oui, tant que le réseau laisse passer le web moderne : le tunnel emprunte le port 443 UDP comme n'importe quelle session HTTP/3. Les cas restants sont les réseaux qui bloquent tout UDP sortant — le tunnel doit alors se replier — et certains opérateurs qui ralentissent le trafic QUIC dans son ensemble.
Le camouflage HTTP/3 a-t-il un coût en performance ?
Non, car ce n'est pas une couche ajoutée : VIGIL-MESH ne chiffre pas deux fois et n'encapsule pas un VPN dans un faux trafic web. Le tunnel est nativement une session QUIC/TLS 1.3 — le camouflage est une propriété du transport lui-même, avec en prime la migration de connexion sans coupure et la reprise 0-RTT.
Lire ensuiteVPN QUIC : le transport nouvelle génération