Cas d'usage · Blocage réseau

Quand le réseau bloque le VPN — utilisez AmneziaWG sur Apple TV

De plus en plus de réseaux — hôtels, écoles, FAI restrictifs, certains pare-feu nationaux — détectent et bloquent WireGuard au niveau du protocole. Le chiffrement va bien ; le problème c'est que les paquets ressemblent à un VPN. AmneziaWG résout ça. WG Connect le supporte nativement sur Apple TV.

Le problème

WireGuard est rapide et propre, mais ses paquets ont une forme reconnaissable. Le handshake est un message de taille fixe. Les paquets suivants sont de longueur uniforme et utilisent un port UDP connu. Les opérateurs réseau utilisant la deep packet inspection (DPI) — courant dans les hôtels, les réseaux d'entreprise et les pays avec filtrage actif — peuvent identifier WireGuard avec haute précision et abandonner le trafic.

Le résultat : WG Connect montre "Connexion…" indéfiniment, ou le tunnel monte mais les données ne passent pas. Le chiffrement n'est pas cassé — le réseau refuse simplement de transmettre les paquets.

Comment AmneziaWG résout ça

AmneziaWG est une extension de WireGuard développée par le projet Amnezia VPN. Il utilise la même cryptographie éprouvée — ChaCha20-Poly1305, Curve25519, BLAKE2 — mais reformule les paquets pour que DPI ne puisse pas les classer. Les changements sont simples mais efficaces :

Paquets de bourrage envoyés au début de la session pour confondre les classificateurs
Padding aléatoire sur chaque paquet pour que le fingerprinting par longueur échoue
En-têtes de handshake modifiés qui ne correspondent pas à la signature WireGuard
Padding universel (AmneziaWG 2.0) qui continue de s'appliquer toute la session

Pour DPI, le trafic ressemble à de l'internet ordinaire un peu bruité. Pour le client et serveur AmneziaWG, c'est le même tunnel rapide.

  WireGuard                 AmneziaWG

  ▓▓▓▓ ▓▓▓▓ ▓▓▓▓ ▓▓▓▓       ░ ▓▓▓ ▓ ░ ▓▓▓▓ ░ ▓▓ ░ ▓▓▓▓
  ▓▓▓▓ ▓▓▓▓ ▓▓▓▓ ▓▓▓▓       ▓▓ ░ ▓▓▓▓▓ ░ ▓▓ ▓▓▓ ░ ▓▓
  uniforme · identifiable   bourrage + padding · ressemble au bruit

WG Connect le supporte nativement

Pas besoin d'autre app. WG Connect détecte si le fichier .conf que vous importez est WireGuard simple ou AmneziaWG (1.0 ou 2.0) en lisant ses paramètres (Jc, S1, S2, H1, etc.). L'interface vous dit quel protocole est actif. Aucun interrupteur. Aucun mode expert.

Pas à pas

Obtenez une configuration AmneziaWG. Options :
- Amnezia Free — génère des configs AmneziaWG gratuitement
- Firewalla — supporte AmneziaWG nativement dans son app ; exportez le .conf pour Apple TV
- Auto-héberger — utilisez le serveur open-source amnezia-wg sur un VPS (n'importe lequel à 256 Mo RAM) ou une Raspberry Pi domestique
Importez dans WG Connect. Ajouter Profil → Upload depuis Téléphone → scanner QR → uploader le .conf.
Vérifiez la détection. Ouvrez le détail du profil. WG Connect montrera AmneziaWG 1.0 ou AmneziaWG 2.0 dans les métadonnées.
Connectez. Le handshake prend un peu plus de temps que WireGuard standard (les paquets de bourrage sont envoyés en premier), mais le tunnel monte de la même façon.
Testez sur le réseau bloqué. Un réseau qui rejetait WireGuard avant doit accepter AmneziaWG sans souci.

Quand utiliser quoi

Utilisez WireGuard standard par défaut — il est légèrement plus rapide et bien supporté partout. Basculez sur AmneziaWG seulement quand le réseau bloque les VPN. WG Connect permet de garder les deux profils dans l'app et basculer en deux clics.

Où AmneziaWG est le plus utile

Réseaux restrictifs au niveau pays — endroits où les protocoles VPN standards sont filtrés nationalement
Wi-Fi corporatif ou scolaire avec politiques VPN appliquées via DPI
Certains hôtels — surtout centres de conférences — qui bloquent les VPN UDP
Services de streaming avec détection VPN avancée — plus rare, mais existe

Considérations

Il faut un serveur AmneziaWG, pas seulement un client. Les serveurs WireGuard standards ne parlent pas AmneziaWG. Les deux extrémités doivent le supporter.
Surcharge légère. Paquets de bourrage et padding ajoutent 2–5% de bande passante et un petit délai de handshake. Pour le streaming c'est invisible.
Même chiffrement. AmneziaWG ne change pas les propriétés de sécurité. Il change seulement à quoi ressemblent les paquets sur le câble.

Questions fréquentes

Qu'est-ce qu'AmneziaWG ?

AmneziaWG est une version améliorée de WireGuard qui ajoute une obfuscation de trafic. Il utilise le même chiffrement (ChaCha20-Poly1305) mais ajoute des paquets de bourrage, du padding et des en-têtes modifiés pour que les systèmes DPI ne puissent pas identifier le trafic comme VPN.

AmneziaWG ralentira-t-il mon streaming sur Apple TV ?

Légèrement — la surcharge d'obfuscation est typiquement 2–5% plus lente que WireGuard standard. Pour le streaming Apple TV c'est invisible. La 4K HDR passe en pleine qualité sur une connexion domestique normale.

WG Connect supporte-t-il AmneziaWG 1.0 et 2.0 ?

Oui. WG Connect détecte automatiquement la version du protocole depuis le fichier .conf. AmneziaWG 1.0 a introduit paquets de bourrage, padding et en-têtes modifiés. AmneziaWG 2.0 ajoute padding universel et chaînes d'obfuscation pour une meilleure résistance DPI.

Où obtenir une configuration AmneziaWG ?

De tout fournisseur ou installation auto-hébergée qui le supporte. Amnezia Free est une option. Firewalla supporte AmneziaWG nativement dans son app. Vous pouvez aussi auto-héberger avec le serveur open-source amnezia-wg sur un VPS ou Raspberry Pi domestique.

Télécharger sur

App Store