L2TP est-il sécurisé ?

L2TP lui-même ne fournit aucun cryptage. L2TP/IPsec — la forme combinée typique — est sécurisé lorsqu'il est configuré avec des paramètres IPsec modernes (AES-GCM, grands groupes Diffie-Hellman ou ECDH, authentification par certificat). Le problème est que la plupart des déploiements L2TP/IPsec datent de 1999 à 2005 et utilisent des valeurs par défaut plus faibles. Si vous devez utiliser L2TP/IPsec, vérifiez que la configuration IPsec est moderne.

L2TP/IPsec est-il identique à IKEv2/IPsec ?

Non. Les deux utilisent IPsec pour le chiffrement, mais L2TP/IPsec ajoute la couche de tunneling L2TP, ce qui ajoute une surcharge et une complexité sans aucun avantage. IKEv2/IPsec effectue directement la négociation du tunnel. Sur le même serveur VPN, IKEv2 est plus rapide, prend en charge MOBIKE pour une itinérance mobile transparente et offre un meilleur NAT-Traversal.

Pourquoi L2TP/IPsec a-t-il autant de ports ?

Trois ports impliqués : UDP 500 (IKE pour la négociation IPsec), UDP 4500 (IPsec NAT-Traversal lorsque NAT est détecté) et UDP 1701 (le tunnel L2TP à l'intérieur d'IPsec). Les pare-feu restrictifs en bloquent souvent un ou plusieurs, c'est pourquoi L2TP/IPsec n'est pas fiable sur les réseaux d'entreprise et de voyage par rapport à OpenVPN-TCP/443.

La NSA a-t-elle brisé L2TP/IPsec ?

Les documents Snowden de 2013 suggéraient que la NSA pourrait compromettre certaines configurations IPsec. Les configurations vulnérables utilisaient généralement de petits groupes Diffie-Hellman (le groupe 2 de 1 024 bits) ou IKEv1 en mode agressif avec des clés pré-partagées – exactement le type de configurations héritées courantes dans les déploiements L2TP/IPsec de l’époque. On ne pense pas que l'IPsec moderne avec de grands groupes DH, ECDH et l'authentification par certificat ait été brisé.

Dois-je utiliser L2TP/IPsec aujourd’hui ?

Only if you have no other choice. WireGuard is faster and more modern. IKEv2/IPsec vous offre le même cryptage IPsec sans la surcharge L2TP. OpenVPN-TCP/443 est plus flexible pour les réseaux hostiles. L2TP/IPsec est essentiellement une compatibilité héritée – utile si vous vous connectez à un ancien VPN d'entreprise qui le prend uniquement en charge, ce n'est jamais le bon choix pour un nouveau déploiement.

L2TP et L2TP/IPsec expliqués : l'ancien protocole VPN que vous ne devriez presque jamais utiliser

L2TP est un protocole de tunneling de 1999 qui est presque toujours associé à IPsec pour le cryptage. Il s'agissait de l'option VPN « native » par défaut dans les anciens systèmes d'exploitation. En 2026, presque tous les autres protocoles modernes constituent un choix nettement meilleur – mais L2TP/IPsec persiste dans les menus de configuration et les anciens VPN d'entreprise, il vaut donc la peine de savoir exactement de quoi il s'agit et pourquoi vous ne devriez pas le choisir.

Le corps complet de l’article est fourni en anglais ci-dessous.

Qu'est-ce que L2TP est réellement

Layer 2 Tunneling Protocol — RFC 2661, publié en août 1999 — est un protocole de tunneling. Il transporte des trames PPP (Point-to-Point Protocol) dans des paquets UDP. En soi, il n'a pas de cryptage du tout. Les données dans un tunnel L2TP transitent en texte clair ; un observateur entre votre appareil et le point de terminaison L2TP voit tout.

C'est pourquoi vous ne voyez presque jamais de L2TP nu. En pratique, il est toujours associé à IPsec, qui assure le cryptage proprement dit. Cette combinaison est ce qu'on appelle communément « L2TP/IPsec » ou parfois simplement « L2TP » dans les menus de configuration du système d'exploitation.

Comment fonctionne L2TP/IPsec

L2TP/IPsec est à double encapsulation. Pour configurer le tunnel, trois choses doivent se produire dans l'ordre :

Négociation SA IPsec via IKE sur le port UDP 500. Les deux extrémités s'authentifient (clé ou certificat pré-partagé) et conviennent des paramètres de cryptage.
IPsec Mode de transport ESP établit le canal crypté à l'aide du numéro de protocole 50.
L2TP tunnel négocie à l'intérieur du canal IPsec sur le port UDP 1701.

Chaque paquet de données est ensuite enveloppé deux fois : la charge utile d'origine devient une trame L2TP, qui devient un paquet ESP IPsec, qui devient un paquet IP ordinaire. Cette surcharge en couches est à l'origine de la réputation de lenteur de L2TP/IPsec : il y a plus de gonflement d'en-tête par octet de données utilisateur que tout autre protocole VPN couramment déployé. Cisco avait développé L2F (Layer 2 Forwarding) et Microsoft avait développé PPTP. Les deux protocoles avaient du succès sur le marché mais étaient incompatibles. L'IETF a unifié les deux exigences dans L2TP comme compromis pour sauver la face. Microsoft et Cisco ont tous deux intégré la prise en charge native de L2TP dans leurs systèmes d'exploitation de serveur peu de temps après, ce qui signifie que pendant une décennie, L2TP a été le moyen le plus simple de configurer un VPN fonctionnant sous Windows, macOS et la plupart des routeurs d'entreprise sans logiciel tiers.

L2TPv3 (RFC 3931, mars 2005) a étendu le protocole pour transporter non seulement PPP, mais également les trames Ethernet, Frame Relay et ATM. Cela a rendu L2TPv3 utile pour les déploiements pseudowire des fournisseurs de services, mais a eu peu d'impact du côté du VPN consommateur. Sur une liaison 1 Gbit/s, L2TP/IPsec fournit généralement 80 à 200 Mbit/s. WireGuard offre plus de 800 Mbps et IKEv2/IPsec (sans la couche L2TP) offre 600 à 800 Mbps sur le même matériel. Il n'existe aucun scénario dans lequel l'ajout de L2TP au-dessus d'IPsec accélère la connexion.

UDP uniquement et facilement bloqué.

L2TP/IPsec utilise les ports UDP 500, 4500 et 1701. De nombreux pare-feu d'entreprise et réseaux restrictifs bloquent les trois. Il n'y a aucun moyen de déguiser L2TP/IPsec en HTTPS comme OpenVPN-TCP/443 peut le faire.

NSA concerne les fuites

Les révélations de Snowden de 2013 suggéraient que la NSA pourrait casser certaines configurations IPsec, en particulier les plus anciennes utilisant de petits groupes Diffie-Hellman ou IKEv1 en mode agressif avec des clés pré-partagées. Les déploiements L2TP/IPsec sont souvent les pires contrevenants ici, car les configurations proviennent d'une époque de 1999 à 2005, lorsque les normes cryptographiques étaient plus faibles. Si cette clé fuit ou est mal choisie, l'ensemble du tunnel est incassable hors ligne. Les protocoles VPN modernes utilisent plutôt un échange de clés éphémère ou basé sur un certificat par session.

L2TP/IPsec vs IKEv2/IPsec

C'est la comparaison qui compte réellement. IKEv2/IPsec utilise le même cryptage IPsec sous-jacent mais effectue la négociation du tunnel directement, sans la couche L2TP entre les deux. Le résultat :

Pas de surcharge de double encapsulation - nettement plus rapide.
MOBIKE - prise en charge transparente entre le Wi-Fi et le cellulaire sans abandonner le tunnel.
Meilleur NAT-Traversal intégré au protocole.
Universellement pris en charge sur les systèmes d'exploitation modernes (Windows 7+, tous macOS, tous iOS, Android 12+, Linux strongSwan).

Si vous avez le choix entre L2TP/IPsec et IKEv2/IPsec sur le même serveur VPN (la plupart des serveurs modernes proposent les deux), choisissez IKEv2 tous les deux. heure.

L2TP vs WireGuard

WireGuard est plus rapide, plus petit, plus moderne, dispose d'une preuve de sécurité formelle et utilise une meilleure cryptographie par défaut. Pour une utilisation VPN grand public en 2026, il n'existe aucun scénario dans lequel L2TP/IPsec bat WireGuard.

L2TP vs OpenVPN

OpenVPN est plus flexible, peut se cacher en HTTPS sur TCP/443, a un historique d'audit beaucoup plus large et fonctionne sur plus d'appareils. La seule chose que L2TP a par rapport à OpenVPN est l'intégration native du système d'exploitation - mais tous les systèmes d'exploitation modernes sont désormais également livrés de manière native avec IKEv2/IPsec, de sorte que cet avantage est sans objet. Utilisez-le si vous le devez, demandez IKEv2/IPsec à IT.

Pseudowires du fournisseur de services — L2TPv3 transporte le trafic non IP entre les routeurs du FAI. Utilisation de la dorsale, pas utilisation par le consommateur.

Firmwares de routeur intégrés spécifiques qui parlent uniquement L2TP. Remplacez le micrologiciel (DD-WRT, OpenWrt) si possible. Basculement du protocole

VPN dans l'application de votre fournisseur affichant L2TP en option. Choisissez autre chose.

Le verdict

L2TP/IPsec est le protocole qui était la bonne réponse en 2005 et la mauvaise réponse en 2026. Presque tous les fournisseurs VPN commerciaux qui le répertorient encore le font par souci d'exhaustivité, et non parce que n'importe qui devrait le choisir. Si une configuration ne prend en charge que L2TP/IPsec, elle est suffisamment ancienne pour mériter d'être remplacée.

Si vous configurez activement un tunnel aujourd'hui, vos choix judicieux sont WireGuard pour la vitesse, IKEv2/IPsec pour la facilité d'utilisation native des mobiles ou OpenVPN pour les réseaux restrictifs. Exécutez notre test leak après tout changement de VPN pour vérifier que le tunnel fait son travail.

Questions fréquemment posées

L2TP est-il sécurisé ?: L2TP lui-même ne fournit aucun cryptage. L2TP/IPsec — la forme combinée typique — est sécurisé lorsqu'il est configuré avec des paramètres IPsec modernes (AES-GCM, grands groupes Diffie-Hellman ou ECDH, authentification par certificat). Le problème est que la plupart des déploiements L2TP/IPsec datent de 1999 à 2005 et utilisent des valeurs par défaut plus faibles. Si vous devez utiliser L2TP/IPsec, vérifiez que la configuration IPsec est moderne.
L2TP/IPsec est-il identique à IKEv2/IPsec ?: Non. Les deux utilisent IPsec pour le chiffrement, mais L2TP/IPsec ajoute la couche de tunneling L2TP, ce qui ajoute une surcharge et une complexité sans aucun avantage. IKEv2/IPsec effectue directement la négociation du tunnel. Sur le même serveur VPN, IKEv2 est plus rapide, prend en charge MOBIKE pour une itinérance mobile transparente et offre un meilleur NAT-Traversal.
Pourquoi L2TP/IPsec a-t-il autant de ports ?: Trois ports impliqués : UDP 500 (IKE pour la négociation IPsec), UDP 4500 (IPsec NAT-Traversal lorsque NAT est détecté) et UDP 1701 (le tunnel L2TP à l'intérieur d'IPsec). Les pare-feu restrictifs en bloquent souvent un ou plusieurs, c'est pourquoi L2TP/IPsec n'est pas fiable sur les réseaux d'entreprise et de voyage par rapport à OpenVPN-TCP/443.
La NSA a-t-elle brisé L2TP/IPsec ?: Les documents Snowden de 2013 suggéraient que la NSA pourrait compromettre certaines configurations IPsec. Les configurations vulnérables utilisaient généralement de petits groupes Diffie-Hellman (le groupe 2 de 1 024 bits) ou IKEv1 en mode agressif avec des clés pré-partagées – exactement le type de configurations héritées courantes dans les déploiements L2TP/IPsec de l’époque. On ne pense pas que l'IPsec moderne avec de grands groupes DH, ECDH et l'authentification par certificat ait été brisé.
Dois-je utiliser L2TP/IPsec aujourd’hui ?: Only if you have no other choice. WireGuard is faster and more modern. IKEv2/IPsec vous offre le même cryptage IPsec sans la surcharge L2TP. OpenVPN-TCP/443 est plus flexible pour les réseaux hostiles. L2TP/IPsec est essentiellement une compatibilité héritée – utile si vous vous connectez à un ancien VPN d'entreprise qui le prend uniquement en charge, ce n'est jamais le bon choix pour un nouveau déploiement.