Qu'est-ce qu'AmneziaWG ?

AmneziaWG est un fork de WireGuard qui ajoute de l'obfuscation. WireGuard classique a des en-têtes de paquets fixes et des tailles de paquets prévisibles, donc l'inspection approfondie des paquets (DPI) peut le repérer et le bloquer. AmneziaWG randomise ces signatures : il peut changer les en-têtes de type de message, remplir les messages à des tailles variables, et envoyer des paquets inutiles avant la poignée de main. La crypto et la vitesse restent les mêmes que WireGuard — seule la forme du trafic change.

Les paramètres AmneziaWG doivent-ils correspondre sur le serveur et le client ?

La plupart, oui. Selon les documents officiels d'Amnezia, S1, S2 et les quatre en-têtes H1, H2, H3 et H4 doivent être identiques sur les deux pairs — ils indiquent à chaque côté où commencent les données réelles. Les paramètres de paquets inutiles Jc, Jmin et Jmax peuvent différer entre les pairs, et sont recommandés côté client. Si S1/S2 ou H1-H4 ne correspondent pas, la poignée de main ne se termine jamais.

AmneziaWG est-il plus lent que WireGuard ?

L'obfuscation ajoute un peu de surcharge — les paquets inutiles et le remplissage signifient quelques octets supplémentaires par session et par paquet. En pratique, l'impact est faible car le protocole sous-jacent est toujours WireGuard. Pour la navigation quotidienne sur un petit VPS, la différence est généralement imperceptible. Si vous n'avez pas besoin de résistance au DPI, WireGuard classique reste le choix le plus léger.

Puis-je exécuter AmneziaWG sur un VPS normal comme Contabo ?

Oui. AmneziaWG s'installe sur un VPS Linux standard de la même manière que WireGuard. Sur Ubuntu et Debian, il existe un PPA officiel (ppa:amnezia/ppa) qui fournit le module noyau (avec DKMS) et les outils awg / awg-quick. Un petit VPS avec un accès root complet — par exemple un VPS Contabo S — suffit pour héberger le côté serveur.

Quand devrais-je choisir AmneziaWG plutôt que WireGuard classique ?

Choisissez-le lorsque votre réseau bloque ou limite activement WireGuard : certains opérateurs mobiles, pare-feux d'entreprise et systèmes de filtrage nationaux détectent la signature WireGuard. Pour un réseau domestique ou de bureau ouvert, WireGuard classique est plus simple et il n'y a aucune raison d'ajouter de l'obfuscation. AmneziaWG est la réponse à la détection, pas une mise à niveau par défaut.

AmneziaWG : le fork de WireGuard résistant au DPI, auto-hébergé (2026)

Divulgation d'affiliation — Cet article contient des liens affiliés Contabo. Si vous louez un VPS via l'un d'eux, nous touchons une commission sans frais supplémentaires pour vous. Chaque commande et paramètre ci-dessous est documenté à partir du projet officiel AmneziaWG, et non de tests internes.

WireGuard est rapide, moderne et facile à auto-héberger. Il a une faiblesse : il est facile à détecter. Le protocole utilise des en-têtes de paquets fixes et des tailles de paquets prévisibles, de sorte qu'un réseau utilisant l'inspection approfondie des paquets (DPI) peut reconnaître le trafic WireGuard et le bloquer. C'est exactement ce que font certains opérateurs mobiles, pare-feux d'entreprise stricts et filtres nationaux.

AmneziaWG est la réponse à ce problème. C'est un fork de WireGuard qui conserve la même cryptographie et la même vitesse, mais modifie la forme du trafic pour que le DPI ne puisse plus l'identifier. Ce guide explique ce que fait réellement AmneziaWG, ce que signifie chaque paramètre d'obfuscation, et comment auto-héberger le serveur sur votre propre VPS.

Pourquoi WireGuard est détecté

Le DPI n'a pas besoin de casser le chiffrement pour vous bloquer. Il lui suffit de reconnaître le modèle. WireGuard facilite cela de trois manières :

En-têtes de messages fixes. Chaque paquet WireGuard commence par un champ de type connu. Un filtre peut lire les premiers octets et dire "c'est une poignée de main WireGuard."
Tailles de paquets prévisibles. Les messages de poignée de main ont des longueurs définies. Un filtre peut se baser uniquement sur ces longueurs.
Un éclat de poignée de main clair. La connexion s'ouvre toujours de la même manière, donc le début d'une session se distingue.

Ensemble, ces caractéristiques donnent à WireGuard une signature claire. Une fois qu'un réseau connaît cette signature, il peut laisser tomber les paquets et votre tunnel ne se connecte tout simplement jamais.

Ce que change AmneziaWG

AmneziaWG est décrit par ses auteurs comme une version contemporaine de WireGuard avec obfuscation intégrée. Il supprime la signature en utilisant quelques outils indépendants. Vous les activez avec des champs supplémentaires dans la section [Interface] de votre configuration.

Gros plan d'un terminal Ubuntu montrant l'invite ubuntu@ubuntu:~$ sudo

Voici ce que fait chaque groupe de paramètres, basé sur la documentation officielle d'Amnezia.

Paquets inutiles — Jc, Jmin, Jmax

Avant la véritable poignée de main, AmneziaWG peut envoyer une courte série de paquets "inutiles" aléatoires.

Jc indique combien de paquets inutiles envoyer. Les documents recommandent une valeur de 4 à 12.
Jmin et Jmax définissent la plage de taille aléatoire pour ces paquets, recommandée autour de 8 et 80 octets.

Les paquets inutiles brouillent l'éclat de poignée de main clair que le DPI recherche. Ils sont recommandés côté client, et peuvent différer entre les deux pairs.

Remplissage des messages — S1, S2

S1 et S2 ajoutent un remplissage aléatoire aux messages de poignée de main — S1 au message d'initiation et S2 à la réponse. La plage recommandée est d'environ 15 à 150 octets. Cela casse le signal de "taille de paquet prévisible" : les messages n'ont plus une longueur fixe et identifiable.

Randomisation des en-têtes — H1, H2, H3, H4

H1 à H4 remplacent les en-têtes de type de message fixes de WireGuard par des valeurs tirées des plages que vous choisissez. Pour chaque paquet envoyé, une valeur aléatoire est choisie dans la plage ; de l'autre côté, toute valeur à l'intérieur de la plage est acceptée. Les quatre plages doivent être différentes les unes des autres et ne doivent pas se chevaucher. C'est le changement qui efface la signature la plus évidente de WireGuard.

La règle qui piège les gens : quels paramètres doivent correspondre

C'est là que la plupart des configurations échouées se trompent, donc cela mérite sa propre section.

Selon la documentation officielle d'Amnezia : tous les paramètres doivent être identiques entre le client et le serveur, sauf Jc, Jmin et Jmax, qui peuvent varier.

En termes simples :

S1, S2, H1, H2, H3, H4 → doivent être identiques sur les deux pairs. Ils indiquent à chaque côté où commencent les données réelles et significatives. S'ils ne sont pas d'accord, le récepteur ne peut pas trouver le paquet réel et la poignée de main échoue silencieusement.
Jc, Jmin, Jmax → peuvent différer par pair. Ils sont recommandés côté client.

Donc, la solution pour "AmneziaWG ne se connecte pas" est presque toujours la même : vérifiez que les en-têtes et le remplissage correspondent exactement des deux côtés.

Auto-hébergement du serveur sur un VPS

AmneziaWG s'installe sur un VPS Linux normal de la même manière que WireGuard. Vous avez besoin d'un serveur avec un accès root complet et une adresse IPv4 publique. Une petite machine comme un VPS Contabo S à 4,99 €/mois suffit, et vous pouvez réutiliser la même machine qui exécute déjà votre configuration WireGuard.

Installation sur Ubuntu ou Debian

Le projet Amnezia propose un PPA officiel. Sur Ubuntu :

sudo add-apt-repository ppa:amnezia/ppa
sudo apt update
sudo apt install amneziawg amneziawg-tools

Le paquet fournit le module noyau — avec support DKMS sur les systèmes compatibles, donc il se reconstruit après les mises à jour du noyau — et les outils en espace utilisateur. Les outils en ligne de commande sont awg et awg-quick, qui reflètent wg et wg-quick. Si vous connaissez déjà WireGuard, le flux de travail est le même.

Écrire la configuration du serveur

Créez /etc/amnezia/amneziawg/awg0.conf. Cela ressemble à une configuration WireGuard plus les champs d'obfuscation dans [Interface] :

[Interface]
PrivateKey = <server-private-key>
Address = 10.13.13.1/24
ListenPort = 51820

# Obfuscation — ceux-ci doivent correspondre également sur le client
Jc = 8
Jmin = 8
Jmax = 80
S1 = 86
S2 = 118
H1 = 1234567
H2 = 7654321
H3 = 3141592
H4 = 2718281

[Peer]
PublicKey = <client-public-key>
AllowedIPs = 10.13.13.2/32

Choisissez vos propres valeurs aléatoires — les chiffres ci-dessus sont des exemples. Les seules règles strictes sont : gardez S1/S2 et H1-H4 dans les plages recommandées, gardez les quatre plages H distinctes, et copiez S1, S2, H1, H2, H3, H4 exactement dans la configuration client.

Activez le tunnel :

sudo awg-quick up awg0

Vérifiez-le avec sudo awg show, de la même manière que vous exécuteriez wg show.

La configuration client correspondante

La configuration client répète les mêmes valeurs S et H. Seuls les paramètres inutiles sont libres de différer :

[Interface]
PrivateKey = <client-private-key>
Address = 10.13.13.2/24
DNS = 10.13.13.1

# Doit correspondre au serveur
S1 = 86
S2 = 118
H1 = 1234567
H2 = 7654321
H3 = 3141592
H4 = 2718281
# Peut différer du serveur
Jc = 10
Jmin = 8
Jmax = 80

[Peer]
PublicKey = <server-public-key>
Endpoint = your-vps-ip:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Il existe des clients AmneziaWG officiels pour Windows, les plateformes Apple, Android, et l'implémentation en espace utilisateur amneziawg-go, donc le même serveur fonctionne avec les ordinateurs de bureau et les mobiles.

AmneziaWG vs WireGuard classique — quand utiliser lequel

AmneziaWG n'est pas une mise à niveau directe. C'est un outil ciblé. Utilisez ce guide rapide :

Réseau domestique ou de bureau ouvert → WireGuard classique. C'est plus simple, et il n'y a rien à cacher.
Opérateur, pare-feu ou pays qui bloque WireGuard → AmneziaWG. L'obfuscation est tout l'intérêt.
Vous voulez le tunnel le plus léger possible → WireGuard classique. L'obfuscation ajoute un peu de surcharge.
Vous auto-hébergez déjà WireGuard et il a cessé de se connecter sur un nouveau réseau → essayez AmneziaWG sur le même VPS avant de supposer que le serveur est en panne.

Le résumé honnête : AmneziaWG résout la détection, pas la vitesse ni la confidentialité. Le chiffrement est le même WireGuard en lequel vous avez déjà confiance. Ce qui change, c'est si un filtre peut le voir.

Aller plus loin

Auto-héberger un VPN sur Contabo : guide complet WireGuard 2026
Obfuscation HTTPS Cloak pour un VPN auto-hébergé
Contournement VPN anti-DPI : quelles piles fonctionnent encore en 2026
WireGuard vs OpenVPN : une analyse approfondie
Générateur de configuration WireGuard — créez une configuration de base propre en moins d'une minute

Sources et références :

Publié le 23-06-2026. Tous les paramètres, plages et étapes d'installation sont tirés de la documentation officielle du projet AmneziaWG et des dépôts liés ci-dessus. Confirmez toujours les valeurs recommandées actuelles dans la documentation officielle avant de déployer, car le projet les met à jour au fil du temps.

Rappel : WireGuard, AmneziaWG et l'auto-hébergement de votre propre VPN sont légaux dans l'UE, aux États-Unis, au Canada et dans la plupart des pays démocratiques. VPNSmith publie ce contenu à des fins éducatives.

★ Datacenter Nuremberg GDPR · ✓ IPv4 dédiée incluse · 200+ Mbps garantis

Un VPS que tu contrôles pour le tunneling & l'obfuscation → ContaboAccès root · ouvre n'importe quel port · ta propre stack→