SHIELD

Connectivité

VPN : 95% du marketing est faux

Ce qu'un VPN protège vraiment, ce qu'il ne protège pas, et comment choisir le bon pour le bon usage.

Publié le 18 min de lecture Général

Dernière revue:

Câbles réseau connectés à un switch

Un journaliste me montre fièrement l’icône verte dans sa barre de menus : “Je suis protégé, j’ai NordVPN.” Je lui demande contre quoi. Silence. Il a un abonnement à 3,50 € par mois et la conviction qu’il est invisible. Pendant qu’on parle, son téléphone est connecté à son compte Google, à WhatsApp, à son Gmail pro. Le VPN ne change rien à aucune de ces choses. Il a acheté un sentiment, pas une protection.

Angle de lecture

Le piège habituel

Le marketing VPN a réussi un tour de force que peu d’industries égalent : convaincre des dizaines de millions de gens qu’un objet technique très précis est un bouclier universel contre tous les dangers d’internet. “Protégez votre vie privée. Devenez anonyme. Sécurisez vos données.” Ces formules tapissent les bannières YouTube, les sponsorisations de podcasts, les encarts dans les apps. Elles sont répétées si souvent qu’elles ont remplacé la compréhension par un réflexe : un problème de sécurité, donc un VPNTunnel chiffré entre votre appareil et un serveur, masquant votre IP et votre trafic à votre FAI..

Le problème, ce n’est pas le produit. Un VPNTunnel chiffré entre votre appareil et un serveur, masquant votre IP et votre trafic à votre FAI. est un outil parfaitement honnête quand on sait ce qu’il fait. Le problème, c’est l’écart entre ce qu’on vous a vendu et ce que l’objet exécute réellement. Un VPN est un tunnel chiffré entre votre appareil et un serveur. Point. Il déplace votre point de confiance : au lieu que votre fournisseur d’accès voie votre trafic, c’est votre fournisseur de VPN qui le voit. Parfois ce déplacement est utile. Souvent, il ne touche pas le problème que vous croyez résoudre.

Le danger réel n’est pas d’utiliser un VPN. C’est de croire qu’il vous couvre sur des terrains qu’il n’effleure même pas — et donc d’abaisser votre garde précisément là où il ne vous protège pas. Le journaliste de mon épigraphe est plus exposé avec son VPN qu’il ne le serait sans, parce qu’il a substitué un achat mensuel à une hygiène opérationnelle. C’est le pire scénario : la fausse confiance. Tout le reste de cet article sert à reconstruire la frontière exacte entre ce que la chose fait et ce qu’elle ne fait pas, pour que vous arrêtiez de payer pour une illusion et que vous l’utilisiez là où elle a une vraie valeur.

Détaillons la mécanique, parce que c’est la seule façon de tuer le mythe. Quand le tunnel est actif, trois choses se produisent et trois seulement. Un : le trafic entre votre appareil et le serveur de sortie est chiffré, donc invisible à tout observateur situé entre les deux — réseau Wi-Fi local, fournisseur d’accès, opérateur mobile. Deux : votre adresse IP réelle est remplacée, aux yeux des serveurs de destination, par celle du point de sortie du VPN. Trois : si la configuration est propre, vos requêtes DNS partent elles aussi dans le tunnel, ce qui empêche le réseau local de déduire les domaines que vous visitez. Voilà l’intégralité du contrat technique. Tout ce que le marketing ajoute par-dessus relève de l’extrapolation abusive.

Et ce que le VPN ne fait jamais mérite d’être énoncé aussi sèchement. Il ne chiffre pas le contenu de vos communications de bout en bout : c’est le rôle de HTTPSVersion sécurisée de HTTP, qui chiffre la communication entre navigateur et serveur via TLS., déjà présent sur l’immense majorité du web, et le VPN n’ajoute rien à ce contenu-là. Il n’efface pas vos cookies, votre session, votre empreinte de navigateur. Il ne vous protège ni d’un malware téléchargé dans le tunnel, ni d’un mail de phishing, ni d’une pièce jointe piégée — un fichier malveillant reste malveillant qu’il arrive chiffré ou non. Et il ne vous rend pas anonyme aux services auxquels vous êtes connecté : si vous êtes logué sur Google, Google sait qui vous êtes, peu importe l’IP de sortie. Le VPN agit sur une seule couche, le transport. Il est aveugle à tout le reste.

Le modèle de menace réel : qui voit quoi

La seule question qui compte avant d’allumer un VPN : contre qui ? Un threat modelCartographie des acteurs, motivations, capacités et impacts potentiels contre une cible. sérieux ne se construit pas avec des adjectifs (“plus sûr”, “privé”) mais avec des acteurs nommés et des capacités précises. Reprenons la chaîne de votre trafic, maillon par maillon, et regardons qui voit quoi avec et sans tunnel.

Sans VPN, sur un Wi-Fi que vous ne contrôlez pas (café, hôtel, aéroport, salle de conférence), l’acteur menaçant est quelqu’un sur le même réseau. Avec HTTPSVersion sécurisée de HTTP, qui chiffre la communication entre navigateur et serveur via TLS. généralisé, il ne lit déjà plus le contenu de vos pages. Mais il voit les noms de domaine que vous résolvez si votre DNSSystème qui résout les noms de domaine en adresses IP. Vecteur de surveillance et de censure très sous-estimé. n’est pas chiffré, il peut tenter un MITMAttaque où un acteur s'interpose dans une communication entre deux parties qui se croient en direct. sur un captive portal, et il connaît les adresses IP de destination. Le VPN ferme proprement ce vecteur : tout part chiffré vers le serveur VPN, l’observateur local ne voit qu’un flux opaque. C’est le cas d’usage le plus solide, et c’est aussi le seul où le bénéfice est net et mesurable.

Sans VPN, face aux sites que vous visitez, le site voit votre IP réelle. Avec VPN, il voit l’IP du serveur de sortie. Voilà la deuxième fonction réelle : masquer votre IP à un tiers ponctuel. Utile pour de la recherche OSINTRenseignement à partir de sources ouvertes (publiques) : réseaux sociaux, registres, archives. où vous ne voulez pas que la cible logue votre adresse, utile pour contourner une géo-restriction. Mais c’est de la pseudonymisation, pas de l’anonymat — et la nuance va décider de tout le reste.

Maintenant l’acteur que le marketing escamote : votre fournisseur de VPN lui-même. Quand vous activez le tunnel, vous ne supprimez pas l’observateur, vous le remplacez. Le fournisseur voit votre IP réelle au moment de la connexion, vos horaires, vos volumes, et les destinations vers lesquelles il route votre trafic. Sa politique dit “no-log” ? C’est une promesse contractuelle, pas une loi de la physique. Elle vaut ce que vaut l’audit indépendant qui l’a vérifiée et la juridiction qui peut le contraindre. Si son infrastructure est saisie ou compromise, ces données peuvent exister malgré la promesse. Vous avez déplacé votre confiance d’un FAI régulé vers une société dont vous ne savez souvent rien.

Et les acteurs que le VPN ne touche jamais : les services auxquels vous êtes connectés (Google, Facebook, votre banque vous identifient par votre session, pas par votre IP), les régies publicitaires (qui utilisent le fingerprintingIdentification d'un appareil par les caractéristiques uniques de son navigateur et de son système., les cookies, les identifiants mobiles — l’IP est secondaire), et tout ce qui touche votre machine elle-même (malware, phishing, fichier piégé passent par le tunnel sans aucune entrave). Le VPN protège un segment du transport. Il ne protège ni le contenu chiffré par ailleurs, ni votre identité applicative, ni votre poste.

Le maillon “fournisseur” décide de tout

Puisque allumer un VPN revient à remplacer un observateur par un autre, le seul critère qui compte pour la confidentialité n’est ni la vitesse, ni le nombre de pays, ni le prix : c’est à quel point vous pouvez faire confiance à celui qui voit tout passer. Trois variables permettent d’évaluer ça froidement.

D’abord la politique de logs et son audit. “No-log” n’a de valeur que vérifié par un tiers indépendant, idéalement de façon répétée, et confronté à la réalité : a-t-il déjà été assigné par une autorité, et qu’a-t-il pu fournir ? Un fournisseur qui n’a structurellement rien à donner — parce qu’il ne conserve aucune donnée d’association entre une session et une identité — résiste à une réquisition qu’un fournisseur “no-log sur la parole” ne tiendra pas. Ensuite la juridiction : pays de constitution de la société, traités d’entraide judiciaire, obligations légales de conservation. Une bonne politique dans une mauvaise juridiction reste fragile. Enfin le modèle économique, qui dit tout : un VPN gratuit doit se financer, et il se finance presque toujours en revendant vos données de navigation ou en injectant de la publicité dans votre trafic — c’est-à-dire en faisant exactement ce contre quoi vous pensiez vous protéger. Hola VPN a même revendu la bande passante de ses utilisateurs pour en faire un botnet de sortie. Pour un usage sensible, le VPN gratuit est la pire option, pas la moins chère.

Le paysage des fournisseurs se trie alors vite. Mullvad et IVPN représentent l’extrémité sérieuse : audits répétés, paiement en cash ou Monero, pas d’email requis, code ouvert. Proton VPN suit, en Suisse, audité, intégré à un écosystème cohérent. À l’autre bout, les marques à matraquage publicitaire — celles dont vous connaissez le nom parce qu’elles sponsorisent la moitié de YouTube — ont presque toutes été rachetées par des groupes d’investissement, avec des audits de portée limitée et des conflits d’intérêt sur la donnée. Elles dépannent pour débloquer un catalogue géo-restreint. Elles ne sont pas un choix de confidentialité.

WireGuard, OpenVPN, et le self-hosted

Côté protocole, la question est tranchée pour l’usage courant. WireGuardProtocole VPN moderne, simple et performant, intégré au noyau Linux. tient en environ 4 000 lignes de code, là où OpenVPN en aligne près de 100 000 : surface d’attaque réduite d’un ordre de grandeur, donc bien plus facile à auditer, performances nettement supérieures, latence basse, reconnexion quasi instantanée quand vous changez de réseau. C’est le défaut raisonnable aujourd’hui. OpenVPN garde sa pertinence dans des cas précis : compatibilité avec certains pare-feux d’entreprise restrictifs, flexibilité de configuration, historique d’audit plus long. Si vous administrez un accès distant d’entreprise avec des contraintes réseau particulières, OpenVPN peut rester le bon choix — mais pour un usage personnel, WireGuard d’abord.

Reste l’option du WireGuard auto-hébergé sur un VPS, séduisante pour qui veut tout contrôler. Elle est excellente pour une chose : chiffrer votre transit sur un réseau hostile vers une infrastructure que vous maîtrisez. Elle est mauvaise pour la confidentialité, et il faut le dire clairement : si vous êtes le seul client de ce serveur, votre trafic sortant est trivialement attribuable à vous — vous n’avez aucune foule dans laquelle vous fondre, contrairement à un fournisseur mutualisant des milliers d’utilisateurs derrière chaque IP de sortie. Le self-hosted vous donne du contrôle, pas de l’anonymat.

Les contextes de censure changent les règles

Dans un pays qui pratique le filtrage réseau actif — Chine, Russie, Iran — le calcul se déplace. Votre fournisseur d’accès local est, de fait, un appareil de surveillance d’État : il voit l’intégralité de votre trafic DNS et HTTP, et il bloque des plages d’IP et des protocoles entiers. Un VPN vers un serveur étranger contourne ça, à condition que le protocole ne soit pas détecté et coupé. Le Great Firewall chinois sait reconnaître et bloquer des handshakes VPN classiques ; il faut alors WireGuard sur un port non standard, ou carrément des protocoles d’obfuscation conçus pour ressembler à du trafic banal (Shadowsocks, V2Ray). Et la règle opérationnelle ne souffre aucune exception : le VPN doit être installé, configuré et testé avant le départ. Une fois sur place, les stores d’applications et les sites des fournisseurs sont souvent inaccessibles. Tenter de télécharger le client depuis l’aéroport de destination, c’est arriver trop tard.

La bonne approche : un outil, un usage, une frontière nette

La bascule pragmatique tient en une phrase : un VPN n’est pas une posture de sécurité, c’est une fonction de transport qu’on active pour un usage précis et qu’on évalue sur cet usage. Arrêtez de demander “quel est le meilleur VPN” et commencez par “qu’est-ce que je veux empêcher exactement”. La réponse dicte le choix — ou l’absence de choix.

Si votre but est de chiffrer votre transit sur un réseau non maîtrisé, n’importe quel VPN sérieux fait l’affaire, et le critère devient la fiabilité technique : protocole WireGuardProtocole VPN moderne, simple et performant, intégré au noyau Linux. par défaut (environ 4 000 lignes de code contre ~100 000 pour OpenVPN — surface d’attaque réduite, reconnexion instantanée, latence faible), kill-switch qui coupe tout si le tunnel tombe, et DNS forcé dans le tunnel pour ne pas fuir. Si votre but est la confidentialité face à votre fournisseur, le critère devient la confiance dans le fournisseur : Mullvad est la référence — no-log audité de façon répétée par des tiers, paiement en cash ou crypto possible, pas d’email requis (juste un numéro de compte aléatoire), open source. ProtonSuite suisse d'outils confidentialité (Mail, VPN, Drive, Pass, Calendar) à modèle open-source. VPN est l’autre choix sérieux, suisse, audité, open source. IVPN dans le même esprit. Tout le reste — les marques à matraquage publicitaire, rachetées par des fonds, aux audits de portée limitée — est correct pour débloquer du Netflix et rien d’autre.

Si votre but est l’anonymat réel — sources journalistiques, lanceurs d’alerte, contextes où votre identité doit être impossible à relier à votre activité — alors aucun VPN commercial ne suffit. Vous avez besoin de TorRéseau anonymisant qui fait transiter le trafic par 3 relais successifs pour masquer l'origine., conçu pour qu’aucun nœud unique ne connaisse à la fois qui vous êtes et ce que vous faites. Le VPN ne remplace jamais Tor ; au mieux il le précède. Confondre les deux, c’est le genre d’erreur qui coûte une source, pas un abonnement.

Et si votre but n’est aucun des trois — vous voulez “moins de pub” ou “ne plus être suivi” — alors le VPN n’est tout simplement pas l’outil. La mesure qui change quelque chose, c’est un bloqueur sérieux (uBlock Origin), un navigateur durci, et la DNSSystème qui résout les noms de domaine en adresses IP. Vecteur de surveillance et de censure très sous-estimé. chiffrée. Acheter un VPN pour ça, c’est mettre un cadenas sur la mauvaise porte.

Une fois l’usage et le fournisseur choisis, trois réglages séparent un VPN qui protège réellement d’un VPN décoratif. Le kill-switch d’abord : il coupe toute connexion réseau si le tunnel tombe, ce qui évite la fuite la plus courante — l’instant où le VPN se reconnecte après un changement de réseau et où votre trafic passe en clair pendant quelques secondes. Sans kill-switch, ces secondes suffisent à exposer votre IP réelle au site que vous consultiez. Le DNS dans le tunnel ensuite : beaucoup de configurations laissent les requêtes DNS sortir par le résolveur du système, donc visibles du réseau local et du FAI même VPN actif. Un test sur dnsleaktest.com après connexion vous dit en trente secondes si vous fuyez. Le split tunneling enfin, qui fait passer une partie seulement du trafic par le VPN : pratique pour garder l’accès à une imprimante locale ou à un service bancaire qui bloque les IP de VPN, mais piège pour une session sensible — tout ce qui est hors tunnel est exposé. Pour une session qui compte, on coupe le split tunneling et on fait tout passer par le tunnel.

Le dernier réflexe est une question d’ordre : on active le VPN avant de se connecter, jamais après. Si vous ouvrez un site, puis allumez le tunnel, le site a déjà logué votre IP réelle et votre appareil a peut-être déjà résolu des domaines en clair. Le geste tardif est cosmétique. La discipline tient en une phrase : tunnel d’abord, navigation ensuite.

Ce que ça implique concrètement

Pour vous, en tant que personne

Un VPN est utile sur un Wi-Fi public non fiable et pour masquer votre IP d’un site tiers ponctuel. Ce n’est pas de l’anonymat, ce n’est pas de la protection d’identité, et ça ne remplace ni votre antivirus ni votre vigilance face au phishing. Trois actions, cette semaine, toutes sous 200 € — la plupart à 0 € :

  1. Décidez si vous en avez réellement besoin — Posez-vous une seule question : est-ce que je me connecte régulièrement à des Wi-Fi que je ne contrôle pas, ou ai-je besoin de masquer mon IP à des sites ? Si oui, prenez Mullvad (5 € par mois, sans engagement, payable en cash, no-log audité). Si non — si vous êtes chez vous sur votre box ou en 4G/5G — vous n’avez pas besoin de VPN. Économisez l’abonnement.

  2. Configurez-le correctement, une bonne fois — Activez le protocole WireGuardProtocole VPN moderne, simple et performant, intégré au noyau Linux., activez le kill-switch, et vérifiez l’absence de fuite DNS sur dnsleaktest.com après connexion. Coût : 0 €, dix minutes. Un VPN mal configuré qui fuit le DNS ne protège que votre tranquillité d’esprit.

  3. Ne comptez pas sur lui pour ce qu’il ne fait pas — Pour échapper au traçage publicitaire : installez uBlock Origin (gratuit). Pour ne pas être identifié sur les services que vous utilisez : déconnectez-vous des comptes quand vous voulez naviguer “à part”, ou utilisez un profil de navigateur dédié. Le VPN ne fait ni l’un ni l’autre.

Pour vous, RSSI / DSI / dirigeant

Le point d’attention central : VPN grand public ≠ VPN d’entreprise. Ce sont deux objets que tout oppose sauf le nom, et les confondre dans vos communications de sensibilisation crée de la fausse sécurité chez vos collaborateurs.

1. Le VPN d’entreprise est une brique d’accès, pas un outil de confidentialité. Zscaler, Cloudflare Access, Tailscale, OpenVPN self-hosted : ces produits existent pour donner à vos collaborateurs un accès contrôlé à l’infrastructure interne et appliquer des politiques centralisées. Ils ne “rendent pas anonyme”, ils ne “protègent pas la vie privée” — ce n’est pas leur métier. Conséquence directe : ne reprenez jamais le vocabulaire marketing grand public dans vos guides internes. Un collaborateur qui croit que le VPN corporate le rend “privé” baissera la garde sur le phishing et la fuite d’identité, qui sont vos vrais risques.

2. Le modèle “tunnel vers le réseau interne” est en voie d’obsolescence. Le VPN d’accès traditionnel place l’utilisateur authentifié sur le réseau, avec une confiance implicite large — un poste compromis derrière le VPN se déplace latéralement. La bascule du marché va vers le ZTNAModèle d'accès qui vérifie chaque requête plutôt que de faire confiance au réseau d'origine. et le Zero TrustPrincipe : ne jamais faire confiance par défaut, vérifier chaque requête. : accès par application, pas par réseau, vérifié en continu. Conséquence directe : si votre architecture repose encore sur un concentrateur VPN unique exposant tout le LAN, inscrivez la migration vers un accès par ressource à votre feuille de route. Le VPN reste une brique, pas la frontière.

3. Le VPN grand public sur les appareils pro est un angle mort. Des collaborateurs installent NordVPN ou un VPN gratuit sur leur poste pro “pour se protéger”, routant le trafic de l’entreprise à travers un tiers inconnu, parfois hors UE, parfois revendeur de données. Conséquence directe : votre politique doit interdire explicitement les VPN grand public non approuvés sur les terminaux gérés, et votre solution de gestion de flotte (MDM) doit pouvoir le détecter. Un VPN gratuit sur un poste qui touche vos données, c’est une exfiltration que vous payez vous-même en confort utilisateur.

Erreurs qu’on voit tout le temps

  • Croire qu’activer le VPN rend anonyme. Tant que vous êtes connecté à vos comptes Google, Apple, Meta, vous êtes identifié, IP masquée ou non. L’anonymat passe par TorRéseau anonymisant qui fait transiter le trafic par 3 relais successifs pour masquer l'origine. et une discipline d’identité, jamais par un simple tunnel.
  • Utiliser un VPN gratuit pour un usage sensible. Le modèle économique d’un VPN gratuit, c’est vous : revente de données de navigation, injection de publicité, ou pire. C’est exactement l’inverse de ce que vous cherchez.
  • Ne pas vérifier la fuite DNS. Beaucoup de configurations laissent les requêtes DNSSystème qui résout les noms de domaine en adresses IP. Vecteur de surveillance et de censure très sous-estimé. sortir du tunnel. Votre FAI voit alors tous les domaines que vous visitez, VPN actif ou non. Un test sur dnsleaktest.com prend trente secondes.
  • Activer le VPN après avoir commencé à naviguer. Si vous vous connectez à un site avant d’allumer le tunnel, votre IP réelle est déjà loguée. Le VPN d’abord, la navigation ensuite — sinon le geste est cosmétique.
  • Confondre VPN d’entreprise et VPN de confidentialité. Le premier est un contrôle d’accès, le second un outil personnel. Les mélanger dans une communication produit des collaborateurs faussement rassurés.
  • Le télécharger sur place en pays à censure. En Chine, en Russie, en Iran, les stores et les sites de VPN sont souvent bloqués. Tenter d’installer le client depuis l’aéroport de destination est généralement trop tard : il doit être installé, configuré et testé avant le départ.

Checklist actionnable

  • N1 Définir l'usage avant l'outil : Wi-Fi non maîtrisé ? masquage d'IP ponctuel ? accès au SI ? anonymat réel ? — chaque réponse dicte une solution différente
  • N1 Si confidentialité grand public : choisir Mullvad, Proton VPN ou IVPN, jamais un fournisseur à matraquage publicitaire ni un VPN gratuit
  • N2 Activer WireGuard comme protocole par défaut et le kill-switch
  • N2 Vérifier l'absence de fuite DNS sur dnsleaktest.com après connexion
  • N2 Activer le VPN AVANT de se connecter à un réseau ou à un site, jamais après
  • N2 Pour le traçage publicitaire et le fingerprinting : uBlock Origin + navigateur durci, pas un VPN
  • N3 Pour un anonymat réel (source, lanceur d'alerte) : Tor, jamais un VPN commercial seul
  • N3 Mission en pays à censure : installer, configurer et tester le VPN avant le départ
  • N3 Côté organisation : interdire les VPN grand public sur les terminaux gérés et le détecter via MDM
  • N3 Côté organisation : planifier la bascule du VPN réseau plein tunnel vers un accès par ressource (ZTNA / Zero Trust)

Pour aller plus loin

Les références qui tiennent la route figurent dans le frontmatter. Lisez d’abord le threat model de ProtonVPN(opens in a new tab) : c’est l’un des rares documents d’un fournisseur qui dit honnêtement contre quoi son produit protège et contre quoi il ne protège pas. Les audits no-log de Mullvad(opens in a new tab), répétés et publics, montrent à quoi ressemble une promesse vérifiable plutôt qu’une formule marketing. Et le whitepaper de WireGuard(opens in a new tab) explique pourquoi un protocole de 4 000 lignes a remplacé un mastodonte de 100 000 — un bon rappel que la sécurité se gagne en réduisant la surface d’attaque, pas en empilant des fonctions. Pour la suite logique, voir Wi-Fi public, Durcir son DNS et eSIM en voyage.

Sources et lectures complémentaires

Articles liés