Un VPN, pour Virtual Private Network, crée un tunnel chiffré entre un appareil et un serveur distant. Le trafic internet transite par ce tunnel, ce qui masque l’adresse IP réelle de l’utilisateur et rend les données illisibles pour quiconque tente de les intercepter. Cette définition technique pose le cadre, mais l’utilisation concrète d’un VPN pour la confidentialité en ligne exige de comprendre ce qu’il protège réellement, et surtout ce qu’il ne protège pas.
Fuites QUIC et trafic mobile : les angles morts d’un VPN
Activer un VPN ne suffit pas à garantir que la totalité du trafic passe par le tunnel chiffré. Des audits indépendants menés en 2024-2025 ont révélé que certains clients VPN gèrent mal le protocole HTTP/3 et QUIC, utilisé par Google, YouTube ou Facebook. Une partie du trafic peut alors sortir du tunnel en clair, exposant des métadonnées voire du contenu.
Lire également : Les plateformes de soutien pour les créateurs en ligne : zoom sur Ko-fi
Le split tunneling, qui permet de choisir quelles applications passent par le VPN, aggrave le problème quand il est mal configuré. Du trafic QUIC échappe alors au chiffrement sans que l’utilisateur en soit informé.
Sur mobile, la situation se complique. Depuis 2024, Apple (iOS 17) et Google (Android 14) ont durci leurs règles concernant les applications VPN dans leurs stores. Les VPN dits « de filtrage », qui bloquent publicités et trackers en inspectant le trafic, font l’objet de restrictions.
Lire également : Immortalisez vos aventures de voyage avec un album photo en ligne personnalisé
Certaines applications VPN intègrent elles-mêmes des SDK publicitaires, ce qui revient à remplacer un pistage par un autre. Vérifier les permissions demandées par l’application et sa politique de collecte de données reste une étape que la plupart des utilisateurs ignorent.
Un VPN configuré sur un client de bureau classique offre généralement un contrôle plus fin sur ces paramètres qu’une application mobile téléchargée depuis un store. C’est un point à garder en tête lorsqu’on cherche à protéger sa vie privée en ligne via un smartphone.
Chiffrement VPN et protocoles : ce qui compte pour la confidentialité
Le chiffrement est le socle technique d’un VPN. Tous les fournisseurs n’utilisent pas les mêmes protocoles, et le choix du protocole influence directement le niveau de protection.
- WireGuard est devenu le protocole de référence pour la majorité des fournisseurs grand public. Léger, rapide, il utilise une cryptographie moderne et son code réduit facilite les audits de sécurité.
- OpenVPN reste largement déployé, en particulier sur les configurations manuelles (routeurs, NAS). Son ancienneté est à la fois un atout (code audité depuis longtemps) et une limite (performances inférieures à WireGuard sur les connexions rapides).
- IKEv2/IPsec offre une reconnexion rapide lors des changements de réseau, ce qui le rend adapté aux appareils mobiles passant du Wi-Fi à la 4G/5G.
Le protocole seul ne fait pas tout. Un fournisseur qui journalise les connexions (horodatage, IP source, volume de données) peut techniquement reconstituer une partie de l’activité, même si le contenu reste chiffré. La politique de non-journalisation, ou no-log policy, doit idéalement être vérifiée par un audit indépendant publié. Plusieurs fournisseurs comme NordVPN, Surfshark ou ExpressVPN ont fait réaliser ce type d’audit, mais la fréquence et le périmètre varient.
Configurer un VPN pour une protection réelle au quotidien
Installer une application VPN prend quelques minutes. La configurer pour qu’elle protège réellement la vie privée demande un peu plus d’attention.
Activer le kill switch
Le kill switch coupe automatiquement la connexion internet si le tunnel VPN tombe. Sans cette fonction activée, une déconnexion temporaire du serveur VPN expose le trafic en clair pendant quelques secondes, parfois suffisantes pour qu’un fournisseur d’accès enregistre une requête DNS ou qu’un site identifie l’adresse IP réelle.
Désactiver le trafic QUIC dans le navigateur
Pour éviter les fuites liées au protocole QUIC, une manipulation simple consiste à désactiver ce protocole dans les paramètres avancés du navigateur. Sur Chrome, la page chrome://flags permet de forcer le protocole HTTP/2 classique, qui transite correctement par le tunnel VPN.
Vérifier les fuites DNS
Une fuite DNS survient quand les requêtes de résolution de noms de domaine passent par le serveur DNS du fournisseur d’accès au lieu de celui du VPN. Des outils en ligne permettent de tester si le VPN gère correctement les requêtes DNS. Un VPN qui laisse fuiter les DNS expose les sites visités même si le contenu des pages reste chiffré.
VPN gratuit ou payant : les compromis sur la vie privée
Les VPN gratuits financent leur infrastructure par d’autres moyens que l’abonnement. Publicités intégrées, revente de données de navigation agrégées, ou bande passante partagée avec d’autres utilisateurs font partie des modèles économiques documentés.
Un fournisseur payant comme CyberGhost, NordVPN ou Proton VPN propose généralement un réseau de serveurs plus étendu (couvrant plusieurs dizaines de pays), des débits supérieurs et une politique de confidentialité plus stricte. Le coût mensuel diminue significativement avec un engagement sur deux ans.
Certains fournisseurs proposent une version gratuite limitée, comme Proton VPN, qui restreint le nombre de serveurs et la vitesse sans pour autant monétiser les données. Ce type d’offre constitue un compromis acceptable pour tester le service avant de s’engager.
Ce qu’un VPN ne protège pas
Un VPN masque l’adresse IP et chiffre le trafic entre l’appareil et le serveur VPN. Il ne protège pas contre le pistage par cookies, par empreinte de navigateur (browser fingerprinting) ni contre les données partagées volontairement avec un service connecté.
Se connecter à un compte Google ou Facebook avec un VPN actif n’empêche pas ces plateformes d’associer l’activité au profil utilisateur. Le VPN agit sur la couche réseau, pas sur la couche applicative. Combiner un VPN avec un navigateur durci et un bloqueur de trackers reste la combinaison la plus efficace pour limiter le suivi en ligne.
La navigation privée du navigateur ne remplit pas non plus le même rôle : elle empêche le stockage local de l’historique et des cookies, mais ne masque rien du côté du réseau. Ces deux outils se complètent sans se substituer l’un à l’autre.