Pourquoi et comment utiliser intelligemment le split tunneling avec un VPN

Utiliser un VPN pour sécuriser l’ensemble de son trafic est un réflexe de plus en plus courant. Mais dans certains cas, tout chiffrer n’est ni nécessaire ni souhaitable.

On ne s’en rend pas forcément compte tout de suite, mais il y a des moments où un VPN complique plus les choses qu’il ne les simplifie. Échec de connexion à une imprimante locale, application bancaire qui refuse de vous laisser accéder à vos comptes, connexion hyper ralentie à cause d’usages lourds et pas forcément critiques… Dans ce genre de cas, on aurait logiquement tendance à vouloir couper son réseau privé virtuel, quitte à prendre le risque d’exposer le reste de son trafic sensible. Il existe pourtant une solution plus fine, pensée pour jongler entre sécurité et praticité sans devoir choisir entre les deux à chaque utilisation : le split tunneling.

Le split tunneling pour mieux gérer les usages simultanés

Pour la faire courte, le split tunneling permet de sélectionner de manière plutôt fine ce qui passe par le réseau privé virtuel et ce qui passe directement par la connexion Internet classique, sans avoir à couper son VPN à tout bout de champ chaque fois qu’un service local ou une application incompatible pose problème.

C’est souvent le cas lorsqu’on utilise une imprimante Wi-Fi ou un NAS sur le même réseau que l’appareil protégé par le VPN qui les commande. Pour comprendre ce qui bloque, il faut revenir rapidement sur la manière dont le VPN agit sur le réseau.

En mode tunnel complet, le client VPN crée une interface réseau virtuelle, temporairement chargée de se substituer à la carte réseau physique de l’appareil. Le système lui confie alors l’ensemble du trafic sortant, y compris les connexions vers les autres équipements du réseau local. Résultat, ces flux sont soit redirigés vers le serveur VPN, qui ne peut rien en faire, soit bloqués par le client VPN lui-même pour éviter les fuites, soit interrompus à cause d’une mauvaise gestion des routes réseau.

Selon les services, cette gestion peut passer par une règle de split tunneling définie à la main – en excluant les adresses IP locales du tunnel chiffré – ou par une option distincte, souvent présente dans les réglages avancés, qui autorise automatiquement le trafic vers les périphériques du réseau local.

Même combat avec certaines applis de banque en ligne ou portails administratifs, qui ont parfois du mal avec les adresses IP opérées par les VPN. Selon les cas, la connexion peut être bloquée parce que l’IP est étrangère, partagée avec d’autres utilisateurs qui ont abusé du service, ou parce que le fait de changer trop souvent d’IP suffit à déclencher des alertes, interprétées comme des tentatives de connexion frauduleuse. Là encore, il suffit de router la connexion vers ces services en dehors du tunnel chiffré, sans avoir à désactiver le VPN pour le reste.

Dernier avantage, plus pratique qu’il y paraît : soulager la connexion VPN. Certains usages, comme les jeux en ligne ou le streaming local, n’ont pas besoin d’être chiffrés. En les excluant du tunnel, on réduit la latence, on évite les ralentissements inutiles, et on réserve la bande passante sécurisée aux flux qui en ont vraiment besoin.

Des modes de fonctionnement différents selon les VPN

La forme la plus courante du split tunneling consiste à laisser une partie du trafic transiter en dehors du tunnel VPN. Selon les options proposées, on peut définir des exceptions pour certaines applications, destinations réseau (adresses IP ou noms de domaine), ou plages de ports, qui continueront d’emprunter directement la connexion Internet classique, pendant que le reste du trafic passe par le VPN.

Dans de plus rares cas, on peut aussi rencontrer un mode de split tunneling inversé. Même principe, mais logique opposée : l’intégralité du trafic circule par défaut en dehors du tunnel chiffré, et seuls les flux correspondant aux applications, adresses IP, domaines ou ports explicitement sélectionnés sont relayés par le VPN.

Faut-il privilégier une méthode plutôt qu’une autre ? Pas tellement, à dire vrai, tout dépend des usages. Le split tunneling « classique » est plus simple à gérer côté sécurité, surtout si l’on souhaite chiffrer un maximum de flux sans se poser de questions. De son côté, le mode inversé conviendra mieux à celles et ceux qui veulent utiliser leur VPN dans un cadre plus ciblé, pour protéger quelques applis ou services précis.

Une option disponible à la tête du client

Tous les clients VPN ne proposent pas forcément un contrôle ultra-détaillé du split tunneling. Dans la majorité des cas, on peut au moins définir des exceptions par application, mais le filtrage par adresse IP, nom de domaine ou port reste plus rare, surtout sur les offres grand public.

La prise en charge varie aussi selon les systèmes. Sur Windows, les clients logiciels disposent généralement de suffisamment de marge de manœuvre pour appliquer ce type de redirection, à condition que le service VPN l’ait implémentée.

Sur macOS, c’est plus compliqué. Le modèle réseau d’Apple, combiné à des restrictions sur les permissions système, limite fortement les possibilités, et même lorsque la fonction est annoncée, elle se résume souvent à une sélection d’applications compatible uniquement avec certains protocoles ou configurations.

Côté Linux, tout dépend du client et des privilèges accordés, mais les possibilités sont habituellement plus ouvertes, à condition de savoir mettre les mains dans le cambouis quand le client ne dispose pas d’interface graphique – ce qui est de moins en moins le cas pour les VPN grand public.

Enfin, sur mobile, les marges sont encore plus réduites. Android offre un certain niveau de souplesse via les API système utilisées par les apps VPN, mais les possibilités dépendent sensiblement de la version d’Android et de la surcouche constructeur. Sur iOS, la gestion du trafic est bien plus verrouillée : le split tunneling n’est généralement pas permis, sauf cadre très spécifique lié aux configurations VPN gérées en entreprise (via des profils MDM, par exemple).

Attention à la configuration !

Évidemment, aussi pratique soit-il, le split tunneling n’est pas exempt de risques. Chaque flux qu’on exclut du tunnel échappe au chiffrement, avec toutes les conséquences que ça implique si le réseau est peu fiable. Et sur les configurations les plus fines, une règle mal ficelée peut suffire à créer une fuite, surtout si l’application en question fait appel à des ressources externes (CDN, API, services tiers) qui n’empruntent pas la même route réseau.

D’où l’importance de bien définir les flux à exclure, et de vérifier si l’interface du client VPN permet une gestion précise, voire une supervision des exceptions. Lorsque c’est possible, mieux vaut commencer par la liste des applications, plus intuitive, avant d’aller toucher aux règles IP ou aux ports. Et si vous n’êtes pas sûr de votre configuration, ou que vous utilisez votre VPN pour des usages sensibles, on vous conseillera d'éviter le split tunneling par précaution.

À cela s’ajoutent quelques effets collatéraux, souvent sous-estimés. Lorsqu’un flux repasse en clair, on réactive malgré soi certains des dispositifs de géolocalisation par IP, d’analyse comportementale ou de télémétrie réseau que le VPN neutralisait jusque-là. Parfois sans conséquence, parfois suffisant pour désanonymiser une session, relancer des restrictions régionales ou fausser les réglages liés à la localisation.

Quelques VPN qui gèrent bien le split tunneling

La rédaction de Clubic teste chaque année des dizaines de services VPN, en toute indépendance, pour évaluer leurs performances, leur fiabilité et la qualité de leurs fonctions avancées. Si vous cherchez un service stable, sécurisé et simple à configurer, avec une option de split tunneling claire, fonctionnelle et réellement exploitable au quotidien, voici ceux que l’on peut recommander les yeux fermés.

CyberGhost : simple à configurer, flexible à l’usage

CyberGhost propose un split tunneling efficace sur la plupart des systèmes d'exploitation. Sur Windows, Android et Linux, la fonction est accessible directement depuis le client, avec un système de règles par application ou nom de domaine, et la possibilité de créer des règles personnalisées selon ses habitudes. L’interface est claire, les réglages rapides à appliquer, et les exceptions bien gérées. Pour celles et ceux qui cherchent une solution grand public facile à prendre en main, c’est une valeur sûre.

Proton VPN : une vraie granularité, même sur Mac

Proton VPN prend en charge le split tunneling sur tous les systèmes, macOS compris. L’option permet à la fois d’exclure certains flux du tunnel chiffré (mode normal) ou, au contraire, de n'y faire transiter que des flux sélectionnés (mode inversé). Les exceptions peuvent être définies par application ou adresse IP, et la configuration reste fluide, même sans être expert. Ce niveau de contrôle, rarement proposé dans les offres VPN grand public, en fait un bon choix pour celles et ceux qui veulent gérer précisément leurs connexions, sans compromis sur la sécurité.

ExpressVPN : complet, cohérent, compatible partout

Chez ExpressVPN, le split tunneling est intégré à tous les clients, y compris sur macOS, avec une interface uniforme et intuitive. Par défaut, le mode classique permet d’exclure certaines applis du tunnel VPN, mais un mode inversé est également proposé. À noter que la sélection par adresse IP est disponible uniquement sur Linux via l’interface graphique. Dans l’ensemble, c’est l’un des services les plus cohérents dans sa prise en charge du split tunneling, avec une vraie attention portée à l’expérience utilisateur, quel que soit l’appareil.

NordVPN : efficace, mais encore limité à quelques OS

NordVPN propose deux modes de split tunneling (classique et inversé), mais uniquement sur Windows et Android. La sélection se fait par application, depuis une interface claire et bien intégrée. Sur les autres systèmes, il faudra encore patienter. Cela reste néanmoins une option très utile si vous utilisez le VPN sur PC ou mobile Android, avec une implémentation stable et un bon suivi technique. Pour les configurations plus variées ou celles qui exigent un contrôle plus fin, d’autres services seront sans doute mieux adaptés.