3 idées reçues sur le kill switch à oublier pour de bon

Il est censé tout bloquer quand la connexion VPN saute. Mais en réalité, le kill switch n’est ni automatique, ni infaillible, ni toujours bien configuré. Tour d’horizon des malentendus les plus courants.

Quand un VPN promet un kill switch, on imagine un pare-feu impitoyable, capable de couper net toute fuite dès que le tunnel tombe. Une ligne de défense ultime, en somme, qui vous éviterait toute mauvaise surprise. Sauf que cette image est un peu trop belle pour être vraie. Car tous les kill switches ne se valent pas, et certains ne protègent que partiellement. Entre ce que vous pensez activer, ce que votre système permet réellement, et ce que fait votre VPN dans les coulisses, il y a parfois un fossé. Mieux vaut donc faire le tri avant de se croire invisible.

1. Non, le kill switch ne bloque pas toujours tout automatiquement

Sur le papier, le kill switch est censé couper tout le trafic réseau dès que le tunnel VPN devient indisponible. En pratique, ce n’est pas toujours le cas. D’abord parce que chez certains fournisseurs, il n’est pas activé par défaut. Ensuite parce que son déclenchement peut dépendre du mode de fonctionnement choisi.

Un kill switch peut réagir à une coupure complète du VPN, à une désactivation manuelle ou à une reconnexion qui échoue. Normalement, la réaction est quasi-instantanée, mais il peut toujours y avoir un léger délai entre la perte de connexion et l’activation effective du blocage, ce qui suffit parfois à laisser échapper quelques paquets réseau. Même constat au démarrage de l’appareil, par exemple, lorsque le VPN est configuré pour s’exécuter automatiquement. S’il faut attendre que la connexion au tunnel soit finalisée pour que le kill switch devienne opérationnel, alors les premières requêtes émises par le système ou les applications peuvent circuler librement, sans passer par le VPN.

Enfin, tout dépend de la méthode employée. Un kill switch basé sur le routage modifie les chemins réseau, mais il peut être contourné par une application qui crée ses propres routes ou utilise un autre adaptateur. Seul un kill switch fondé sur des règles de pare-feu garantit un blocage strict, même en cas de dysfonctionnement de l’application VPN. Mais il faut que ces règles couvrent à la fois IPv4 et IPv6, limitent les interfaces autorisées et tiennent bon lorsque la configuration réseau évolue. Passer du Wi-Fi à la 4G ou inversement, ajouter un adaptateur virtuel ou sortir l’appareil de veille sont autant de situations susceptibles de rouvrir brièvement des routes si le client VPN ne réapplique pas ses règles à temps. Et là encore, le trafic peut transiter hors tunnel pendant quelques secondes, sans même que vous en ayez conscience.

2. Non, le kill switch n’empêche pas toutes les fuites

Le kill switch ne filtre pas le trafic en continu, et, à ce titre, il ne protège que les données échappées après la perte de la connexion VPN. En clair, même avec un système de blocage efficace, si votre VPN laisse filer certains flux en dehors du tunnel, ce n’est pas le kill switch qui les arrêtera. Et ça peut arriver plus souvent qu’on ne le pense.

Sur Windows, par exemple, le système peut envoyer des requêtes HTTP ou DNS pour tester la connectivité réseau dès qu’il se connecte à Internet. Or, ces requêtes précoces, générées par le service NCSI, peuvent transiter en clair si les règles du kill switch ne gère pas correctement l’ensemble des interfaces réseau actives ou protocoles utilisés par le système. Ce n’est donc plus un problème de déclenchement du blocage, mais bien de périmètre technique.

Le comportement du client VPN lui-même peut également poser problème. Certains fournisseurs appliquent une logique de reconnexion souple en cas de perte de connexion. Le tunnel est relancé automatiquement, mais le trafic n’est pas toujours bloqué pendant la tentative de reconnexion, ce qui ouvre une fenêtre de vulnérabilité potentielle.

Le kill switch ne bloque pas non plus systématiquement les fuites DNS. Si le système d’exploitation continue à interroger un serveur DNS public renseigné manuellement en dehors du client VPN – comme 8.8.8.8 (Google) ou 1.1.1.1 (Cloudflare) dans les paramètres réseau –, ces requêtes peuvent contourner le tunnel, sauf si une redirection stricte est appliquée. C’est en théorie ce que proposent les fournisseurs VPN qui utilisent leur propre résolveur DNS, intégré au tunnel et inaccessible depuis l’extérieur. Mais dans les faits, l’efficacité de ce dispositif dépend étroitement de la manière dont il est implémenté, et de la capacité du client à désactiver proprement toute configuration concurrente au niveau du système.

À cela s’ajoute le cas du DNS over HTTPS, qui peut court-circuiter le tunnel VPN si le navigateur établit une connexion chiffrée directe vers un résolveur tiers, sans tenir compte des règles imposées par le client. Même vigilance du côté d’IPv6, dont les paquets peuvent échapper au tunnel si le protocole n’est pas explicitement pris en charge ou filtré par le VPN.

3. Non, tous les kill switches ne se valent pas

Derrière l’appellation commune, les approches techniques varient considérablement d’un fournisseur à l’autre. Certains clients VPN se contentent d’interrompre la connexion dès que l’interface virtuelle ne répond plus, quand d’autres appliquent des règles réseau persistantes pour bloquer toute sortie non chiffrée, tunnel actif ou non. Autrement dit, le terme kill switch peut aussi bien désigner un simple bouton pause qu’un vrai pare-feu configuré aux petits oignons.

Dans les offres les plus basiques, le blocage repose sur la surveillance logicielle du tunnel. Si le VPN tombe, le client interrompt les connexions réseau, mais cette méthode reste dépendante du bon fonctionnement de l’application. Si elle plante ou redémarre mal, le trafic peut alors être routé hors tunnel, sans prévenir.

À l’inverse, les solutions les plus solides s’appuient sur les mécanismes natifs du système (Windows Filtering Platform, iptables sur Linux, PF pour macOS, etc.) pour imposer des règles réseau strictes. Elles définissent les interfaces autorisées, interdisent toute sortie hors tunnel et tiennent bon même quand la configuration réseau évolue. C’est le principe du kill switch dit « système » ou « de niveau OS », que l’on retrouve dans les clients VPN les plus aboutis derrière l’option « bloquer toute connexion hors VPN » ou « activer le kill switch renforcé », qui configure en réalité ces règles pare-feu de manière automatique.

Plus rigide, certes, mais aussi beaucoup plus fiable : d’une part, les règles persistent même si vous quittez ou éteignez le VPN ; d’autre part, elles limitent strictement les chemins réseau possibles, empêchant ainsi les applications de créer des routes alternatives.

Activez, testez, observez

S’imaginer que le kill switch peut vous protéger en toutes circonstances, c’est se fourrer le doigt dans l’œil. S’il est bien configuré, avec un vrai blocage pare-feu, c’est une couche de protection utile. Mais ce n’est ni automatique, ni magique. Un bon VPN le propose, un bon utilisateur ou une bonne utilisatrice en vérifie l'efficacité.

Le plus simple reste encore de contrôler régulièrement votre adresse IP publique, voire de jeter un œil aux requêtes DNS et d’analyser votre trafic si vous avez les outils et les compétences. Mais même avec des vérifications rigoureuses, le risque zéro n’existe pas. À moins d’activer un kill switch de type renforcé, ce qui suppose aussi que vous utilisiez votre VPN absolument tout le temps.

Pour aller plus loin : les VPN recommandés par la rédaction

Chez Clubic, nous testons chaque année des dizaines de VPN de manière indépendante, en conditions réelles. Interface, performances, sécurité, respect de la vie privée : rien n’est laissé de côté. Le kill switch fait évidemment partie des points clés analysés, qu’il s’agisse de sa réactivité, de son niveau de blocage ou de sa capacité à réappliquer les règles automatiquement. Voici quatre services que l’on peut recommander en toute confiance, notamment pour leur gestion sérieuse du kill switch et des fuites réseau.

CyberGhost : simple à utiliser, efficace par défaut

CyberGhost propose plus de 11 000 serveurs répartis dans 100 pays, avec la possibilité de connecter jusqu’à 10 appareils en simultané. Le service mise sur la simplicité, avec un kill switch logiciel activé par défaut dans toutes ses applications, sans réglage à prévoir. En cas de coupure du VPN, le trafic est bien interrompu, et les tests montrent une bonne réactivité sur Windows comme sur mobile. Le service propose également un résolveur DNS personnalisé, intégré au tunnel. En clair, pas de configuration manuelle, pas de fuites observées dans les scénarios courants, et une protection efficace pour un usage régulier.

Proton VPN : double kill switch et sécurité renforcée

Proton VPN administre aujourd’hui près de 15 000 serveurs dans 122 pays. Sécurisé par défaut, le client intègre un kill switch logiciel activé dès l’installation, mais permet aussi de passer à un kill switch renforcé de niveau système pour les plus exigeants. Ce dernier impose des règles réseau strictes, même si l’application est arrêtée ou désactivée. Proton gère également nativement les adresses IPv6, propose un DNS interne non accessible de l’extérieur, et permet une surveillance fine des connexions. En pratique, peu de configurations échappent au blocage, même en cas de reconnexion complexe ou de changement de réseau.

ExpressVPN : blocage pare-feu intégré sur toutes les plateformes

ExpressVPN s’appuie sur une infrastructure solide, avec 3 000 serveurs répartis dans 105 pays. Côté sécurité, le service va au-delà du kill switch logiciel classique avec une protection de niveau système sur toutes les plateformes compatibles. Baptisé Network Lock, ce mécanisme repose sur des règles pare-feu robustes qui bloquent tout trafic hors tunnel, même si le client plante ou redémarre. ExpressVPN intègre aussi un résolveur DNS dédié, activé par défaut et accessible uniquement via le tunnel. Une combinaison efficace, qui limite les fuites réseau et permet un usage intensif sans se poser de question.

NordVPN : un kill switch réactif et un DNS bien verrouillé

NordVPN fait partie des services les plus populaires, et sa réputation repose aussi sur ses fonctions de sécurité avancées. Le kill switch est logiciel, mais réagit rapidement aux coupures réseau et s’active automatiquement sur la plupart des plateformes. Le service applique en parallèle des protections spécifiques contre les fuites DNS et les fuites IP, avec un DNS personnalisé intégré et une gestion stricte des interfaces. Le blocage n’est pas de niveau système, mais reste efficace dans la majorité des scénarios. Pour celles et ceux qui veulent une configuration fiable sans entrer dans les réglages, c’est un bon compromis.