Ce n’est pas parce que vous utilisez un VPN que vos échanges sont privés, ni parce que vos messages sont chiffrés de bout en bout que vos données personnelles sont à l’abri. Une réalité technique parfois contre-intuitive qu’on vous explique.
Dire « c’est chiffré » ne suffit pas. Entre un VPN et le chiffrement de bout en bout, on parle de deux protections distinctes, qui ne recouvrent ni les mêmes données, ni les mêmes risques, mais qu’on a pourtant trop souvent tendance à considérer comme interchangeables. Comprendre le rôle de chacun, c’est éviter de se croire protégé à tort, choisir les bons outils en connaissance de cause, et ajuster ses usages en conséquence.
Le chiffrement de contenu, le chiffrement de transport… et ce qui y échappe encore
Le chiffrement de bout en bout protège le contenu lui-même. Il est appliqué directement sur l’appareil de l’expéditeur ou de l’expéditrice, puis déchiffré uniquement sur celui de la personne destinataire. Le message circule donc de manière illisible, même si le trajet est observé ou le réseau compromis. A noter également que dans un modèle E2EE authentique, le fournisseur du service ne peut techniquement pas lire ce contenu, car il ne détient pas les clés nécessaires.
Le VPN sécurise quant à lui la connexion entre votre appareil et un serveur VPN. Il empêche un tiers situé sur le même réseau (Wi-Fi public, entreprise, ou même à la maison) et le FAI de voir les données transmises pendant ce trajet, et masque l’adresse IP publique utilisée pour accéder à un service. Le contenu du trafic, lui, dépend des protocoles utilisés au niveau des applications : il peut être déjà chiffré (HTTPS, E2EE) ou non (requêtes DNS non sécurisées, trafic en clair sur certains protocoles anciens).
Ces deux types de chiffrement ne s’opposent donc pas, ils peuvent même coexister, mais ils ne protègent pas les mêmes choses. Le chiffrement de bout en bout agit sur le contenu, là où le VPN agit sur le transport. L’un n’élimine pas le besoin de l’autre : ils répondent à des menaces différentes, à des endroits différents du réseau.
À cela s’ajoute un point souvent négligé : les métadonnées. Même si le contenu est chiffré, le service sait qui parle à qui, à quelle fréquence, depuis quel compte, parfois depuis quelle adresse IP, et sur quel appareil. Ces informations ne sont pas neutralisées par le chiffrement E2EE, et le VPN, s’il limite leur exposition sur le réseau, n’empêche pas leur collecte par le service lui-même (exception faite de l’IP, qu’il masque effectivement).
Enfin, chaque outil repose sur un modèle de confiance. Le chiffrement de bout en bout suppose que l’application implémente correctement la sécurité, que les clés ne soient pas compromises et que les appareils soient intègres. Le VPN, lui, suppose que le fournisseur n’enregistre pas ou ne réutilise pas les données qu’il peut techniquement voir sur le tunnel, même si ces données sont déjà chiffrées par d’autres couches (HTTPS, E2EE). Autrement dit, le VPN ne supprime pas la notion de confiance, il la déplace.
Et HTTPS dans tout ça ?
Sur la majorité des sites web, les connexions sont déjà chiffrées via HTTPS. Cela signifie que, VPN ou non, un administrateur réseau ou un FAI ne peut pas lire ce que vous échangez avec une page web, à condition que le site soit correctement configuré. HTTPS empêche surtout ces intermédiaires d’observer le contenu des requêtes et des réponses, mais il ne vous protège pas contre un service auquel vous choisissez de transmettre des informations, même si la connexion est chiffrée.
Plusieurs éléments restent par ailleurs observables malgré HTTPS : l’adresse IP du site, parfois le nom de domaine via le protocole SNI, les requêtes DNS si elles ne sont pas sécurisées, ou des métadonnées de connexion. Le VPN vient donc compléter HTTPS en masquant ces éléments au réseau local et au fournisseur d’accès, tout en anonymisant partiellement la requête côté service en remplaçant votre adresse IP par celle du serveur VPN. Cela ne suffit toutefois pas à effacer toutes vos traces : cookies, identifiants de compte et empreinte navigateur permettent généralement au service de vous ré-identifier.
Comment protéger ses échanges (vraiment)
Avant toute chose, commencez par vérifier si le chiffrement de bout en bout est bien activé sur vos outils de communication. Certaines messageries l’activent par défaut (Signal, WhatsApp), d’autres le proposent uniquement dans certains modes ou avec des options spécifiques (Telegram et ses « échanges secrets », par exemple). Les applications sérieuses permettent souvent de vérifier manuellement les clés de sécurité ou l’empreinte cryptographique d’un contact. Il ne s’agit pas là d’indicateurs purement techniques réservés aux plus nerds d’entre nous, mais bien de preuves de sécurité qui garantissent l’intégrité du canal de communication et la confidentialité des conversations.
Ensuite, utilisez un VPN pour ce qu’il fait bien. Il est particulièrement utile sur les réseaux publics ou inconnus, pour protéger la connexion sortante contre une interception locale, mais aussi pour masquer son adresse IP réelle aux services en ligne, ou contourner certaines censures géographiques. Là encore, il faut garder en tête que le VPN protège le transport, pas l’appareil ni le compte. Il n’empêche pas l’infection d’un terminal, ne remplace pas l’authentification forte, ni une bonne hygiène numérique. Et il ne garantit pas, à lui seul, que vos requêtes DNS soient correctement prises en charge dans le tunnel, ce qui dépend du fournisseur et des réglages.
Enfin, corrigez les zones de fuite que ni le VPN ni le chiffrement de bout en bout ne couvrent. Une messagerie chiffrée peut afficher ses messages dans les notifications. Une sauvegarde cloud peut stocker vos échanges en clair ou avec une clé contrôlée par le service. Une session active peut être restaurée sur un autre appareil si vous n’avez pas sécurisé l’accès à votre compte. Un lien partagé dans une conversation chiffrée peut être prévisualisé par les serveurs du service. Autant de détails concrets qui compromettent la promesse de sécurité si on ne les maîtrise pas.
En bref, le chiffrement de bout en bout protège le contenu de vos messages ou de vos fichiers. Le VPN protège la connexion entre votre appareil et un point de sortie, en masquant votre IP et en chiffrant ce qui n’était pas encore sécurisé. Pour le reste (métadonnées, comptes, stockage, appareils), tout dépend de vos réglages, de vos habitudes, de votre environnement, et du niveau de confiance que vous accordez aux outils que vous utilisez.
