HTTPS partout, DNS chiffré, HTTP/3… à première vue, tout semble déjà protégé. Alors à quoi bon utiliser un VPN aujourd’hui ? Derrière cette idée reçue, le rôle du tunnel chiffré a surtout changé de nature, et continue de répondre à des enjeux bien réels.
Pendant des années, le VPN s’est présenté comme une réponse évidente à un problème simple. Le web était perçu comme perméable, donc on établissait un tunnel chiffré entre l’appareil et un serveur distant pour protéger au moins une partie de la navigation.
Cette lecture vaut encore aujourd’hui, mais elle colle de moins en moins à la réalité technique du web actuel. Entre la généralisation du HTTPS, l’arrivée de HTTP/3, l’essor de QUIC, le chiffrement du DNS et des applications qui intègrent déjà le chiffrement de bout en bout, le contenu des échanges est aujourd’hui bien mieux protégé qu’il ne l’était au début des années 2010, et cela avant même de passer par un réseau privé virtuel. On pourrait logiquement en conclure que le VPN est devenu accessoire, mais ce serait aller un peu vite en besogne.
Un trafic déjà chiffré avant même d’entrer dans le tunnel
« Un VPN, ça ne sert plus à rien, tout est déjà chiffré avec HTTPS ». C’est l’argument numéro un de ses détracteurs, et il n’est pas complètement absurde.
Il y a quelques années encore, une partie du trafic circulait en clair (HTTP), avant que Google ne commence à faire pression sur les éditeurs de contenu. Dès 2014, la firme de Mountain View annonce que le HTTPS devient un critère de classement dans les résultats de son moteur de recherche.
Dans la foulée, Chrome se met à signaler les pages HTTP comme non sécurisées sur les formulaires, avant de généraliser l’avertissement à l’ensemble des sites en 2018 avec l’apparition du label « Non sécurisé » dans la barre d’adresse. Firefox suit la même trajectoire, avec ses propres avertissements, puis un mode HTTPS-Only qui pousse systématiquement vers les versions chiffrées des pages consultées.
Aujourd’hui, la majorité du web repose donc sur des connexions chiffrées, ce qui signifie que les données échangées entre l’appareil et le service distant sont déjà protégées. Dans ces conditions, le VPN n’apporte pas grand-chose de plus à la sécurité des données en transit. Un flux chiffré reste chiffré, qu’il passe ou non par un tunnel.
HTTPS, comment ça fonctionne concrètement ?
Lorsqu’un site utilise HTTPS, la connexion entre le navigateur et le serveur repose sur TLS, pour Transport Layer Security, un protocole qui sécurise l’établissement de la connexion et protège ensuite les échanges en garantissant leur confidentialité, leur intégrité et l’authenticité du serveur contacté.
Concrètement, le serveur présente un certificat numérique que le navigateur vérifie afin de s’assurer qu’il est valide et qu’il correspond bien au domaine visé. Une fois cette étape effectuée, les deux parties négocient des clés de session temporaires, utilisées uniquement pour la durée de cette connexion.
À partir de là, les données circulent sous forme chiffrée. Cela concerne les pages consultées, les formulaires envoyés, les cookies de session ou encore les requêtes vers des API. Un intermédiaire placé sur le réseau (FAI, admin) peut voir qu’une connexion existe et vers quelle adresse elle part, mais pas lire son contenu.
Avec QUIC et HTTP/3, le transport lui-même n’obéit plus aux mêmes règles
Si le contenu des échanges est désormais protégé, la façon dont ces données circulent a, elle aussi, profondément évolué.
Avec l’arrivée de HTTP/3, le web s’appuie de plus en plus sur QUIC, un protocole qui ne repose plus sur TCP mais sur UDP, et intègre directement des fonctions jusque-là réparties entre plusieurs couches du réseau (TCP pour le transport, TLS pour le chiffrement).
Traduction : la connexion ne s’établit plus de la même manière et les données ne circulent plus tout à fait pareil. QUIC gère directement ce que TCP et TLS prenaient en charge séparément, ce qui accélère les échanges, absorbe mieux les pertes de paquets, facilite les changements de réseau en cours de session et permet à plusieurs flux de coexister sans se bloquer les uns les autres.
Pour les internautes, c’est en théorie tout bénef. Les connexions peuvent se montrer plus réactives, plus fiables et plus résistantes aux variations du réseau, notamment en mobilité, si bien que le VPN, qui transporte désormais des flux déjà optimisés par QUIC, ne peut plus aussi facilement être présenté comme un outil d’amélioration de la connexion.
Le DNS chiffré complique encore la lecture du rôle du VPN
Dans le prolongement de ces évolutions (chiffrement et transport), la résolution des noms de domaine a, elle aussi, été repensée.
Pour rappel, chaque requête DNS consiste à associer un nom de domaine à une adresse IP. Par nature, ce trafic est particulièrement bavard. En l’absence de chiffrement, ces requêtes circulent en clair, même lorsque le contenu des échanges est protégé, ce qui permet à un intermédiaire d’identifier les domaines consultés, la fréquence des requêtes, leur chronologie, et de reconstituer une part importante de l’activité web d’un appareil.
Pour corriger le tir, des protocoles comme DNS over HTTPS (DoH), DNS over TLS (DoT) ou plus récemment DNS over QUIC (DoQ) ont entrepris de chiffrer les requêtes DNS elles-mêmes. Elles ne circulent donc plus nécessairement en clair sur le réseau local ou chez le FAI, mais à l’intérieur de canaux protégés par HTTPS, TLS ou QUIC selon le protocole utilisé, au même titre que le contenu des échanges. Une évolution qui va dans le sens d’une meilleure protection côté internaute, mais qui rogne encore un peu plus sur ce que le VPN pouvait offrir de plus évident sur ce point.
Le VPN, toujours utile mais plus toujours pour les mêmes raisons
Est-ce à dire qu’un VPN ne sert définitivement plus à rien ? Eh bien non. Si son rôle a été bousculé par les mutations techniques du web, il n’a pas encore dit son dernier mot.
D’abord, les mécanismes qui prennent en charge le chiffrement du DNS ou du trafic ne sont pas toujours activés, ni configurés de manière homogène selon les appareils, les systèmes ou les usages. Pour beaucoup, le VPN reste un moyen simple d’accéder à une forme de protection renforcée sans avoir à multiplier les réglages.
Mais s’arrêter à la seule question du chiffrement des pages web et des requêtes DNS serait réducteur. Le sujet porte aussi sur ce que des intermédiaires, publics ou privés, peuvent encore observer, collecter, corréler ou réclamer. Les débats européens sur l’accès aux données, les capacités de déchiffrement ou la surveillance des communications reviennent régulièrement sur la table, alors que le chiffrement de bout en bout continue d’être perçu comme un obstacle à contourner, les métadonnées comme une ressource à exploiter et la confidentialité comme une variable d’ajustement.
Évidemment, le VPN n'est pas une solution totale. Il ne protège pas de tout, ne rend pas invisible et ne remplace ni de bonnes pratiques, ni des outils pensés pour le chiffrement de bout en bout. Mais il permet encore de réduire certains points d’observation, de limiter une partie de la collecte liée à l’adresse IP ou au réseau utilisé, et de rendre l’activité en ligne moins facile à suivre.
On insistera enfin sur le fait que la confidentialité ne concerne pas seulement des contenus sensibles ou des usages exceptionnels. Elle vaut aussi pour des recherches banales, des consultations ordinaires, des habitudes de navigation qui, mises bout à bout, racontent beaucoup plus qu’on ne le croit. À force de présenter la vie privée comme un réflexe suspect, le débat finit par inverser les rôles. Mais protéger son intimité numérique n’a rien d’un aveu. C’est, au contraire, une manière de refuser que l’observation permanente devienne la norme.
