Le kill switch de Proton VPN sur macOS ne bloque pas toutes les fuites d’IP lors des changements de serveur. Pris à partie sur Privacy Guides, le fournisseur a reconnu les limites de sa fonction et promis des ajustements concrets.
Le sujet agite depuis quelques jours la communauté Privacy Guides, où plusieurs membres ont mis en cause l’efficacité du kill switch de Proton VPN sur macOS. Au fil des échanges, le fournisseur VPN a lui-même reconnu que son implémentation actuelle ne protégeait pas de manière fiable l’adresse IP lors des changements de serveur. Face aux critiques, il a également admis que sa documentation n’était pas assez explicite sur cette limite et annoncé travailler sur une refonte de son architecture réseau.
Sur macOS, Proton admet les limites de son kill switch
Le débat est parti d’une vidéo publiée il y a une dizaine de jours par Jonah Aragon, cofondateur de Privacy Guides, qui montrait que le kill switch de Proton VPN sur macOS pouvait laisser apparaître brièvement l’adresse IP réelle lors d’un changement de serveur. Très vite, les échanges sur le forum ont dépassé le seul cadre de cette démonstration. Plusieurs membres ont remis en cause l’efficacité réelle de la fonction sur macOS et reproché au fournisseur un manque de clarté sur ce qu’elle couvre réellement.
Face à la polémique, Proton a pris la parole dans le fil de discussion, reconnaissant effectivement que son implémentation actuelle sur macOS ne protégeait pas de manière fiable l’adresse IP lors des changements de serveur, tout en renvoyant aux limites imposées par le framework Network Extension d’Apple. En pratique, ce cadre restreint fortement ce qu’une application VPN peut faire au moment où le tunnel se reconnecte ou bascule d’un serveur à l’autre, ce qui lui laisse moins de latitude pour bloquer immédiatement l’ensemble du trafic.
Proton a également rappelé qu’au moment de l’activation d’un VPN, macOS ne coupait pas systématiquement toutes les connexions déjà établies. En d’autres termes, certains échanges amorcés avant la connexion au tunnel, y compris certaines requêtes DNS liées à des services Apple, peuvent continuer à transiter brièvement en dehors de celui-ci.
Documentation clarifiée, correctif promis, prudence toujours de mise
Le fournisseur a depuis revu sa documentation, qui mentionne désormais explicitement ces deux limites connues du kill switch standard sur macOS, et a confirmé que la prochaine mise à jour de son application afficherait un message plus clair sur la portée réelle de la fonction, rappelant qu’elle coupe bien Internet si la connexion VPN tombe, mais qu’un changement de serveur peut brièvement exposer l’adresse IP.
Ces ajustements ne constituent toutefois que des réponses provisoires, Proton s’étant aussi engagé à revoir plus en profondeur son architecture réseau, en reconstruisant sa pile autour d’une implémentation native de WireGuard développée en interne afin de mieux maintenir le tunnel pendant les transitions sur macOS. D’après ses messages publiés sur Privacy Guides, ce chantier doit être déployé au cours de la première moitié de sa feuille de route printemps-été 2026.
L’éditeur a par ailleurs reconnu ne pas avoir d’explication satisfaisante au manque de clarté de sa communication jusqu’ici, évoquant une attention historiquement plus forte portée à Windows et aux plateformes mobiles qu’à macOS sur le plan documentaire.
Un mea culpa qui rappelle surtout qu’un kill switch ne vaut pas garantie absolue. Les phases de reconnexion, de renégociation du tunnel ou de bascule entre serveurs comptent parmi les étapes les plus délicates pour n’importe quel client VPN, et pas seulement pour Proton, ce qui impose de suspendre toute activité sensible durant ce laps de temps, d’attendre quelques secondes que la nouvelle connexion soit pleinement établie, puis de vérifier l’adresse IP affichée avant de reprendre la navigation.
- storage16838 serveurs
- language127 pays couverts
- lan10 connexions simultanées
- moodEssai gratuit 30 jours
- thumb_upAvantage : le plus sécurisé
Proton VPN fait partie des services qui ont le plus monté en puissance ces dernières années. Longtemps perçu comme un outil de niche pour les profils les plus exposés, il s’appuie aujourd’hui sur une politique no-log confirmée par audit, une infrastructure Secure Core travaillée et des applications open source bien finies. Grâce à ses récentes optimisations réseau et à son VPN Accelerator, ce service offre désormais des performances comparables à celles des meilleurs VPN du marché, tout en gardant un niveau de confidentialité très au-dessus de la moyenne.
- Niveau de sécurité et de confidentialité parmi les plus élevés
- Interface moderne et soignée sur desktop comme sur mobile
- Serveurs optimisés pour le streaming et le P2P
- Protocole Stealth adapté aux réseaux les plus restrictifs
- VPN Accelerator efficace sur les débits
- Tarifs plus élevés que ceux de certains concurrents grand public
- Support technique principalement en anglais, avec des délais de réponse variables
Un kill switch est un mécanisme qui bloque tout le trafic Internet si le tunnel VPN tombe, pour éviter que l’appareil repasse automatiquement par la connexion “normale” et expose l’adresse IP publique. Selon l’implémentation, il s’appuie sur des règles de pare-feu, sur des filtres réseau du système ou sur les deux. Il protège surtout contre les coupures nettes de VPN, mais peut être moins efficace lors d’événements transitoires comme un changement de serveur, une renégociation de clés ou une reconnexion rapide. Dans ces phases, quelques paquets peuvent sortir en clair avant que les règles de blocage ne se réappliquent complètement. C’est pour ça qu’un kill switch réduit fortement le risque, sans garantir un “zéro fuite” dans toutes les situations.
Quelles contraintes du framework Apple « Network Extension » peuvent limiter un VPN sur macOS lors d’un changement de serveur ?Network Extension est le cadre officiel qu’Apple impose aux apps VPN pour intercepter et rediriger le trafic réseau sur macOS, avec des règles de sécurité strictes. Le VPN n’a pas un contrôle illimité type “driver bas niveau” : il doit composer avec le cycle de vie des interfaces et les transitions gérées par le système. Lors d’un basculement de serveur, le tunnel peut se retrouver dans un état intermédiaire (déconnexion/reconnexion) où le filtrage n’est pas appliqué instantanément à 100 % du trafic. Certaines connexions déjà établies peuvent aussi survivre brièvement à la transition, ce qui complique le blocage immédiat et total. Résultat : sur macOS, la fiabilité d’un kill switch dépend beaucoup de ce que le système autorise à ce moment précis.
Pourquoi des requêtes DNS ou des connexions déjà ouvertes peuvent-elles contourner temporairement un tunnel VPN sur macOS ?Le DNS sert à traduire un nom de domaine en adresse IP, et c’est souvent l’un des premiers types de trafic qui peut “trahir” une sortie hors VPN si la bascule n’est pas parfaitement étanche. Sur macOS, des flux déjà établis avant l’activation du tunnel ne sont pas toujours interrompus automatiquement : ils peuvent continuer jusqu’à leur prochaine étape de renouvellement ou de redirection. Certaines requêtes liées à des services système peuvent aussi partir très tôt, avant que le VPN n’ait totalement pris la main sur le chemin réseau. Même une exposition très brève suffit à révéler l’IP réelle à un service distant ou à un résolveur DNS. Pour limiter le risque, il faut surtout éviter toute action sensible pendant une reconnexion ou un changement de serveur et attendre que le nouveau tunnel soit stable.
