À mesure que les VPN s’étoffent, le tri devient moins évident entre les fonctions qui corrigent un vrai problème, celles qui rendent service à l’occasion et celles qui relèvent surtout de l’esbrouffe.
On vous promet des connexions chiffrées, des pubs bloquées, des malwares stoppés, des attaques quantiques anticipées et, tant qu’on y est, une vie numérique presque impeccable. Toutes ces fonctions n’occupent pourtant pas la même place dans un VPN. Certaines répondent à un besoin très concret, quelques-unes relèvent surtout du confort ponctuel, d’autres encore servent avant tout à épaissir l’argumentaire commercial. Avant de vous laisser impressionner par des inventaires d’options qui prétendent dessiner les contours du service idéal, il faut regarder ce qu’elles changent réellement pour vos usages.
Le kill switch, la seule fonction qui devrait aller de soi
Parmi toutes les fonctions mises en avant par les fournisseurs, s’il ne fallait en garder qu’une seule, ce serait sans doute celle-là. Le kill switch sert à bloquer toute communication sortante non protégée en cas de déconnexion involontaire du VPN, pour empêcher les données de continuer à circuler en dehors du tunnel sécurisé. Il permet ainsi d’éviter les fuites d’adresse IP, de requêtes DNS et, plus généralement, de trafic.
Car même un VPN bien conçu peut, comme n’importe quel logiciel, subir des défaillances passagères lors d’un changement de réseau, d’une micro-coupure Internet ou du passage d’un serveur à un autre. Le kill switch évite alors que ces incidents, souvent invisibles, exposent une partie des échanges. C’est aussi l’un des premiers réglages à contrôler et à activer, s’il ne l’est pas déjà, dès la première utilisation du VPN.
Le split tunneling, très pratique tant qu’on sait exactement pourquoi on l’active
Le split tunneling permet de choisir quelles applications ou quels flux passent par le VPN, et lesquels continuent d’utiliser la connexion habituelle. La fonction peut s’avérer pratique lorsqu’un service supporte mal le VPN, comme un jeu en ligne sensible à la latence ou une appli bancaire un peu tatillonne, lorsqu’il faut continuer d’accéder à des ressources locales comme une imprimante ou un NAS, ou lorsque certaines activités, comme un téléchargement volumineux, n’ont pas grand-chose à gagner à passer par le tunnel.
En contrepartie, le split tunneling exige un peu de rigueur. À partir du moment où l’on choisit ce qui passe par le VPN et ce qui en est exclu, il faut savoir exactement ce qui est protégé, ce qui ne l’est plus, et pour quelle raison. Mal configurée, la fonction peut donc créer de la confusion, voire laisser circuler hors VPN des échanges que l’on pensait couverts. Pas gadget, mais pas indispensable pour autant.
Le multi-hop, bon outil spécialisé, mauvais argument universel
Le multi-hop, parfois présenté sous les noms de double VPN, Secure Core ou cascade, consiste à faire transiter le trafic par deux serveurs au lieu d’un, afin d’ajouter une étape supplémentaire entre l’utilisateur ou l’utilisatrice et le serveur de sortie. Sur le plan technique, la logique se tient. Dans les usages du quotidien, en revanche, l’intérêt est beaucoup moins évident. Pour naviguer, télétravailler, sécuriser un Wi-Fi public ou masquer son adresse IP, un serveur VPN bien choisi suffit déjà largement, quand le multi-hop ajoute de la latence, peut réduire les débits et alourdit inutilement la connexion, sans bénéfice perceptible pour la plupart des internautes.
Le multi-hop ne devient vraiment intéressant que dans des contextes plus sensibles, lorsqu’il s’agit de compliquer la corrélation entre l’entrée et la sortie du trafic, quitte à perdre un peu en confort. Pour le reste, l’argument relève davantage de la surenchère technique que du besoin réel. Bon outil spécialisé, donc, mais mauvais choix par défaut.
L’obfuscation, inutile dans un salon, précieuse sur un réseau hostile
L’obfuscation fait partie de ces fonctions qu’on a tendance à mal comprendre, parce qu’on la range volontiers parmi les options un peu tape-à-l’œil dont l’intitulé impressionne plus qu’il n’éclaire. Pour le dire simplement, elle sert à maquiller le trafic VPN en trafic web ordinaire. Selon les fournisseurs, cette discrétion repose soit sur des protocoles dédiés, soit sur des serveurs configurés dans ce but.
À la maison, sur une connexion fixe classique ou un réseau mobile sans restriction particulière, son intérêt est finalement assez limité. En revanche, sur des réseaux qui filtrent, dégradent ou bloquent ce type de trafic, comme c’est le cas dans les pays qui en censurent ou restreignent fortement l’utilisation des VPN, l’obfuscation cesse d’être une coquetterie technique pour devenir l’un des rares moyens de préserver un accès plus libre au web.
Les bloqueurs intégrés, à leur place tant qu’ils ne vont pas trop loin
Les bloqueurs de pubs, de traqueurs, de domaines malveillants et, parfois, de téléchargements suspects intégrés aux VPN occupent une place un peu à part. Ils ne relèvent pas du cœur du service, mais peuvent, dans leur version la plus simple, améliorer sensiblement la navigation en filtrant, dès la résolution DNS, une partie des connexions indésirables.
Le problème, c’est qu’on ne parle pas toujours du même niveau d’intervention. Entre un simple blocage DNS de domaines publicitaires, de pistage ou malveillants, et des modules capables d’analyser des liens, des téléchargements ou certains types de fichiers, le service ne remplit plus tout à fait le même office. Il ne se contente plus de relayer du trafic chiffré ou de couper l’accès à des destinations identifiées, il commence aussi à examiner ce qu’il transporte. Pratique, sans doute. Conforme au rôle premier d’un VPN, rien n’est moins sûr.
La protection post-quantique, sérieuse sur le fond, marginale dans l’usage courant
La protection post-quantique est un excellent exemple de fonction sérieuse sur le plan technique que les fournisseurs de VPN adorent mettre en avant pour faire valoir un supposé coup d’avance sur le reste du marché. Le sujet mérite pourtant bien mieux qu’un argument commercial. Il s’agit d’anticiper le jour, encore lointain, où diverses méthodes cryptographiques actuelles pourraient devenir plus vulnérables face à des capacités de calcul quantique suffisamment avancées. Des données chiffrées collectées aujourd’hui pourraient alors être déchiffrées plus tard.
Or, soyons honnêtes, pour la plupart des internautes en 2026, à moins d’être journaliste, opposant politique, militant ou lanceur d’alerte, la question ne se pose pas vraiment en ces termes. Quand un VPN sert essentiellement à sécuriser un Wi-Fi public ou à émuler une localisation pour accéder à du contenu géorestreint, la valeur future de telles données paraît tout de suite bien relative.
Mieux vaut quelques bonnes fonctions qu’un arsenal mal pensé
À force de comparer des tableaux de fonctionnalités, on finit par en oublier le principal. Une fonction n’est pas utile parce qu’elle existe, ni parce qu’elle porte un nom technique flatteur. Elle l’est lorsqu’elle répond à une contrainte identifiable sans ajouter plus de confusion qu’elle n’apporte de bénéfice.
Le kill Switch fait ici figure d’exception. Mais c’est sans doute la seule option sur laquelle il est difficile de transiger. Pour le reste, rien n’est incontournable. Tout dépend des usages, du niveau de risque, des besoins concrets et, au bout du compte, de critères souvent plus décisifs comme la juridiction, les débits, la stabilité du service ou le prix.
